Damien Clauzel - Mot-clé - cryptographie2024-03-27T11:37:53+01:00Damien Clauzelurn:md5:6728c0058bb2c4b2870d8dbd71b50f9eDotclearTravailler avec les volumes chiffrés de TrueCrypt sur Debianurn:md5:8ed998dae23a928899683d61232de9322013-09-13T14:37:00+02:002016-07-05T09:44:06+02:00Damien ClauzelInformatiquecryptographieDebiandocumentationsysadmsécuritéTrueCrypttutoriel <p><a href="http://www.truecrypt.org/" hreflang="en">TrueCrypt</a> est un outil de chiffrement de volumes qui souffre de deux défauts majeurs : il n'a pas d'activité récente, et pour des raisons de licence n'est pas inclus dans Debian. Son alternative libre est <a href="https://github.com/bwalex/tc-play" hreflang="en">tcplay</a>, disponible dans les dépôts.</p>
<blockquote><p>Package: tcplay</p>
<p>
Maintainer: Laszlo Boszormenyi (GCS) <gcs@debian.org></p>
<p>
Description-en: Free and simple TrueCrypt Implementation based on dm-crypt
tcplay is a free (BSD-licensed), pretty much fully featured (including
multiple keyfiles, cipher cascades, etc) and stable TrueCrypt implementation.</p>
<p>
This implementation supports mapping (opening) both system and normal
TrueCrypt volumes, as well as opening hidden volumes and opening an outer
volume while protecting a hidden volume. There is also support to create
volumes, including hidden volumes, etc.</p>
<p>
Since tcplay uses dm-crypt it makes full use of any available hardware
encryption/decryption support once the volume has been mapped.</p>
<p>
Homepage: https://github.com/bwalex/tc-play</p></blockquote>
<p>L'approche utilisée ici est d'utiliser un disque dur entier dédié au stockage sécurisé. Nous mettrons en place un volume normal qui contiendra des données de leurre, ainsi qu'un volume caché dédié au travail réel.</p>
<p>Notes techniques :</p>
<ul>
<li>le disque dur utilisé dans cet exemple est accessible via <code>/dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853</code><sup>[<a href="https://damien.clauzel.eu/post/2013/09/13/Travailler-avec-les-volumes-chiffr%C3%A9s-de-TrueCrypt-sur-Debian#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup>. Il contiendra uniquement un volume normal; pas même une table des partitions ;</li>
<li>les volumes sont successivement montés dans le répertoire courant <code>./tc</code> ;</li>
<li>on utilise <code>/dev/mapper/truecrypt</code> pour le mappage des volumes ;</li>
<li>on utilise des méthodes de chiffrement différentes pour le volume normal et le volume chiffré. Si une méthode est cassée, ça serait dommage que tous les volumes soient affectés.</li>
</ul>
<h3>Mise en place des volumes de leurre et caché</h3>
<p>Opérations réalisées ici :</p>
<ol>
<li>créer les volumes ;</li>
<li>remplir le volume de leurre, ainsi que le volume caché ;</li>
<li>fermer les volumes et nettoyer le système.</li>
</ol>
<p>Sur le disque entier, créer un volume normal avec un volume caché dedans</p>
<pre class="brush: bash">sudo tcplay --create --device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853 \
--cipher TWOFISH-256-XTS,AES-256-XTS \
--pbkdf-prf=whirlpoe-erase \
--hidden --cipher-hidden AES-256-XTS,SERPENT-256-XTS \
--pbkdf-prf-hidden RIPEMD160</pre>
<p>Ouvrir le volume normal, en protégeant le volume caché. Le volume normal est mappé sur <code>/dev/mapper/truecrypt</code></p>
<pre class="brush: bash">sudo tcplay --map=truecrypt \
--device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853 \
--protect-hidden</pre>
<p>Formater le volume normal</p>
<pre class="brush: bash">sudo mkfs.xfs /dev/mapper/truecrypt</pre>
<p>Monter le volume normal</p>
<pre class="brush: bash">sudo mount /dev/mapper/truecrypt ./tc/</pre>
<p>Remplir le volume normal avec des données de leurre. Par exemple des clés privées ssh, des données bancaires, des reçus des impôts… Le but est de justifier l'usage d'un volume chiffré.</p>
<pre class="brush: bash">sudo cp ~/.ssh/id_ecdsa ./tc/</pre>
<p>Démonter le volume normal</p>
<pre class="brush: bash">sudo umount ./tc</pre>
<p>Supprimer le mappage du volume normal</p>
<pre class="brush: bash">sudo dmsetup remove /dev/mapper/truecrypt</pre>
<p>Ouvrir le volume caché
Le volume caché est lié à /dev/mapper/truecrypt</p>
<pre class="brush: bash">sudo tcplay --map=truecrypt --device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853</pre>
<p>Formater le volume caché</p>
<pre class="brush: bash">sudo mkfs.xfs /dev/mapper/truecrypt</pre>
<p>Monter le volume caché</p>
<pre class="brush: bash">sudo mount /dev/mapper/truecrypt ./tc/</pre>
<p>Remplir le volume caché avec des données sensibles. Par exemple, des clés privées PGP, des photos personnelles, votre plan de conquête du monde, etc.</p>
<pre class="brush: bash">sudo cp ~/.gnupg/secring.gpg ./tc/</pre>
<p>Démonter le volume caché</p>
<pre class="brush: bash">sudo umount ./tc</pre>
<p>Supprimer le mappage du volume caché</p>
<pre class="brush: bash">sudo dmsetup remove /dev/mapper/truecrypt</pre>
<h3>Travailler dans les volumes de leurre et caché</h3>
<p>Actualiser les données du volume normal :</p>
<ol>
<li>ouvrir le volume caché : <code>sudo tcplay --map=truecrypt --device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853</code></li>
<li>monter le volume caché : <code>sudo mount /dev/mapper/truecrypt ./tc/</code></li>
<li>travailler</li>
<li>démonter le volume caché : <code>sudo umount ./tc</code></li>
<li>supprimer le mappage du volume caché : <code>sudo dmsetup remove /dev/mapper/truecrypt</code></li>
</ol>
<p>Actualiser les données du volume normal :</p>
<ol>
<li>ouvrir le volume normal, en protégeant le volume caché : <code>sudo tcplay --map=truecrypt --device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853 --protect-hidden</code></li>
<li>monter le volume normal : <code>sudo mount /dev/mapper/truecrypt ./tc/</code></li>
<li>actualiser les données de leurre</li>
<li>démonter le volume normal : <code>sudo umount ./tc </code></li>
<li>supprimer le mappage du volume normal : <code>sudo dmsetup remove /dev/mapper/truecrypt</code></li>
</ol>
<div class="footnotes"><h4>Note</h4>
<p>[<a href="https://damien.clauzel.eu/post/2013/09/13/Travailler-avec-les-volumes-chiffr%C3%A9s-de-TrueCrypt-sur-Debian#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Disque dur Quantum Fireball TM1280A provenant de mon vénérable PowerMac 4400 (processeur PPC 603ev, 96Mo de RAM) datant 1996. Ce disque de 1,2Go présente toujours zéro secteur défectueux et tourne comme un charme. Pas comme les saloperies de disques durs actuels qui meurent au bout de 3 ans, alors qu'ils bossent à peine</p></div>
https://damien.clauzel.eu/post/2013/09/13/Travailler-avec-les-volumes-chiffr%C3%A9s-de-TrueCrypt-sur-Debian#comment-formhttps://damien.clauzel.eu/feed/atom/comments/112Courrier des lecteurs : utilisation de TOR en Franceurn:md5:cead004d8718371e21473a85cf82cfe52009-09-02T15:29:00+02:002010-04-21T23:23:50+02:00Damien ClauzelIdées et réflexionscensurecryptographiecypherpunkGandiGnuPGHADOPIliberté d expressionlogiciel libreLOPPSIlégislationsécuritéTORtélécommunicationveille culturelleveille juridiquevie privéeweb <p>Régulièrement, je reçois des courriers me demandant des précisions sur mes
billets, ou des conseils en relation avec mes activités sur le net. Je prend
toujours le temps d'y répondre en longueur, mais certains messages gagneraient
à être plus largement diffusés, car les mêmes questions reviennent
régulièrement.</p>
<p>Ainsi, les mails concernant la protection de la vie privée tournent souvent
autour de deux thèmes : comment protéger sa vie privée dans telle ou telle
activité, et est-ce légal de vouloir la protéger avec un outil précis. Voici le
dernier message que j'ai reçu à ce sujet.</p>
<blockquote>
<p>Je vous écrit suite au fait que vous soyez noté comme adresse de contact du
noeud de sortie Tor "rebelZ".</p>
<p>Ce dernier est à priori hébergé en France sur une machine chez GANDI. Vu que
je m'intéresse à la situation actuelle de Tor vis-à-vis de la législation
autour des télécommunications qui a tendance à se durcir en France, je me
demandais si vous aviez eu le moindre problème légal jusqu'ici.</p>
<p>Par ailleurs, quelles sont vos relations avec GANDI ? Leur avez-vous
demandé avant de démarrer ce relai ? Vous ont-ils déjà transmis des
plaintes concernant ce service ?</p>
<p>Merci d'avance si vous preniez le temps de répondre à mes quelques
questions.</p>
<p>PS : Je vous joint ma clé GnuPG si vous désiriez me chiffrer votre
réponse.</p>
</blockquote>
<p>Je suis effectivement un client de Gandi, sans rien de particulier : je
leur confie la gestion de plusieurs DNS, utilise leurs systèmes de blog,
d'hébergement et de courrier. Bien que je trouve leurs prix élevés depuis
quelques temps (principalement à cause de l'augmentation de la concurrence) je
reste chez Gandi car la qualité de service est élevée : <em>uptime</em>
correct, interfaces web efficaces, et une bonne assistance en cas de
soucis.</p>
<p>Ainsi, lorsque j'ai besoin de déployer rapidement un petit serveur pour
héberger un projet ou tester quelques outils, j'utilise l'hébergement mutualisé
de Gandi. La machine rebelz (rebelz.Clauzel.nom.fr) est l'une d'entre elles.
Elle n'a rien d'extraordinaire, si ce n'est le fait qu'elle n'accepte que des
connexions chiffrées (https, ssh, svn+ssh, etc) et que ses volumes sont eux
aussi chiffrés. En effet, elle sert actuellement de plate-forme communautaire à
un petit groupe de chercheurs de mon laboratoire. Pour parler technique, il
s'agit d'un serveur <em>headless</em> mutualisé Debian constitué d'une seule
part (1/64e).</p>
<p>En ce qui concerne <a href="https://www.torproject.org/" hreflang="fr">TOR</a> (couplé à outils comme <a href="http://www.privoxy.org/" hreflang="en">privoxy</a>, <a href="http://www.dest-unreach.org/socat/" hreflang="en">socat</a> et <a href="http://tsocks.sourceforge.net/" hreflang="en">tsocks</a>), je l'utilise depuis ses débuts, et j'ai pour habitude de
mettre en place des relais là où je le puis afin de renforcer son usage. C'est
donc tout naturellement que j'ai mis en place un nœud sur rebelz.</p>
<p>À ma connaissance, TOR n'a jamais été impliqué dans le cadre d'une enquête
judiciaire en France, aussi bien en simple relais qu'en nœud de sortie. Mais le
mieux serait d'interroger directement des juristes spécialisés. Néanmoins,
comme il s'agit là d'assurer le rôle d'opérateur technique permettant
l'interconnexion de systèmes informatiques, je ne vois pas la possibilité pour
un juge de mettre en cause l'administrateur : en effet, rendre responsable
l'administrateur de l'usage qui est fait du relais obligerait également à
rendre responsable <a href="http://www.francetelecom.com/fr_FR/" hreflang="fr">France Télécom</a> des appels circulant par ses lignes. Inconcevable, quoi
qu'en disent les ayatollahs de <a href="http://www.laquadrature.net/LOPPSI" hreflang="fr">LOPPSI</a>.</p>
<p>En ce qui concerne l'utilisation des machines virtuelles de Gandi, les
<a href="https://www.gandi.net/static/contracts/fr/hosting/pdf/Contrat-Hebergement-2.1-FR.pdf" hreflang="fr">conditions générales de l'hébergement</a> (article 3) ne font
aucune mention de la mise en place de relais de services. Les seules
contraintes sont le respect de la législation française (droit d'auteur,
diffamation, etc) et la gestion en « bon père de famille ».</p>
<p>En résumé : TOR, yabon.</p>https://damien.clauzel.eu/post/2009/08/21/Courrier-des-lecteurs-%3A-utilisation-de-TOR-en-France#comment-formhttps://damien.clauzel.eu/feed/atom/comments/6