Existe-t-il un moyen de rendre mon disque dur inaccessible à tout le monde sauf à moi?

63

Laissez-moi d'abord vous raconter une histoire de sauvegarde: un technicien en informatique m'a mis au défi de lui donner mon ordinateur portable et de lui demander toute information que je voulais "cacher" dans mon disque dur. Il a affirmé qu'il serait capable de récupérer n'importe quoi, peu importe ce que je fais pour le cacher.

Comme je n'apprécie pas les affirmations absolues du type: "et que vous ne pouvez rien y faire", j'ai commencé à penser à cela dans ma tête. Je me suis rendu compte qu'un système d'exploitation très sécurisé ne le couperait pas, puisqu'il n'a pas besoin de démarrer à partir de ce disque dur spécifique pour trouver des éléments dans mon disque dur.

La question générique est la suivante:

Existe-t-il un moyen de sécuriser complètement toutes les données d'un disque dur? (Je n'ai pas besoin d'explication détaillée sur la façon de le faire, j'ai juste besoin que vous me dirigiez vers une direction; je peux en lire plus à ce sujet moi-même)

Plus précisément, je soupçonne d’avoir besoin de:

  • Un système d'exploitation très sécurisé, qui crypte éventuellement toutes les données qu'il stocke (aucune idée de l'existence d'une telle chose).

  • Si ce qui précède n'existe pas, existe-t-il un moyen de chiffrer manuellement les données de mon disque dur tout en permettant de démarrer à partir de ce disque?

En général, je souhaite que le disque dur soit le moins accessible possible pour quiconque n’est pas moi (= connaît un mot de passe / une clé spécifique), toute solution est donc la bienvenue.

F1234k
la source
35
Cryptez-le et demandez un mot de passe fort ou une clé de cryptage que vous avez sur une clé USB pour décrypter. Il vient de perdre le match. Vous pourriez probablement simplement créer un fichier RAR protégé par mot de passe avec un mot de passe fort. Désolé de le dire, mais je peux sentir son attitude d'adolescent naïf à partir d'ici.
Daniel Andersson
6
C'est un tour! S'il vaut la peine d'être appelé technicien en informatique, alors il voudra probablement préparer quelques farces
3
implantez-le dans votre corps et faites-le vibrer de manière inconfortable lorsqu'il est utilisé ...
ratchet freak
3
Donnez-lui un ordinateur portable avec des données de disque dur complètement aléatoires et défiez-le de trouver le message secret caché à l'intérieur. Si vous pouvez dériver un message à partir de ce flux de bits et d’une clé secrète, il s’agit techniquement d’un cryptage (réalisable avec OTP ainsi que de tout cryptage de flux), qui présente l’avantage de résister quelque peu à la subpoena, car vous pouvez conserver une clé factice qui décrypter en quelque chose d'inoffensif.
Thomas

Réponses:

66

Il suffit de chiffrer la plupart des fichiers sensibles. Un fichier ZIP crypté avec AES 256 bits et un bon mot de passe long est pratiquement impossible à obtenir sans le mot de passe. (Évitez d'utiliser le cryptage ZIP hérité connu sous le nom de cryptage de flux PKZIP / ZipCrypto - il est connu pour être faible.)

Il est également possible de chiffrer une partition entière en masquant tout ce qui s'y trouve. Truecrypt est en quelque sorte le programme standard de facto pour le chiffrement de partition / image domestique (et certaines entreprises). La meilleure chose à propos de Truecrypt par rapport aux outils intégrés au système d’exploitation est probablement son portable : il existe une version pour Windows, Mac OS X et Linux, qui constitue la grande majorité des systèmes d’exploitation grand public.

Si vous souhaitez tout masquer , vous pouvez chiffrer toutes les partitions de votre système, y compris celle à partir de laquelle vous démarrez. Il n'est pas possible de lire des données à partir d'un lecteur crypté sans connaître le mot de passe / la clé. Le système d'exploitation Windows ne prend pas toujours en charge le démarrage à partir d'un disque dur crypté. * Truecrypt possède ce qu'il appelle le cryptage système . Ils l'ont bien résumé:

Le chiffrement du système implique une authentification préalable au démarrage, ce qui signifie que toute personne souhaitant accéder au système chiffré et l’utiliser, lire et écrire des fichiers stockés sur le lecteur système, etc., devra entrer le mot de passe correct chaque fois avant que Windows ne démarre. ). L'authentification avant amorçage est gérée par le chargeur de démarrage TrueCrypt, qui réside dans la première piste du lecteur d'amorçage et sur le disque de récupération TrueCrypt.

Ainsi, le chargeur de démarrage Truecrypt se chargera avant votre système d'exploitation et vous demandera votre mot de passe. Lorsque vous entrez le mot de passe correct, il charge le chargeur de démarrage du système d'exploitation. Le disque dur est crypté à tout moment, aussi un CD amorçable ne pourra-t-il pas lire les données utiles.

Ce n'est pas difficile non plus de chiffrer / déchiffrer un système existant:

Notez que TrueCrypt peut crypter une partition / un lecteur système non-crypté existant sur place pendant que le système d'exploitation est en cours d'exécution (pendant le cryptage du système, vous pouvez utiliser votre ordinateur normalement, sans aucune restriction). De même, une partition / lecteur système chiffré par TrueCrypt peut être déchiffré sur place lorsque le système d'exploitation est en cours d'exécution. Vous pouvez interrompre le processus de chiffrement ou de déchiffrement à tout moment, laisser la partition / le lecteur partiellement non chiffré, redémarrer ou éteindre l'ordinateur, puis reprendre le processus, qui se poursuivra à partir du point où il a été arrêté.


* Divers autres systèmes d'exploitation prennent en charge le chiffrement de lecteur système. Par exemple, le noyau Linux 2.6 et les versions plus récentes ont dm-crypt , et les versions Mac OS X 10.7 et plus récentes ont FileVault 2 . Windows prend en charge BitLocker , mais uniquement dans les éditions Enterprise / Business / Server, et uniquement dans Vista et les versions plus récentes. Comme indiqué ci-dessus, Truecrypt est plus portable, mais il manque souvent l'intégration nécessaire pour chiffrer les lecteurs système, Windows étant l'exception.

Bob
la source
4
La vraie crypte, c’est ce que j’ai utilisé et qui me fait très plaisir
Rippo
4
Une mise en garde lors du chiffrement d'un lecteur existant non chiffré: s'il s'agit d'un état solide, il se peut qu'il ne réécrive pas sur les mêmes secteurs, car ils varient pour prolonger la durée de vie du disque. Donc, les données sur un disque SSD ne sont réellement sécurisées que si elles ont été chiffrées dès le début.
Nathan Long
13
"En fait, la plupart des systèmes d'exploitation ne prennent pas nativement en charge le démarrage à partir d'un disque dur crypté." - Ce n'est même pas tout à fait vrai. Windows a BitLocker , Mac a FileVault 2 .
Josh3736
9
@ Josh: Ce sont les systèmes d'exploitation avec le plus d'utilisateurs, pas la plupart des systèmes d'exploitation.
Ben Voigt
6
@ BenVoigt, c'est un argument un peu ridicule. "Bien sûr, les systèmes d’exploitation utilisés sur 3/4 des ordinateurs supportent nativement FDE, mais pas BeOS!"
josh3736
51

Une phrase - Full Disk Encryption, de préférence avec une belle clé longue et non digne du dictionnaire. Vous pouvez également rechercher des systèmes utilisant un fichier de clé externe. Fondamentalement, étant donné que tout le système autre que le chargeur de démarrage est chiffré, il n’ya pas d’ attaque directe par accès à la mémoire , c’est-à-dire utilisez un firewire ou un autre périphérique doté du DMA pour obtenir le contenu de la mémoire et / ou utilisez une attaque par démarrage à froid pour obtenir des informations. Twarting est simple: assurez-vous simplement que le système est éteint et que la batterie est retirée juste avant de remettre le système. Si c'est juste un disque dur, ces deux attaques sont improbables

Je ferais probablement un tir véronique, utiliser un mot de passe TRÈS long et aléatoire (la longueur rend le forçage brutal plus difficile, et le hasard empêche une attaque par dictionnaire) et le laisser aller en ville avec. Alternativement, certaines versions de Windows ont Bitlocker - qui est une forte option FDE intégrée dans Windows. De même, il existe des solutions pour Linux telles que luks et dmcrypt.

Ou remplissez un disque avec des données aléatoires ... et voyez combien de temps il ne la trouvera pas;)

Compagnon Geek
la source
70
+1 Ou remplissez un disque avec des données aléatoires. oh oui
Tog
1
Ah, des données aléatoires: D Juste comme ce bit dans Cryptonomicon (référence plus détaillée non incluse car il gâcherait un des bits amusants ..)
tanantish
14

Ne tombez pas dans les pièges du genre "donne-moi le mot de passe pour que je puisse vérifier les résultats".

Une conférence de sécurité à laquelle je suis allé a demandé des mots de passe au début. À mi-parcours, le présentateur a déclaré que le plus grand risque en matière de sécurité était VOUS, car la plupart des gens avaient mal communiqué leur mot de passe.

(Et oui, il suffit de chiffrer les données pertinentes.)

NimChimpsky
la source
12

Vous pouvez "cacher" le fichier dans une image? Cela pourrait le décourager - ou du moins lui prendre un peu de temps pour le résoudre. Peut-être.

http://lifehacker.com/282119/hide-files-inside-of-jpeg-images

bobknows
la source
2
Ou même à l'intérieur des binaires du programme crazyboy.com/hydan
Dan D.
18
Ceci est autrement connu comme la stéganographie.
Chad Harrison
4
Ou la sécurité à travers l'obscurité?
vsz
9

Je suis d'accord avec l'autre réponse TrueCrypt. Cependant, j'ai un point important à ajouter: la fonctionnalité de déni plausible de TrueCrypt. Cela signifie que TrueCrypt ne laisse aucune signature identifiable de manière positive sur les disques / fichiers qu’elle chiffre. Ainsi, personne ne peut prouver si un ensemble de bits sur le disque sont des bits aléatoires ou des données cryptées. C'est tellement important que cela a eu des implications dans une affaire récente.

poison lent
la source
Je serais intéressé de savoir de quelle affaire il s'agissait.
Chad Harrison
3
Voici le lien ca11.uscourts.gov/opinions/ops/201112268.pdf Gist: les utilisateurs de TrueCrypt ne peuvent être contraints de divulguer leurs mots de passe. Le cinquième amendement s'applique.
slowpoison
7

Bon nombre des réponses affichées sont de bonnes réponses.

En plus, vous voudrez peut-être regarder un asynchroneoutil de chiffrement asymétrique comme GnuPG . C'est un peu plus compliqué que de chiffrer dans un fichier ZIP car vous avez affaire à des clés publiques et privées . Je pense que j'ai peut-être entendu parler d'une université en Europe qui casserait ce type de chiffrement avec des circonstances très particulières. Vous voudriez toujours mettre les mots de passe et les clés sur un lecteur USB, ou ailleurs que sur le lecteur que vous donnerez au challenger.

De plus, un professeur m'a dit une fois que si vous voulez quelque chose d'absolument caché, rechiffrez le fichier crypté avec un nouvel ensemble de clés. Ainsi, si le chiffrement de premier niveau est déchiffré, l’attaquant ne le saura pas, car tout semblerait chiffré.

J'espère que cela t'aides.

Chad Harrison
la source
4
"Un professeur m'a dit une fois que si vous voulez quelque chose d'absolument caché, rechiffrez le fichier crypté avec un nouvel ensemble de clés." est faux pour la plupart des cryptosystèmes. Considérez ROTn. Chiffrer ROTn (ROTm (x)) = ROT {m + n} (X). L’attaquant ne réalisera même pas que vous avez fait ROTn (ROTm (x)), mais tente directement de déterminer m + n. Il n'y a pas de sécurité supplémentaire.
emory
1
@emory Intéressant à noter. Je suppose que les professeurs sont aussi des personnes. Je pense que je comprends ce que vous voulez en venir. Je vais vérifier dans cela.
Chad Harrison
GnuPG n'est pas asynchrone, c'est asymétrique (dans son mode par défaut). Il prend également en charge le cryptage conventionnel (symétrique, à clé identique).
un CVn
3
De plus, j'imagine que le professeur faisait référence à des algorithmes de chiffrement un peu plus sophistiqués que les simples chiffrements de substitution. Si vous prenez un texte en clair P, chiffrez-le ensuite avec (par exemple) AES avec la clé K1, puis chiffrez le texte chiffré obtenu avec AES et une clé différente K2 ( C = AES( AES(P,K1), K2 ), K1 ≠ K2). Le texte chiffré obtenu ne ressemblera en rien à, par exemple, la sortie de AES (AES (P, K2), K1) (inversion de l'ordre des touches). Cette propriété ne s'applique pas aux chiffrements de substitution simples tels que ROTn.
un CVn
@ MichaelKjörling Merci pour la correction sur asymétrique. Je savais que c'était quelque chose et parfois, je me souviens mal. ;)
Chad Harrison
6

Intéressant que le mot masquer doive être mis entre guillemets, car ils semblent savoir que rien ne se cache réellement dans leurs suggestions. Je me demande si ce technicien en informatique a tenu ses mains en l'air et a fait les mouvements de la main associés aux guillemets quand il a dit «cacher» également.

J'en doute. Bien que le cryptage puisse empêcher l'accès, avoir un fichier zip crypté sur votre bureau appelé "Nothing_to_see_here.zip" ne cache rien.

Certains ordinateurs portables offrent la possibilité de protéger le lecteur par un mot de passe. Une fois activé, vous avez le choix entre deux options: entrer le mot de passe ou formater le lecteur. Dell est l'une de ces sociétés qui inclut cette fonction. D'accord. Vous pouvez ÉGALEMENT appeler Dell après avoir saisi trois fois le mauvais mot de passe. Vous pouvez leur donner le code de challenge présenté sur votre écran. Ils vous donneront le code de réponse permettant de contourner le mot de passe ... mais ils factureront également ce service. si votre garantie a expiré. Encore une fois ... cela ne cache rien.

Il y a un monde de différence entre permettre à une personne d'accéder à une pièce afin qu'elle puisse rechercher quelque chose cachée (se cacher) et la lui interdire d'entrer (cryptage).

Puisque je n’apprécie pas les affirmations absolues du type "et il n’y a rien à faire"

Non, vous n'avez pas aimé ce technicien vous disant essentiellement qu'il savait quelque chose que vous ne saviez pas et / ou qu'il était meilleur que vous à quelque chose. C'est pourquoi vous avez immédiatement essayé de trouver un moyen d'améliorer ce technicien au lieu de vous rendre compte que ce qu'il disait ne voulait rien dire.! Cela ne vous aurait pas blessé le moins du monde d’avoir admis tout de suite et qu’il pourrait peut-être TROUVER le fichier que vous avez eu HIDDEN. Bien sûr, vous auriez dû lui demander de définir ce que cacher signifie dans ce contexte ... puisqu'il semble (encore une fois) que "caché" signifie apparemment différentes choses pour différentes personnes. Quoi qu'il en soit, votre problème avec son défi n'a rien à voir avec sa fierté, et tout à voir avec votre incapacité à accepter la possibilité qu'il pourrait effectivement être meilleur que vous à quelque chose. C'est pourquoi vous ne pouvez pas laisser le défi seul. C'est pourquoi vous n'appréciez pas de telles affirmations. Parce que la vérité est, il y a des moments où des choses vont se passer dans votre vie et il n'y aura rien que vous ne puissiez faire.

Vous voulez un moyen de garder les fichiers auxquels vous accédez régulièrement ne sont pas retrouvés? Gardez-les hors de votre ordinateur. Comment sur cela? Rangez-les sur un lecteur flash. Ensuite, vous pouvez conserver les fichiers sur vous en tout temps, et personne ne peut accéder à votre ordinateur portable pour les obtenir lorsque vous n'êtes pas à proximité. Qui a fait la règle stupide que tous vos fichiers doivent rester sur votre ordinateur portable à tout moment? Je ne parle pas de la vantardise puérile des techniciens et du jeu que vous avez transformé en cela. Une fois que vous avez crypté le fichier, ou que vous l'avez caché dans une image, ou que vous l'avez supprimé de votre ordinateur sur un lecteur flash, le jeu est terminé. Pourquoi? Parce que vous n'avez pas défini les paramètres de ce défi ... et je peux deviner ce qu'ils sont.

  • Le fichier doit être accessible quelque part.
  • Vous devez jouer le rôle d'un imbécile ignorant qui pense que le simple fait de coller un fichier dans un répertoire en dehors des sentiers battus est la mesure dans laquelle vous pouvez être caché.

Une fois que vous vous en éloignez, le jeu est terminé et vous "n'avez pas compris ce qu'il voulait dire".

Bon Gart
la source
4
Mais si vous perdez le lecteur flash ou le laissez quelque part? Oh mon Dieu ... Au fait, il a dit cacher des informations , pas des fichiers .. différence subtile, puisque les informations cryptées sont essentiellement cachées. Et il est théoriquement possible de casser n'importe quel cryptage.
Bob
1
Quelqu'un dit que je peux vous trouver où que vous soyez caché si nous jouons à cache-cache ... et cela vous fait tellement chier que vous devez changer le jeu en TAG où ils doivent vous toucher pour gagner. Que se passe-t-il si votre disque dur tombe en panne ... Oh mon Dieu. Et les informations cryptées sont verrouillées et non cachées. Si vous avez besoin d'une clé, celle-ci est verrouillée. S'il a trouvé le fichier crypté, cela signifie-t-il qu'il a trouvé l'information? A-t-il jamais dit qu'il devait pouvoir visualiser les informations ou simplement les TROUVER?
Bon Gart
3
Une information! = Un fichier. L'information serait obtenue en lisant le contenu d'un fichier. Avoir le fichier mais ne pas pouvoir le lire signifie que les informations qu'il contient sont toujours cachées.
Yamikuronue
Je comprends que vous et Bob estimez que "l'information" ne signifie pas "fichier". Dîtes-moi. Qu'est- ce que le technicien informatique de cette question pensait exactement par information? Voulait-il dire "fichier"? Est-ce qu'il assimile les deux? Vous n'avez pas besoin d'un super cryptage. Vous pouvez simplement décomposer ces "informations" en petits morceaux, les convertir en hexa, et créer des répertoires dans C: \ Windows nommés ces morceaux. Si vous leur faites 32 caractères de long, ils sembleront être des répertoires normaux. Vous seul savez que si vous traduisez les noms, vous avez vos informations.
Bon Gart
Mais depuis le TITRE de la question est « Est - il un moyen de rendre mon disque dur inaccessible à tout le monde , mais moi? » ensuite, aux fins de cette discussion, les informations que contient le fichier EQUAL .
Bon Gart
3

J'utilise des lecteurs virtuels TrueCrypt qui sont sécurisés par des mots de passe très longs et des fichiers de clés stockés sur un usb. J'initie également des délais d'attente sur des lecteurs virtuels ouverts lorsque l'activité est absente pendant un temps donné. J'utilise ce type de sécurité depuis des années. Je traite des bases de données très volumineuses avec ces disques virtuels sans aucun problème de performances.

Peter
la source
Utilisez-vous un processeur avec un support matériel pour AES, tel que Sandy Bridge?
drxzcl
2

Ubuntu fournit un cryptage de lecteur de maison qui est assez sécurisé .. J'ai dû lutter pour récupérer mes propres données même si je connaissais ma propre clé .. des informations sur le cryptage de lecteur de maison peuvent être trouvées ici :

Osama Javed
la source
2

Le cryptage est inutile contre les assignations à comparaître et / ou la torture. Tout ce que l’informatique doit faire, c’est peut-être alléguer de manière anonyme que le fichier dans lequel Nothing_to_see_here.zip est plein de porn kiddie Le FBI le saisira dans son magasin et lui demandera le mot de passe. Il leur dira que c'est votre ordinateur.

Il y aura des manœuvres légales. Vous finirez en prison ou restez libre. Quoi qu'il en soit, les techniciens en informatique ont appris quelque chose d'intéressant à propos de votre fichier secret.

Alternativement, il pourrait alléguer un problème avec l'ordinateur portable qui nécessite une réparation $ x. Votre autorisation ou absence d'autorisation de réparation lui dira quelque chose sur la valeur économique de Nothing_to_see_here.zip.

Emory
la source
2
On dirait que le 5ème amendement aux États-Unis pourrait vous protéger de ne pas divulguer votre mot de passe outsidethebeltway.com/… celui-ci mentionne spécifiquement TrueCrypt privacycast.com/…
Matthew Lock le
2

Relevez ensuite le défi, quelqu'un vous a déjà dit, créez un fichier, placez le fichier que vous souhaitez "masquer" dans un fichier RAR ou 7-Zip , avec un cryptage complet pour qu'il ne puisse pas vérifier quels fichiers se trouvent dans le fichier compressé. Utilisez un mot de passe fort avec des chiffres, un alphabet et des symboles. Ensuite, effacez le fichier d'origine avec un outil tel que Suppression Sécurisée (ou un outil similaire).

Fait, maintenant, il ne peut presque plus rien faire.

MrShoy
la source
2

Si vous souhaitez obtenir le plus haut niveau de sécurité, quelque chose que même les gouvernements ne peuvent légalement vous obliger à prendre en compte, consultez TrueCrypt . Avec TrueCrypt, vous pouvez réellement transformer un espace vide en une partition montée. En tant que tel, si le système est inspecté, il devrait ressembler à de vieux en-têtes de données, ce que vous verriez sur tous les disques durs ayant déjà effacé des données. Comme il n’existe aucune preuve de données utilisables, lisibles ou récupérables, vous n’êtes pas légalement tenu de fournir un accès à ces données. Il utilise également des mots de passe cryptés de nombreux niveaux et des performances substantielles.

BloodyIron
la source