Autant que je sache, l'option "Crypter la nouvelle installation d'Ubuntu à des fins de sécurité" dans Ubuntu Le programme d’installation est conçu pour fournir un chiffrement intégral du disque.
Cependant, lorsque cette option est utilisée, il semble que le cryptage s'achève instantanément, il ne semble littéralement pas prendre du temps.
Lorsque vous utilisez BitLocker sous Windows pour chiffrer l'intégralité du disque, le chiffrement complet du disque peut prendre des heures, même sur des disques SSD. Avec BitLocker et d'autres outils de chiffrement tels que DiskCryptor ou TrueCrypt, par exemple, il existe également un indicateur de progression qui indique la quantité de disque déjà chiffrée.
Pourquoi n’est-ce pas le cas avec l’option "Crypter la nouvelle installation Ubuntu à des fins de sécurité" dans le Installateur Ubuntu?
Même sur mon 1 TB SSD, le cryptage semble être mis en place instantanément et il n'y a aucun indicateur de progression.
Comment est-ce possible?
Quelqu'un sur le forum a dit:
http://ubuntuforums.org/showthread.php?t=2330425&p=13516293#post1351629
Les données ne sont pas cryptées avant d'être écrites
Mais si cela est vrai, alors l’option "Crypter la nouvelle installation de Ubuntu à des fins de sécurité" dans le programme d'installation n'est pas du tout un cryptage complet du disque.
S'il est correct, il ne crypte pas alors l'intégralité du disque. Il ne chiffre que l'espace disque utilisé. L'espace vide n'est alors pas crypté.
Au moins avec BitLocker, vous avez la possibilité de choisir entre chiffrer uniquement l’espace disque utilisé ou chiffrer l’ensemble du disque, voir l’exemple suivant:
https://i-technet.sec.s-msft.com/en-us/windows/jj983729.bitlocker-screen (fr-fr, MSDN.10) .jpg
Sur le même fil de discussion, il a également été mentionné que:
Si vous souhaitez initialiser de manière aléatoire les zones de stockage AVANT d'écrire quoi que ce soit, cela en prendra. Je semble me souvenir que c’était une case optionnelle pour l’installation.
Et, en effet, il y a un "Pour plus de sécurité: écrasez l'espace disque vide (l'installation risque de prendre beaucoup plus de temps.)" option sur l’écran suivant, après l’écran qui contient "Crypter la nouvelle installation Ubuntu à des fins de sécurité" option.
Maintenant, la question est: Si cette option est cochée, est-ce que cela remplace simplement l’espace disque vide? Ou est-ce qu'il le chiffre également?
Je supposais que cela ne l’écrase qu’avec des zéros avant de le chiffrer. Je supposais de toute façon que le disque entier serait de toute façon chiffré à l’aide de "Crypter la nouvelle installation Ubuntu à des fins de sécurité" , quelle que soit l'option "Pour plus de sécurité: Écraser l'espace disque vide (l'installation peut prendre beaucoup plus de temps.)".
Cordialement
D'accord, avant de répondre à vos questions, je dois d'abord expliquer la différence entre "format rapide" et "format complet" (pour emprunter la terminologie Windows), ainsi que la différence entre un volume logique et a volume physique:
Format rapide : écrit la structure du système de fichiers sur le lecteur (en plus des données existantes).
Format complet : efface le lecteur (généralement en écrivant les 0) avant d'écrire la structure du système de fichiers.
Tous les systèmes de fichiers utilisés aujourd'hui (ext2, ext3, ext4, btrfs, zfs, xfs) effectuent un "formatage rapide" par défaut. Cela signifie que les données précédentes résidant sur le disque, bien qu'elles ne soient pas directement visibles via le système de fichiers, sont toujours disponibles si vous devez analyser le disque à l'aide d'un logiciel de récupération de données.
Par exemple: vous avez un disque dur de 100 Go qui stockait des photos. Vous décidez de formater ce disque dur et d'installer Ubuntu. Supposons que l'installation d'Ubuntu nécessite environ 4 Go. Après avoir installé Ubuntu, environ 4 Go des 100 Go de données seraient écrasés par votre installation Ubuntu. Les 96 Go restants de données photo sont encore physiquement présents sur le disque dur. Si vous avez utilisé un logiciel de récupération de données, vous devriez pouvoir récupérer la plupart de ces photos, malgré le fait que le lecteur ait été "formaté" lors de l'installation d'Ubuntu.
Volume logique : toute région d’un support de stockage, y compris tout l’espace physique. par exemple. si vous créez une partition de 100 Mo sur un disque de 100 Go, la partition de 100 Mo est considérée comme un volume logique
Volume physique : toute la capacité physique du matériel ^. Dans notre exemple avec un disque dur de 100 Go, le volume physique est l’ensemble du périphérique (100 Go) sans les plus petits volumes alloués à l’intérieur.
^ Le matériel lui-même aura une capacité supplémentaire (sur approvisionnement) pour gérer la dégradation du support physique. Cette capacité supplémentaire est gérée par le périphérique lui-même et n'est visible par le système d'exploitation que par l'interface S.M.A.R.T., À laquelle vous pouvez accéder en installant smartmontools
.
Passons maintenant à vos questions ...
Mais si cela est vrai, l'option "Crypter la nouvelle installation d'Ubuntu à des fins de sécurité" dans le programme d'installation n'est pas du tout un cryptage de disque complet.
C'est une différence de définition/perspective. Vous interprétez le "chiffrement intégral du disque" comme signifiant que tout le contenu du volume physique est chiffré, tandis qu'Ubuntu utilise le "chiffrement intégral du disque" pour désigner le contenu du volume logique = où Ubuntu est installé est crypté.
Par conséquent, si vous avez installé Ubuntu et rempli complètement le disque dur de données, le volume logique chiffré remplira la totalité . volume physique .
Cependant, il arrive parfois que quelqu'un installe Ubuntu aux côtés de Windows sur son disque. Dans ce cas, l'installation de Windows peut être non cryptée mais l'installation d'Ubuntu est cryptée.
Dans ce scénario, Ubuntu fournit toujours un "cryptage intégral du disque" car toutes les données de son volume logique sont cryptées. Ubuntu ne se soucie pas des données des autres volumes logiques présents sur le volume physique.
S'il est correct, il ne crypte pas alors l'intégralité du disque. Il ne chiffre que l'espace disque utilisé. L'espace vide n'est alors pas crypté.
Oui, car le cryptage des espaces vides ralentirait considérablement le système, ce qui ne présente aucun avantage en termes de sécurité.
Maintenant, la question est: Si cette option est cochée, est-ce que cela remplace simplement l’espace disque vide? Ou est-ce qu'il le chiffre également?
Je ne me suis pas vérifié, mais il est fort probable que nous remplacions l'espace disque inutilisé par des données aléatoires. Ce n'est certainement pas le cryptage de l'espace vide. Les données correctement chiffrées sont indéchiffrables à partir de données aléatoires, donc remplir le disque avec des données aléatoires avant d'installer Ubuntu empêcherait de dire quelles parties du disque sont "vides" et celles qui sont chiffrées.
Je supposais que cela ne l’écrase qu’avec des zéros avant de le chiffrer. Je supposais que le disque entier serait de toute façon chiffré avec l'option "Crypter la nouvelle installation d'Ubuntu pour des raisons de sécurité"
Encore une fois, "cryptage complet du disque" dans ce contexte fait référence au cryptage de toutes les données logiques sur le disque, et non au cryptage de l'ensemble du périphérique physique.
Le cryptage des espaces vides ne présente aucun avantage en termes de sécurité. Si vous craignez que l’espace libre ne soit pas chiffré, sélectionnez l’option "Pour plus de sécurité: écrasez l’espace disque vide (l’installation risque de prendre beaucoup plus de temps.)" lors de l'installation pour écraser tout le disque physique.
Maintenant, il est possible d'acheter un lecteur à cryptage automatique (SED). Pour les disques SSD, la fonctionnalité appropriée est appelée OPAL . Si un SED est installé sur votre ordinateur, le chiffrement est géré par un matériel de chiffrement spécialisé intégré au périphérique. Toutes les données écrites sur le support physique (plateaux magnétiques pour un disque dur ou silicium pour un SSD) sont cryptées par le périphérique avant d'être écrites. Cela signifie que si quelqu'un devait retirer les plateaux ou les puces en silicium, il ne pourrait pas lire les données. Toutefois, cela dépend de votre confiance en la mise en œuvre du cryptage de SED. Étant donné que le micrologiciel de l'appareil est une source fermée et qu'il est rarement audité, vous faites confiance au fournisseur pour l'avoir mis en œuvre correctement et sans aucune porte dérobée. Vous décryptez le SED au démarrage en fournissant un mot de passe.