web-dev-qa-db-fra.com

Écrans de verrouillage cryptés?

J'aime beaucoup le cryptage de disque pour sécuriser mes fonds, mais le problème est que je n'ai pratiquement jamais mon ordinateur éteint. Je mène une vie très occupée et le fermer totalement chaque nuit est tout à fait irréalisable, donc au mieux, je le suspends/verrouille généralement. Je soupçonne que cet écran de verrouillage fait très peu contre un attaquant qui pourrait avoir l'ordinateur en main. Ai-je raison? Le cryptage de disque est-il inutile si je ne mets jamais mon ordinateur hors tension? Existe-t-il un logiciel pouvant activer le cryptage sur écran verrouillé?

6
user262494

Je pensais la même chose, c'est comment j'ai trouvé votre question.

Mais ensuite, j'ai réalisé que les programmes ne pouvaient pas continuer à fonctionner si toutes les données (y compris leur propre code) étaient soudainement cryptées. Et les données peuvent être dans RAM de toute façon si les programmes sont en cours d'exécution.

Donc, la seule façon de chiffrer les choses est que tous les programmes cessent de fonctionner, ce qui ne se produit pas lors du verrouillage.

1
Mark

cryptage intégral du disque est une mesure de sécurité efficace, mais elle est considérée comme un moyen d'empêcher l'accès physique aux données de la machine. Avant le cryptage du disque, il suffisait d’un accès physique à un disque dur pour accéder aux données. Lorsque vous êtes en mesure d'extraire le disque dur, vous pouvez utiliser n'importe quel autre système pour consulter les données. Vous ne pouvez donc pas penser qu'elles sont sécurisées simplement parce que quelqu'un ne connaît pas votre mot de passe root.

Il est tout à fait possible d'avoir un système crypté avec support de suspension sur disque . Ceci, combiné à la garantie que votre RAM et tout échange est sécurisé, est une méthode imparfaite pour vous protéger dans votre situation.

Une fois que vous avez contribué à la protection contre les menaces physiques, vous devez ensuite examiner la vulnérabilité du système. En connectant votre appareil à Internet, vous l'exposez à des problèmes potentiels. Si vous êtes assez sérieux, vous devriez envisager d'utiliser un système chiffré de "stockage à froid", dans lequel vous limitez la connectivité, ou n'interagissez que via une clé USB ou un port série.

D'autres options consistent à ajouter des couches supplémentaires de cryptage à vos données et à ne laisser ces données déverrouillées que lorsqu'elles sont utilisées. Le but est de garder les données cryptées le plus longtemps possible et de ne les déchiffrer que lorsque cela est nécessaire, et pas pour suggérer un usage excessif de cryptage multiple/en cascade . Cela signifierait que tout adversaire ayant accès au système aurait besoin de temps pour déchiffrer les données. À moins, bien sûr, de laisser les données déverrouillées ou de les laisser quelque part accessible. En outre, il existe plusieurs façons de masquer les données dans les données , et d'utiliser tampons à usage unique , pour mieux sécuriser les informations.

Même en cryptant et en ne laissant pas les clés disponibles pour des ensembles de données individuels, une personne disposant de suffisamment de temps et d'accès pourrait éventuellement déverrouiller les données. Pour quelque chose comme les mots de passe, cela peut être atténué en changeant fréquemment les mots de passe et en recryptant l'ensemble de données avec une nouvelle clé à ce moment-là. Si quelque chose doit rester secret plus longtemps et que vous avez un emplacement physiquement sécurisé, une solution simple peut consister à stocker des données cryptées sur une clé USB que vous n'avez connectée à la machine qu'en cas de besoin, puis placez le conduire dans un coffre-fort.

Autorités de certification qui fournissent des informations correctes stockage de clés fournissent de bons exemples sur la manière de sécuriser les données dans des situations nécessitant un mélange de sécurité et de praticité d'utilisation.

1
earthmeLon

Permettez-moi de répondre d'abord à la question, puis de proposer une option de cryptage à l'écran de verrouillage.

Vous avez raison de dire que vos données ne sont pas cryptées lorsque l'écran de verrouillage est visible. Si vous utilisez le cryptage sur disque complet (FDE), vos données sont déchiffrées au démarrage avant l'affichage de l'écran de connexion et restent déchiffrées jusqu'à la mise hors tension du système. Si, comme l'OP, vous avez utilisé le chiffrement du répertoire de base, vos données sont déchiffrées lorsque vous vous connectez à votre compte et restent chiffrées jusqu'à ce que vous vous déconnectiez de votre compte, ce qui peut se produire lors de la fermeture ou de la fermeture de la session. Le fait que vos données soient déchiffrées lorsque vous êtes connecté ne rend pas le chiffrement inutile. Si une personne accède physiquement à votre ordinateur, le seul moyen de contourner votre écran de connexion consiste à entrer votre mot de passe actuel, à redémarrer le système et à modifier certains fichiers. S'ils redémarrent, votre système (FDE) ou vos fichiers utilisateur (chiffrement du répertoire personnel) seront chiffrés, vous offrant ainsi une protection contre la divulgation. À ma connaissance, il n’existe pas de porte dérobée qui permettrait à une personne assise à votre clavier de contourner le lockscreen à moins qu’elle ne dispose déjà d’une certaine forme de télécommande.

Désormais, dans l'éventualité où votre système serait compromis et qu'une porte dérobée offrant un accès à distance à un attaquant, votre système sera vulnérable à chaque fois que votre système ou vos fichiers sont déchiffrés. Aucune quantité de cryptage ne vous aidera dans ce cas. Vos seules solutions pour protéger vos fichiers sont 1) de les mettre hors ligne, avec le système, et 2) de supprimer les logiciels malveillants.

Une option de chiffrement d'écran de verrouillage:
Si vous souhaitez pouvoir chiffrer vos fichiers chaque fois que vous verrouillez votre écran, vous n’avez toujours pas d’options. Vous pouvez créer un conteneur de fichiers chiffrés et conserver vos fichiers sensibles dans ce conteneur. Ensuite, vous pouvez verrouiller manuellement le conteneur de fichiers avant de verrouiller votre écran ou écrire un script simple qui verrouillerait le conteneur de fichiers, puis verrouiller l'écran. De cette manière, vos fichiers peuvent être cryptés même lorsque votre système est en cours d'exécution. Tout ce que vous devez faire est de déchiffrer le conteneur de fichiers lorsque vous souhaitez l’utiliser.
Tout cela peut être accompli avec VeraCrypt , ou si vous préférez, comme moi, utiliser LUKS ...

#-------------------- Setup --------------------#
dd of=~/encrypted-fc count=0 seek=1 bs=1G       # bs should reflect maximum desired 
                                                #   container size. This command creates
                                                #   a sparse file that will grow
Sudo cryptsetup luksFormat ~/encrypted-fc       # set up file container encryption
Sudo cryptsetup luksOpen ~/encrypted-fc enc-fc  # decrypt the file container
Sudo mkfs.ext4 /dev/mapper/enc-fc               # create a file system in the container
Sudo cryptsetup luksClose enc-fc                # lock (encrypt) the file container

#--------------------- Usage ---------------------#
Sudo cryptsetup luksOpen ~/encrypted-fc enc-fc    # decrypt the file container
Sudo mount /dev/mapper/enc-fc /your/mount/point   # mount decrypted container

Sudo umount /dev/mapper/enc-fc                    # umount decrypted container
Sudo cryptsetup luksClose enc-fc                  # lock (encrypt) the file container
0
b_laoshi