Artiflo Inside » Chiffrement

La Loi, Truecrypt et le chiffrement de disque en France

Florian Cristina — Wed, 02 Feb 2011 20:19:55 +0000

Je lis souvent des commentaires d’utilisateurs de chiffrement de disque qui se félicite d’être à l’abri de la lois.

Petit kiddies prend garde à ce que tu fais si tu te sers de chiffrement de disque pour cacher des fichiers ayant des copyright ou à tendance pedobear que tu te fais gauler comme un noob et que tu ne remet pas les clés de chiffrement tu t’expose à des peine encore plus lourde.

Je rappel que Truecrypt n’est pas Plausible Deniability Proof. C’est à dire que bien que l’on ne puisse pas prouver qu’un fichier est un fichier chiffrer on peut le suspecter très très fortement ce qui peut être suffisant pour un juge. J’expliquais comment ici et TCHUNT et ici avec FITOOLS.

Rappel de la lois en France :

1. En France , la Loi pour la Confiance dans l’Économie Numérique (LCEN) du 21/06/04 rend l’utilisation des moyens de cryptologie libre. Article 30-I

L’utilisation des moyens de cryptologie est libre.

2. Selon l’Article 434-15-2 du code pénal, le refus de remise de la clé de chiffrement entraine ceci :

Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende [*taux*] le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.

3. Selon l’Article 132-79 du code pénal, l’utilisation d’un moyen chiffrement dans le but de commettre un délit peut engendrer une peine aggravante :

Lorsqu’un moyen de cryptologie au sens de l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue est relevé ainsi qu’il suit :

1° Il est porté à la réclusion criminelle à perpétuité lorsque l’infraction est punie de trente ans de réclusion criminelle ;

2° Il est porté à trente ans de réclusion criminelle lorsque l’infraction est punie de vingt ans de réclusion criminelle ;

3° Il est porté à vingt ans de réclusion criminelle lorsque l’infraction est punie de quinze ans de réclusion criminelle ;

4° Il est porté à quinze ans de réclusion criminelle lorsque l’infraction est punie de dix ans d’emprisonnement ;

5° Il est porté à dix ans d’emprisonnement lorsque l’infraction est punie de sept ans d’emprisonnement ;

6° Il est porté à sept ans d’emprisonnement lorsque l’infraction est punie de cinq ans d’emprisonnement ;

7° Il est porté au double lorsque l’infraction est punie de trois ans d’emprisonnement au plus.

Les dispositions du présent article ne sont toutefois pas applicables à l’auteur ou au complice de l’infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.

4. Enfin selon l’Article 230-1 de la procédure Pénal, la justice peut se donner les moyens d’essayer de trouver les clés de déchiffrement (heureusement j’ai envie de dire).

Sans préjudice des dispositions des articles 60, 77-1 et 156, lorsqu’il apparaît que des données saisies ou obtenues au cours de l’enquête ou de l’instruction ont fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair qu’elles contiennent ou de les comprendre, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue d’effectuer les opérations techniques permettant d’obtenir la version en clair de ces informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire.

Si la personne ainsi désignée est une personne morale, son représentant légal soumet à l’agrément du procureur de la République ou de la juridiction saisie de l’affaire le nom de la ou des personnes physiques qui, au sein de celle-ci et en son nom, effectueront les opérations techniques mentionnées au premier alinéa. Sauf si elles sont inscrites sur une liste prévue à l’article 157, les personnes ainsi désignées prêtent, par écrit, le serment prévu au premier alinéa de l’article 160.

Si la peine encourue est égale ou supérieure à deux ans d’emprisonnement et que les nécessités de l’enquête ou de l’instruction l’exigent, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut prescrire le recours aux moyens de l’Etat soumis au secret de la défense nationale selon les formes prévues au présent chapitre.

Maintenant que vous êtes prévus, sachez que même le FBI n’est pas arrivé à casser par la force brute un conteneur chiffré avec Truecrypt. J’en parlais ici.

Les conteneurs chiffrés sous truecrypt : Fichier vs Partition

Florian Cristina — Sat, 25 Dec 2010 21:00:21 +0000

Partition conteneur ou fichier conteneur ? Voici une question qu’on se pose souvent quand on veut se créer un conteneur chiffré avec Truecrypt.

Je vais essayer de brosser rapidement les avantages et les inconvénients, si vous en voyez d’autres n’hésiter pas à me le dire dans les commentaires Pour ma part je suis plutôt partisan des partitions conteneur parce que je trouve cela plus pratique, mais il faut avouer que les fichiers conteneur proposent de nombreux avantages non négligeable.

Avantages pour les partitions :

Il est plus difficile de supprimer une partition accidentellement.
La discrétion. A moins de lire les 512 premiers octets de la partition avec un lecteur hexadécimale, la partition chiffré apparait comme une partition vierge.

Avantages pour les fichiers :

Les fichiers sont plus faciles pour beaucoup de gens à comprendre.
Les fichiers sont plus faciles à déplacer ou copier.
Vous pouvez utiliser le reste de la partition pour les autres fichiers (comme les fichiers en mode voyageur).
Vous pouvez utiliser un fichier sur NAS.
Les fichiers sont déplaçables sur tous des sources en ligne pour faciliter leur partage.

Maintenant, vous pouvez vous lancer, et pensez à faire vos sauvegardes régulièrement

Truecrypt 7 : Accélération INTEL AES-NI est dans la place !

Florian Cristina — Tue, 20 Jul 2010 19:01:43 +0000

Truecrypt gère (enfin) les instruction AES-NI des processeurs INTEL. Mais qu’est ce donc que cela ? Mais si, je vous en parlais au début de l’année , les nouveaux processeur INTEL Core i5 et i7 sont pourvus de 6 instruction d’accélération matériel pour l’AES. Avec une augmentation des performances de x4 à x8 annoncé, je me devais d’écrire quelque dessus. Mais avant de parler de l’accélération matériel petit points sur les nouveautés de Truecrypt 7:

/!\ Support de l’AES-NI /!\.
Montage automatique de Volume (Favoris) uniquement pour Windows.
Taille des secteurs variables en fonctions du besoin pour les conteneurs de partition. Ce qui est très intéressant pour les possesseurs de nouveaux disque a très haute capacité ayant des secteurs plus gros que 512 octets ainsi que certains SSD.
Remplacement de l’API maison de gestion des fichiers d’hibernation par l’API de Microsoft pour Vista et supérieur.

La technique :

Maintenant que le tours des nouveautés est fait, je vais me concentrer sur l’accélération matériel de l’AES. Commençons par un rappel des nouvelles instructions. Outre les instructions liés à l’AES, Intel à ajouté une nouvelle instruction supportant le Carry-Less Multiplication (CLMUL) qui permet d’améliorer les performances des applications utilisant les algorithme de chiffrement par bloc. Nommé PCLMULQDQ ces instruction vont permettre d’optimiser le calcul de formule lié à la théorie des cors finie de ce bon vieux Evariste Gallois très utilisé en cryptographie (cocorico).

Ces équations étant utilisés dans des modes d’opération par exemple par :

OpenSSL à travers son implémentation de l’AES-GCM
Truecrypt et son implémentation du XTS-AES.

Alors penchons nous sur le détail de l’implémentation de l’AES-NI d’Intel dans cette nouvelle version de Truecrypt.

Sur ces 6 nouvelles instruction, il y en 4 pour l’AES et 2 pour la gestion des clés de chiffrement.

Les 4 AES sont :

AESENC (AES round encryption)
AESENCLAST (AES last round encryption)
AESDEC (AES round decryption)
AESDECLAST (AES last round decryption)

Les 2 pour la gestion des clés sont :

AESIMC
AESKEYGENASSIST

Les développeurs de Truecrypt 7 ont pris le partis de n’utiliser que les 4 instructions qui gère les tours de l’AES : AESENC, AESENCLAST, AESDEC,et AESDECLAST. Ces dernières permettent de générer les transformation AES : ShiftRows, SubBytes, MixColumns, InvShiftRows, InvSubBytes, InvMixColumns, et AddRoundKey.

Au 19 Juillet 2010 voici la liste des processeurs supportant l’accélération matériel :


Intel Core i7-980X Intel Core i5-650 Intel Core i5-655K Intel Core i5-660	Intel Core i5-661 Intel Core i5-670 Intel Core i5-680


Intel Core i5-520E Intel Core i5-520M Intel Core i5-520UM Intel Core i5-540M	Intel Core i5-540UM Intel Core i7-610E Intel Core i7-620M Intel Core i7-620LM	Intel Core i7-620UM Intel Core i7-640UM Intel Core i7-640LM Intel Core i7-660UM

Si votre processeur est compatible, vous n’avez rien a faire truecrypt le détecte tout seul et le paramètre pour utiliser le AES-NI. Pour avoir plus d’infos sur la gestion, aller dans Settings > Performance et verifier que ‘Processor (CPU) in this computer provides hardware acceleration for AES‘ est coché.

Si vous ne voulez pas de l’accélération AES-NI et que vous voulez garder un système de chiffrement entièrement Open-source aller dans Settings > Performance et désactivé l’option ‘Accelerate AES encryption/decryption by using the AES instructions of the processor‘.

Les performances :

Bon aller parlons performance. Les premiers résultat avec un i5-650 sous fedora 13 sont de l’ordre de x7… oui,oui, 7 fois plus performant soit une augmentation de prés de 700% des performances brut ! Passant de 287 Mo/s à 2 Go/s ! Awesome.

Et dans le cas de la combinaison de TC avec un autre algorithme (cascade de chiffrement) les performances sont augmentés de 80%. Passant pour de l’AES-Twofish de 150Mo/sec à 270Mo.

Ce sont des performances incroyable. On dépasse la limite de bande passante de la plus part des disques !

Voici les premiers bench venant de H-online. Un core i5-650 avec AES-NI désactivé Fedora 13 :

Un Core i5 avec AES-NI activé TC7 Fedora 13:

Merci à H-Online pour le bench.

AWESOME ! Je vous l’avais dit

Update : Voici d’autre benchmark de Truecrypt 7 sur un i7-620M. 1,7 Go/sec avec l’AES-NI activé alors que Truecrypt ne faisait que 287 mo/sec avec le même processeur en version 6. Cela confirme bien les premiers test, mais cette fois ci sur un processeur mobile !

Un Core i7-620M avec AES-NI :

Le même Core i7-620M mais cette fois si avec Truecrypt 6 (sans AES-NI donc) :

Merci à Rob47 pour ce bench.

Plus d’information ici pour l’accelération matériel de Truecrypt.

Si parmi vous certain ont des i5 ou i7 compatible, envoyez moi par email vos screenshot avec le type d’os et le type de processeur. Je les posterai ici.

Truecrypt plus fort que le FBI ?

Florian Cristina — Sat, 26 Jun 2010 19:56:44 +0000

L’année dernière, je décrivais dans ce blog, quelques résultats de mon mémoire sur le chiffrement de disque. Pour ceux qui l’aurait raté, c’est ici et surtout ici sur le PBKDF2.

Et bien le site globo.com annonce que le FBI vient de baisser les bras après un peu moins d’un ans de calcul intensif en vus de casser par force brute les clés de chiffrements protégeant un conteneur chiffré avec Truecrypt.

Alors comment analyser cette information ? D’un point de vu purement technique c’est une confirmation de la robustesse de Truecrypt face à une attaque toute basique par force brute. Mais ça on le savait déjà, merci le PBKDF2 et les mots de passe sûr. Mais qu’est ce qu’un mot de passe sûr aujourd’hui ? C’est au minimum, un mot de passe de 12 symboles alphanumérique contenant des caractères spéciaux.

Ceci dit, c’est dommage que cette démonstration se face au détriment de la justice, car le conteneur chiffré appartenait à un grand financier Brésilien condamné à 10 ans de prison pour tentative de corruption sur agent de police.

FreeOTFE vs Truecrypt

Florian Cristina — Thu, 29 Apr 2010 17:57:35 +0000

Je vais comparer aujourd’hui 2 solutions de chiffrement de disque, gratuite ET open-source pour Windows. D’un coté Truecrypt qui fait figure de poids lourd et de l’autre FreeOTFE mois connus mais qui possède tout de même des atouts. Je vais me focaliser uniquement sur leurs différences sans traiter des points communs. Pour en savoir plus sur truecrypt je vous encourage à lire les autres articles que j’ai écris à ce sujet.

Si j’ai le temps je ferai dans un prochain billet un benchmark au niveau des performance entre ces 2 logiciels.

Bon aller stop le blabla passons à la comparaison.

Les Plus de FreeOTFE face à Truecrypt :

Version portable ne nécessitant pas les droits root/Admin pour fonctionner.
Plus d’algorithme de chiffrement supporté.
Plus d’algorithme de génération d’empreinte supporté.
Possibilité de gérer les itération.
Support de certain PDA en windows mobile (oui ça existe encore).

Les Plus de Truecrypt face à FreeOTFE :

Gestion du FDE (Full Disk Encryption ou en français chiffrement complet de disque).
Possibilité de cascader les algorithme de chiffrement.
Support Linux et Mac.

Conclusion :

Truecrypt apparait comme étant le logiciel le plus poussé en matière de sécurité en proposant entre autre le FDE, l’Hiden FDE et la cascade d’algorithme. Alors que FreeOTFE est plus mobile avec sa fonctionnalité d’ouverture de dossier chiffré sans les droits root/Admin.
En 2 mots je dirais que Truecrypt permet d’avoir plus de sécurité et FreeOTFE plus de mobilité.

FreeOTFE est disponible ici et Truecrypt là.

Liste de fournisseurs VPN OpenVPN

Florian Cristina — Mon, 29 Mar 2010 20:17:55 +0000

Quand je parle de VPN, je parle rarement du vieux PPTP car ce papy date de Juillet 1999 avec la RFC2637. Mais plutôt de OpenVPN qui est aujourd’hui la référence en matière de VPN libre et robuste.

Voici une liste rapide de fournisseurs de VPN supportant openvpn (classé par ordre alphabétique) :

Fournisseurs	Pays	Prix	Bande Passante
Ace VPN	USA (California, Illinois, Pennsylvania) and Europe (France, Germany, Italy, Netherlands, UK).	$5/ mois	Illimité
Anonyproz	USA, UK, Malaysia.	$10/ mois	Illimité
AnonymityNetwork	USA, Canada, Netherlands, Germany	$25.8/mois	120 GB
ConnectionVPN	USA, Luxembourg	$5/ mois	Illimité
CyberGhost VPN	Germany	1GB free/ 40GB – 9.99 EUR	40 GB
Darknet VPN	Germany	5 EUR/ mois	Illimité
HideIpVPN	USA, UK, Germany	$9.95/mois	Illimité
Overplay	USA, UK, Ireland, Germany, France, Canada, Sweeden, Switzerland, Norway, Poland	$9.95/mois	Illimité
Perfect-Privacy	USA, Australia, Malaysia, China, Iran, Israel, Russia, Romania, Germany, Switzerland, Luxembourg, France, Canada, Panama, Argentina	$25/ mois	Illimité
PQR Tunnel	Sweden	$10/mois	512kbit
SwissVPN	Sweden	5 EUR/mois	512kbit
TorrentFreedom	Netherlands	$17/ mois	Illimité
UnblockVPN	UK, Czech Republic, SK	$4.99/ mois	Illimité
USAIP	USA, EU, Asia	$9/mois	Illimité
VPNout	USA	$25/3 mois	Illimité
Vpntunnel	Sweden	5 EUR/ mois	Illimité
WiTopia personalVPN	USA, UK, Hongkong	$59.99/ ans	Illimité

Configurer Vpntunnel.se pour Windows XP

Florian Cristina — Sun, 14 Mar 2010 21:20:01 +0000

Ce tutorial est désuet avec la mise avec l’apparition en Janvier 2011 du nouveau client de vpntunnel disponible sur mon blog ici.

Suite à mon test de vpntunnel.se, je vous propose ce petit tuto pour les débutants en tunnel VPN sous Windows XP.

Une fois que vous avez créer votre compte sur vpntunnel.se et que vous avez effectué votre paiement, vous devez avoir reçu un mail de confirmation. A présent, identifiez vous sur www.vpntunnel.se/

Vous devez atterrir sur cette page, cliquer sur l’onglet « Software » :

Dans la page « Software », à la ligne « Windows », cliquez sur le liens « Software ». Cela aura pour effet de vous faire télécharger l’installateur de client graphique de OpenVPN :

Aller dans votre répertoire de téléchargement, puis double cliquer sur l’exécutable. Ce qui va lancer l’installateur de OpenVPN. Cliquer sur « Next » :

Cliquer sur « I agree » :

Cliquer sur « Next » :

Cliquer sur « Install » :

Cliquer sur « Continuer » :

Cliquer sur « Next » :

Cliquer sur « Finish » :

Maintenant que l’installation du logiciel OpenVPN est terminé, on va le lancer. Double cliquer sur son icône sur votre bureau. Ceci aura pour effet de le faire apparaitre dans votre barre des tache :

Faite un double clic sur l’icone d’OpenVPN. Cela va faire apparaitre un écran vous demander votre login et mot de passe de vpntunnel.se. Les même que ceux que vous avez utiliser pour connecter sur le site de vpntunnel.se. Puis cliquez sur « OK ».

Cliquer sur débloquer si l’alerte de sécurité de Windows s’affiche :

Si tout c’est bien passé vous devez avoir maintenant en bas à droite l’icone d’OpenVPN avec 2 écrans vert. Avec un message vous donnant votre nouvelle adresse IP :

A présent que le tunnel VPN est créer vous pouvez tester votre connexion. Lancer votre navigateur web et aller sur la page : www.mon-ip.com et vous pouvez constater que votre IP est a présent celle de vpntunnel basé en Suède !

C’est terminé.

Si vous voulez vous déconnecté faite un clic-droit sur l’icone d’OpenVPN, puis cliquez sur disconnect :

PS : Attention toutefois aux utilisateurs d’IPV6. Si vous ne voyez pas de quoi je parle ne lisez pas la suite. Pour les noob, je vous rassure c’est désactivé par defaut. OpenVPN avec vpntunnel.se ne fonctionne par défaut qu’en IPV4, donc si vous avez activé l’IPV6 votre connexion ne passera pas par le tunnel.

Connexion VPN pour 5 euros/mois : vpntunnel.se

Florian Cristina — Sun, 17 Jan 2010 17:56:34 +0000

MAJ 0 : Nouveau grand comparatif de fournisseur OPENVPN VPN à 5 euros.

MAJ 1 : Je viens d’écrire un tutoriel complet pour Windows XP et vpntunnel.se ici.

Après de nombreux article sur le chiffrement de disque j’ai décidé dans consacrer 1 sur le chiffrement de connexion internet pour boucler la boucle.

Ayant besoin d’un fournisseur de tunnel VPN pour mon utilisation personnel, j’ai écumé le web pour trouver chaussure à mon pied.

Comme contraire j’avais ceci :

Prix max : 5 euros / mois.
Protocole : OpenVPN.
Paiement : Paypal.
Log : Pas de conservation.
P2P : Autorisé.
Trafic : illimité.
BP : Au moins 90% de ma ligne ADSL.

A partir des billets filesharefreak.com et de vpnblog j’ai finis par sélectionner vpntunnel.se.

J’ai bien aimé le fait que les pages de présentations et howto soit traduite en français et le fais que je puisse payer directement en euros à travers paypal et pas en KR. La création du compte est très rapide, et le processus de paiement et tout automatisé. J’ai eu accès à ma connexion vpn juste après le paiement paypal.

La partie gestion du compte est toute en anglais (ouf), elle est claire et facile d’accès avec des tuto pour windows/linux et MAC.

Quelques screenshoot :

Alors passons à la partie de test réel. Une fois openvpn pré-configuré télécharger puis installé (click-click-click) sur ma VM windows XP je lance un traceroute vers free.fr (mon FAI ADSL).

Han ! 20 sauts avant d’atteindre free.fr. Les gamers passer votre chemin ce n’est pas pour vous. Ça tombe bien je ne suis pas un gamer

Vite firefox et un petit coup de monip.org :

Parfait plus ! Mais attendez 80.67.15.132 c’est bien gentil comme IP mais où qu’il est le serveur ?

En Suède, le pays d’IKEA !

Aller passons aux test de BP.

Je vais télécharger une image de Ubuntu en torrent. Ma connexion ADSL fait 800 ko/sec max.

Avec le VPN activé j’atteins les 750 ko/sec en moyenne soit plus de 90% de la capacité de ma connexion. Cool.

Allez maintenant vérifions que mes paquet sont bien chiffré. Pour cela j’ai besoin de ce bon wireshark.

Great !

Difficile de tirer une conclusion définitive au bout de seulement 24 heures d’utilisation mais pour l’instant le service de vpntunnel.se me satisfait à 100%.

Surtout pour 5 euros/mois je vous recommande donc : vpntunnel.se.

Truecrypt 6.3a et Westmere : C’est pas encore ça.

Florian Cristina — Thu, 07 Jan 2010 21:51:20 +0000

Les Westmere sont la première génération de processeur INTEL intégrant plusieurs instructions d’optimisation du calcul de l’AES et de ses clés de chiffrement comme j’expliquais ici .

Je vous l’annonce tout de suite la version 6.3a de Truecrypt n’intègre pas encore ces optimisations. Et donc forcément les performances sont, à puissance égales, les même que pour la génération Nehaelm ou même Conroe.

Le site hardcoreware propose un graphique résumant tout cela :

La balle est à présent dans le camps des dev de TC.

Truecrupt 6.3 compatible Windows 7

Florian Cristina — Thu, 22 Oct 2009 15:11:21 +0000

Comme promis,Truecrypt 6.3 apparait avec la sortie de Windows 7 . Cette nouvelle version apporte des nouveautés trés interessante:

Le support complet de Windows 7. Plus besoin de bidouille comme j’avais expliqué ici.
Le support complet de MacOS 10.6.
Mais aussi d’un nouveau système de volume favoris. Cela peut être très pratique dans le cas où vous avez besoin que des volumes soit montés avant que l’OS, les applications et les services démarrent et aussi avant que l’utilisateur s’identifie. Cela peut être aussi très sympa dans le cas d’un dossier de partage réseau qui est dans un volume truecrypt et qu’il faut que les partages réseaux soit restauré à chaque fois que l’OS est redémarré.

Mais aussi la correction de bug mineur.

Plus de détail sur le site de truecrypt.