LUKS : Chiffrement disque/partition ; Comprendre Usage et Avantage

[dezix]

Bonjour,

j'ai besoin d'un peu d'aide pour y voir plus clair afin de déterminer si oui ou non
j'aurais intérêt à utiliser LUKS pour mettre en place un serveur web sur un VPS.

Mon but étant d'apprendre à bien faire les choses, sans mégoter sur mes efforts,
qui peut le plus... pourra le moins ;-)


Si je comprends, dans le principe, l'intérêt du chiffrement des disques physiques
pour prévenir qu'ils soient lus par des personnes non-autorisées ;
notamment en cas de vol ou de remplacement/récupération.


J'ai un doute quant à ma compréhension une fois le système en fonction,
les partitions sont décryptées et on se retrouve dans la même situation que sans cryptage ?

Ou y a-t-il une subtilité qui m'échappe encore ?



Autre doute :

A-t-on besoin d'une réserve d'espace supplémentaire ?

Pour éclairer ce doute :
je ne connais en matière de cryptage que les systèmes cryfs et encfs
qui conservent d'une part le système de fichiers crypté (qui reste crypté)
et montent sur un autre répertoire les fichiers en clair.
Ce qui a (au moins) pour conséquence de nécessiter un supplément d'espace pour le montage en clair.



Et finalement :

Dans le cas d'une infrastructure virtuelle (VPS/Instance du Cloud),
est-il possible de se faire voler/copier son disque dur virtuel sur la plateforme du fournisseur ?

Dans ce cas à moins d'être prévenu par le fournisseur, est-il possible de s'en rendre compte ?



Merci.

[piratebab]

Oui, tu n'es pas à l'abri d'un problème chez l'hébergeur qui exposerait tes données. c'est peu probable, mais pas impossible.
Ensuite tout dépend de la criticité de tes données. Si tu fais une sauvegarde contenant tes données bancaires, il vaut mieux les protéger.
2 réflexions:
– est-il utile de chiffrer toutes ses données ? Je ne pense pas. Quel intérêt de chiffrer tes vidéos de vacances.
À moins que tu partes en vacances sur un site sensible… conclusion, définir ce qui doit être chiffré .
– pour déchiffrer les données, il faut la clef de déchiffrage. Si tu la laisses sur le serveur, ça perd de son intérêt. Il faut la mettre sur un autre serveur, protéger son accès…

[PascalHambourg]

les partitions sont décryptées et on se retrouve dans la même situation que sans cryptage ?

Les données sur le volume physique sont toujours chiffrées. Elles sont chiffrées et déchiffrées à la volée lors de l'écriture et de la lecture. Les données en clair sont visibles de façon transparente à travers un volume logique virtuel du style /dev/mapper/*_crypt qui est créé lors de l'ouverture du volume physique chiffré et supprimé lors de sa fermeture.

A-t-on besoin d'une réserve d'espace supplémentaire ?

Très peu. L'en-tête LUKS occupe 1 à 2 Mo au début du volume physique.

Je doute que les systèmes cryfs et encfs écrivent réellement les fichiers en clair dans le système de fichiers sur disque, ce serait un faille de sécurité grossière.

est-il possible de se faire voler/copier son disque dur virtuel sur la plateforme du fournisseur ?

Tout est théoriquement possible, surtout dans une infrastructure de stockage partagé. Une faille de sécurité pourrait permettre à un autre VPS utilisant la même infrastructure d'accéder aux données de ton VPS.

[dezix]

Merci pour vos réponses complémentaires.

[piratebab]

Autre réflexion, Pascal me corrigera si je dis une bétise;
Si tu chiffres une partition, la clef de déchiffrement est sur le serveur.
Si tu chiffres un fichier, la clef de déchiffrement reste chez toi, donc tu la maîtrise mieux en terme de vol

[dezix]

Il faut que je teste tout cela, effectivement.

Pour ne chiffrer que certains Fichiers/Répertoires quelle solution me conseilles-tu ?

Autre point à prendre en considération avec un système virtuel (au moins chez OVH) :
pas de possibilité simple/directe pour passer un mot de passe au cours du (re)démarrage.

Ça doit être possible via une API mais ça me semble assez coriace à apprivoiser :((
donc il faut configurer le chiffrement/boot de manière à pouvoir lancer le système
... c'est plus pratique !

[PascalHambourg]

Si tu chiffres une partition, la clef de déchiffrement est sur le serveur.

Avec LUKS, la clé de chiffrement elle-même est stockée dans l'en-tête LUKS mais elle est protégée par une passphrase, qui n'est pas stockée sur le disque (sauf si on le fait pour ouvrir le volume chiffré automatiquement, mais c'est une faille créée par l'administrateur).

Pour une machine distante, la passphrase devrait être envoyée via le réseau, c'est par exemple l'objet du paquet dropbear-initramfs : un mini-serveur SSH est lancé au démarrage, l'administrateur s'y connecte pour envoyer la passphrase.

[piratebab]

Merci Pascal pour ces précisions!
Est ce que la clef reste en RAM sur le serveur ?

[PascalHambourg]

Oui, forcément. Mais la zone mémoire qui la contient est marquée non swappable. Et si le code est bien écrit, elle devrait être effacée lorsque le volume chiffré est fermé.

[dezix]

@piratebab
Il y a un point qui m'interroge :

À plusieurs occasions — reprends-moi si je me souviens mal —
tu as mis en relation le niveau de protection et la valeur des données à protéger.


D'abord, j'ai du mal avec mon "système de valeurs" personnel
à définir une hiérarchie parmi ce que je voudrais protéger.

J'aurais plutôt tendance à être assez binaire protège/protège pas

Ou, est-ce que comme je n'ai pas l'expérience (ni même le projet) de la gestion de gros volumes de données,
le facteur ressources me parait assez secondaire.

Alors que ce serait ta préoccupation première ?



Autre point,
tu sembles aussi faire une relation entre les moyens mis en œuvre par un attaquant
et la valeur monnayable des données.

Mais comment — à part en ayant des infos préalables (fuites) —
pourrait-il face à un ensemble de ressources chiffrées,
savoir où se trouvent celles qui représentent un butin de valeur ?

... sauf bien sûr si seulement quelques volumes sont cryptés signalant clairement où taper.


Dans le cas de petits volumes de données,
cela vaut-il la peine de finasser à faire un cryptage sélectif ?

Idem pour les mots de passe,
à partir du moment où on utilise un gestionnaire et des mots aléatoires (difficiles à mémoriser)
quelles différences entre 8/10 caractères ou 30 ?... quelques secondes et encore !

Mais peut-être qu'il y a d'autres facteurs que j'ignore encore ?

[piratebab]

Dezix, la valeur d'une chose, c'est le prix qu'une personne est prêt à y mettre pour l'acquérir. C'est donc très subjectif comme tu le signales.

En gros, tu dois faire face à 2 types de menaces:

• les attaques large spectre: elles sont faites par des rabots, elles sont lancées contre des millions d'ordinateurs. Elles récoltent généralement des données de faibles valeurs marchandes (numéros de compte bancaires, ranconware, ..), mais en grande quantité. Elles utilisent des failles connues , il est assez facile de s'en protéger en appliquant les règles de sécurité publiées partout.
  - Les attaques ciblées: quelqu'un t'en veut personnellement, et il va y mettre les moyens.. tes données ont une grande valeur pour lui (chantage, ..).

La encore, il y a 2 cas possible

• :l'attaquant inexpérimenté qui va aller chercher sur le net quelques angles d'attaques largement documentés. avec un système à jour et sécurisé, tu es à l'abri.
  Un attaquant compétent et motivé: là, il faut un système particulièrement durci, avec une défense en profondeur, et un système d'alerte chaque fois qu'une défense tombe, ou est attaquée. Très difficile de s'en protéger. Ça demande une surveillance de tout les instants afin de régir rapidement (par exemple en débranchant physiquement la machine).

En résumé,:
- tes données bancaires interesse tous les attaquants
- tes photos de vacances ou de beuveries vont interesser quelqu'un qui t'en veux personellement.
A toi de voir contre quoi tu veux te protéger

Terminons sur un cas concret: les dickpics. Certains voudront les protéger fortement afin qu'elles ne soient pas divulguées, d'autres vont les afficher publiquement sur les réseaux sociaux :) Chacun son échelle de valeur!