En retour – Dell XPS 13 et chiffrement
UPS m’a livré hier le Dell XPS, 9 jours entre la commande et la livraison (07/10 et 16/10). Point très positif donc puisque je devais initialement le recevoir fin octobre.
Je ne l’ai pas encore allumé, je ne sais pas si je le ferai ce week-end. J’aime prendre mon temps et faire ça au bon moment (en général « quand j’ai le temps » ha ha).
Avant de me mettre à installer un nouveau pc, je réfléchis et me décide : Distribution, partitionnement, système de fichiers, chiffrement, sessions…
Ce sera une Debian Testing, j’arrête Debian bullseye/sid, je n’ai finalement pas besoin du côté sid. Je confirme au passage mon attachement à Debian, à la qualité de cette grande distribution. J’ai souvent pensé que mon chemin « logique » serait ensuite Arch, j’en doute de plus en plus, je n’ai rien qui me manque sur Debian Testing et aucune volonté de me complexifier la vie. Non je ne dis pas que Arch est moins bien ou plus complexe seulement que je bosse sur des serveurs Debian toute la journée, que je suis passé par Xubuntu – Mint – Debian comme distrib sur mes pc donc je suis bien avec du .deb, le gestionnaire de packages, les sources d’information, son double usage serveur/pc.
La seule vraie question était le chiffrement. Je parcourais mon article Spécial NVMe, 8 mois écoulés depuis sa parution et sedutil n’a reçu aucun commit (depuis 3 ans maintenant), projet abandonné à mes yeux. Par conséquent le chiffrement matériel est exclu.
Je reste sur /home chiffré avec eCryptfs ou je passe au chiffrement complet du disque proposé à l’install par Debian ? La seconde option est plus sûre mais aussi plus contraignante et coûteuse, j’ai cependant fait le tour (des problèmes 1, 2) de eCryptfs (même Ubuntu a arrêté de l’utiliser) que je quitte définitivement.
J’ai trouvé les réflexions de The Case Against Full-Disk Encryption très intéressantes et je vais creuser Speeding up Linux disk encryption ce week-end.
Je me souviens avec nostalgie de mes conteneurs TrueCrypt (puis VeraCrypt) sous Windows il y a quelques années. Je me vois tout de même mal ne pas chiffrer intégralement le disque du XPS. Vous faites comment vous, un avis sur la question ?
Déjà 24 avis pertinents dans En retour – Dell XPS 13 et chiffrement
Les commentaires sont fermés.
Sur le fait du chiffrement que du /home, faut pas oublier que même en ayant un usage plus que limité du compte root, on n’est jamais à l’abri que certains éléments sensibles y soient stockés, pareil pour certains paramétrages. Donc perso c’est full chiffrement ou rien. Par contre, ça a un putain d’impact sur les perfs, même si j’ai vu qu’il y avait un peu de mouvement du côté de LUKS pour mieux exploiter certaines instructions CPU afin de gagner du temps et donc des performances.
Bref, faut vraiment distinguer les utilisations mais je pense comme seboss666.
Merci !
Tout à fait, toujours prendre en compte le contexte, l’utilisation.
Tcho !
On a laissé passer ton commentaire today ? Il faut que je revois le plugin spam pour qu’il continue à te bloquer ha ha ha.
Je suis d’accord avec toi sur le chiffrement intégral/complet. Je faisais que le /home jusqu’à maintenant dans un contexte particulier (pc perso) mais je trouve plus raisonnable de faire un chiffrement complet sur un pc portable pro. Je cogitais hier sur ta remarque « compte root, on n’est jamais à l’abri que certains éléments sensibles y soient stockés, pareil pour certains paramétrages », clairement moi sur /root il y a que dalle. En revanche sur /etc j’ai des choses, par exemple /etc/wireguard/wg0.conf le fichier de conf WireGuard.
Tcho !
Comme tu commences à participer davantage dans les commentaires, il va falloir aussi que tu augmentes la précision de tes commentaires ^^
« je pense que c’est suffisant pour moi et la quasi-totalité des gens », je suis d’accord qu’il n’est pas utile de faire « plus » que chiffrer le /home pour la quasi-totalité des gens. Cependant toi tu te mets où ? Je veux dire tu es sysadmin, tu parles dans un contexte pro ou perso de toi ? Tu as un pc portable pro ?
Comme je le disais plus haut, il peut y avoir des fichiers de conf plus confidentiels dans /etc genre VPN.
Tcho !
Personnellement, pour mon nouveau laptop en attente de configuration, je pensais d’une part utiliser veracrypt sur toutes les partitions à l’exception de la partition système.
D’autre part, je prévois de mettre les applications de travail et les données dans des machines virtuelles stockées sur les partitions « veracryptées ».
Ainsi, j’évacue les problèmes potentiels de compatibilité / corruption des partitions boot et système.
Qu’en pensez-vous ?
Je suis ouvert à toute remarque et suggestion.
Merci d’avance pour vos retours.
C’est plus sécure, plus simple et plus performant. La seule contrainte serait éventuellement l’impossibilité de faire du wake-on-lan ce dont je n’ai pas besoin.
On peut aussi trouver des données sensibles dans `/tmp` dans le swap, etc…
Tu entends quoi par « plus performant » ? Niveau CPU ça bouffe et c’est pas négligeable.
Tcho !
Ça ressemble à une usine à gaz ton truc. Personnellement je suis adepte de la plus grande simplicité possible : On comprend mieux ce qu’on fait, on comprend mieux ce qu’il y a à faire, on comprend mieux les problèmes rencontrés, on trouve plus facilement des solutions (vu qu’on fait le truc classique que tout le monde met en place). J’ajouterai que lorsqu’on se met sur un nouveau sujet, on commence simple et petit, débuter par l’Everest est toujours une mauvaise idée.
Je te conseille de faire comme moi, chiffrement intégral du disque. Enfin et comme je vois beaucoup de gens le négliger ou l’oublier, je le redis, le chiffrement a un coût (https://www.phoronix.com/scan.php?page=article&item=2019-linux-encrypt).
Tcho !
https://www.phoronix.com/scan.php?page=article&item=ubuntu-1804-encrypt
While full disk encryption consumes more CPU cycles than the home directory encryption, as shown by these test results, the performance tends to be significantly better than with home directory encryption ».
Tcho !
Néanmoins, je ne pense pas que mon idée soit une « usine à gaz ».
Voici mes principaux soucis/besoins :
1/ En cas de dommage du PC (un PC peut mourir sans crier gare), je veux pouvoir sortir le disque et transférer les données vers un autre support, voire réinstaller le disque dans une autre machine sans problème. Je ne suis pas sûr de pouvoir faire une telle manipulation si tout est chiffré dès l’installation.
2/ En cas de bug (parfois cela peut arriver, ce n’est pas réservé à M$), je ne veux pas perdre l’accès complet au disque, voire ne plus du tout pouvoir booter.
3/ Passant régulièrement les frontières (en temps normal), si nécessaire, je veux pouvoir laisser des données (non sensibles) apparentes, tout en préservant les données sensibles.
4/ Pour des raisons de cybersécurité, je pense confiner la partie messagerie dans une VM spécifique.
On peut effectivement penser que cela semble être compliqué. Personnellement, je ne le pense pas. En revanche, le choix de l’outil de chiffrement – performant et fiable – reste mon principal souci : quels sont les risques de fiabilité et de performance si je choisis VeraCrypt pour les partitions concernées, ou si j’utilise les outils « natifs » du type eCryptfs.
Pour le chiffrement note que lorsque tu utilises AES-NI c’est quasiment du chiffrement hardware et ca ne coute pas trop cher.
Yo!
> While full disk encryption consumes more CPU cycles than the home directory encryption, as shown by these test results, the performance tends to be significantly better than with home directory encryption ».
La puissance des processeurs est faite pour être exploitée, perso à part quand je compile des gros trucs, il est rare que les CPU tournent à 100% donc je préfère un truc dont les performances sont significativement meilleures et qui consomme 4% de CPU qu’un truc plus lent mais qui ne consomme qu’1%.
C’est comme ces personnes qui ont des machines modernes avec des Gigas de RAM mais qui utilisent un environnement de bureau léger ou qui désactivent plein de trucs pour économiser de la mémoire. Sur une machine aux ressources limitées, je veux bien, c’est logique mais sur une machine de course, je n’en vois pas l’intérêt, autant exploiter la puissance de la bécane pour offrir une meilleur expérience à l’utilisateur.
On ne parle pas vraiment de la même chose. Si tu veux pour moi, une consommation de 4% de CPU, ça sera toujours 4% de trop ha ha.
Plus sérieusement, dans l’absolu je suis d’accord avec toi (la puissance des processeurs est faite pour être exploitée) mais je n’oublie pas que je suis sur un pc portable donc moins ça bouffe de CPU, plus j’ai d’autonomie niveau batterie.
Je suis aussi d’accord sur autant exploiter la puissance de la bécane pour offrir une meilleure expérience à l’utilisateur mais il faut également garder à l’esprit que l’utilisateur peut agir sur certains points (choix d’applications moins gourmandes, environnement de bureau léger, etc.) alors que d’autres points/sources de consommation lui sont inaccessibles (dans le but de limiter la conso). On peut choisir son navigateur web mais on ne peut pas faire moins consommer celui-ci.
Parler de puissance c’est parler énergie (et consommation d’énergie), vaste sujet ^^
Tcho !
Yo!
eCryptfs is deprecated (https://ubuntu.com/server/docs/security-ecryptfs), il a des bugs franchement gênants (https://www.bloglibre.net/2016/05/28/getconf-et-ecryptfs/ et https://bugzilla.redhat.com/show_bug.cgi?id=1747190) et n’est plus maintenu activement. VeraCrypt est activement maintenu, propose le déni plausible (https://fr.wikipedia.org/wiki/VeraCrypt#D%C3%A9ni_plausible) et est multi-plateforme. Bref pour moi, il y a pas photo.
Lorsqu’on parle de chiffrement complet/intégral c’est façon de parler, les partitions /boot et /boot/efi ne sont pas chiffrées. De plus tu pourras toujours booter sur une clé USB bootable et réparer/faire ce que tu as à faire.
Plus la sécurité est complexe (ou complexifiée, c’est mon avis dans ton cas), plus elle est coûteuse en temps, énergie, gestion/compréhension. Le risque est de basculer dans de mauvaises pratiques comme mettre le même mot de passe partout pour les différentes partitions (ou volumes) chiffrées. Pour moi ton setup est intenable, si tu considères que « cela semble être compliqué », je me demande alors ce que tu appelles compliqué.
Je te donne seulement mon avis, tu es évidemment libre et tu fais comme tu veux, il ne faut pas voir mes mots comme une critique. Personnellement chiffrement intégral + volume VeraCrypt en mode déni plausible me paraît déjà bien hard.
Tu connais https://www.qubes-os.org/ (https://fr.wikipedia.org/wiki/Qubes_OS) ?
Tcho !
Core-i7 de dernière génération, installé depuis 2 semaines maintenant avec chiffrement complet du disque via LUKS. Le chiffrement ne se sent pas, j’ai pas encore creusé ce que ça consomme.
Tcho !