Artiflo Inside » Truecrypt

La Loi, Truecrypt et le chiffrement de disque en France

Florian Cristina — Wed, 02 Feb 2011 20:19:55 +0000

Je lis souvent des commentaires d’utilisateurs de chiffrement de disque qui se félicite d’être à l’abri de la lois.

Petit kiddies prend garde à ce que tu fais si tu te sers de chiffrement de disque pour cacher des fichiers ayant des copyright ou à tendance pedobear que tu te fais gauler comme un noob et que tu ne remet pas les clés de chiffrement tu t’expose à des peine encore plus lourde.

Je rappel que Truecrypt n’est pas Plausible Deniability Proof. C’est à dire que bien que l’on ne puisse pas prouver qu’un fichier est un fichier chiffrer on peut le suspecter très très fortement ce qui peut être suffisant pour un juge. J’expliquais comment ici et TCHUNT et ici avec FITOOLS.

Rappel de la lois en France :

1. En France , la Loi pour la Confiance dans l’Économie Numérique (LCEN) du 21/06/04 rend l’utilisation des moyens de cryptologie libre. Article 30-I

L’utilisation des moyens de cryptologie est libre.

2. Selon l’Article 434-15-2 du code pénal, le refus de remise de la clé de chiffrement entraine ceci :

Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende [*taux*] le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.

3. Selon l’Article 132-79 du code pénal, l’utilisation d’un moyen chiffrement dans le but de commettre un délit peut engendrer une peine aggravante :

Lorsqu’un moyen de cryptologie au sens de l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue est relevé ainsi qu’il suit :

1° Il est porté à la réclusion criminelle à perpétuité lorsque l’infraction est punie de trente ans de réclusion criminelle ;

2° Il est porté à trente ans de réclusion criminelle lorsque l’infraction est punie de vingt ans de réclusion criminelle ;

3° Il est porté à vingt ans de réclusion criminelle lorsque l’infraction est punie de quinze ans de réclusion criminelle ;

4° Il est porté à quinze ans de réclusion criminelle lorsque l’infraction est punie de dix ans d’emprisonnement ;

5° Il est porté à dix ans d’emprisonnement lorsque l’infraction est punie de sept ans d’emprisonnement ;

6° Il est porté à sept ans d’emprisonnement lorsque l’infraction est punie de cinq ans d’emprisonnement ;

7° Il est porté au double lorsque l’infraction est punie de trois ans d’emprisonnement au plus.

Les dispositions du présent article ne sont toutefois pas applicables à l’auteur ou au complice de l’infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.

4. Enfin selon l’Article 230-1 de la procédure Pénal, la justice peut se donner les moyens d’essayer de trouver les clés de déchiffrement (heureusement j’ai envie de dire).

Sans préjudice des dispositions des articles 60, 77-1 et 156, lorsqu’il apparaît que des données saisies ou obtenues au cours de l’enquête ou de l’instruction ont fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair qu’elles contiennent ou de les comprendre, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue d’effectuer les opérations techniques permettant d’obtenir la version en clair de ces informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire.

Si la personne ainsi désignée est une personne morale, son représentant légal soumet à l’agrément du procureur de la République ou de la juridiction saisie de l’affaire le nom de la ou des personnes physiques qui, au sein de celle-ci et en son nom, effectueront les opérations techniques mentionnées au premier alinéa. Sauf si elles sont inscrites sur une liste prévue à l’article 157, les personnes ainsi désignées prêtent, par écrit, le serment prévu au premier alinéa de l’article 160.

Si la peine encourue est égale ou supérieure à deux ans d’emprisonnement et que les nécessités de l’enquête ou de l’instruction l’exigent, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut prescrire le recours aux moyens de l’Etat soumis au secret de la défense nationale selon les formes prévues au présent chapitre.

Maintenant que vous êtes prévus, sachez que même le FBI n’est pas arrivé à casser par la force brute un conteneur chiffré avec Truecrypt. J’en parlais ici.

Les conteneurs chiffrés sous truecrypt : Fichier vs Partition

Florian Cristina — Sat, 25 Dec 2010 21:00:21 +0000

Partition conteneur ou fichier conteneur ? Voici une question qu’on se pose souvent quand on veut se créer un conteneur chiffré avec Truecrypt.

Je vais essayer de brosser rapidement les avantages et les inconvénients, si vous en voyez d’autres n’hésiter pas à me le dire dans les commentaires Pour ma part je suis plutôt partisan des partitions conteneur parce que je trouve cela plus pratique, mais il faut avouer que les fichiers conteneur proposent de nombreux avantages non négligeable.

Avantages pour les partitions :

Il est plus difficile de supprimer une partition accidentellement.
La discrétion. A moins de lire les 512 premiers octets de la partition avec un lecteur hexadécimale, la partition chiffré apparait comme une partition vierge.

Avantages pour les fichiers :

Les fichiers sont plus faciles pour beaucoup de gens à comprendre.
Les fichiers sont plus faciles à déplacer ou copier.
Vous pouvez utiliser le reste de la partition pour les autres fichiers (comme les fichiers en mode voyageur).
Vous pouvez utiliser un fichier sur NAS.
Les fichiers sont déplaçables sur tous des sources en ligne pour faciliter leur partage.

Maintenant, vous pouvez vous lancer, et pensez à faire vos sauvegardes régulièrement

Truecrypt 7 : Accélération INTEL AES-NI est dans la place !

Florian Cristina — Tue, 20 Jul 2010 19:01:43 +0000

Truecrypt gère (enfin) les instruction AES-NI des processeurs INTEL. Mais qu’est ce donc que cela ? Mais si, je vous en parlais au début de l’année , les nouveaux processeur INTEL Core i5 et i7 sont pourvus de 6 instruction d’accélération matériel pour l’AES. Avec une augmentation des performances de x4 à x8 annoncé, je me devais d’écrire quelque dessus. Mais avant de parler de l’accélération matériel petit points sur les nouveautés de Truecrypt 7:

/!\ Support de l’AES-NI /!\.
Montage automatique de Volume (Favoris) uniquement pour Windows.
Taille des secteurs variables en fonctions du besoin pour les conteneurs de partition. Ce qui est très intéressant pour les possesseurs de nouveaux disque a très haute capacité ayant des secteurs plus gros que 512 octets ainsi que certains SSD.
Remplacement de l’API maison de gestion des fichiers d’hibernation par l’API de Microsoft pour Vista et supérieur.

La technique :

Maintenant que le tours des nouveautés est fait, je vais me concentrer sur l’accélération matériel de l’AES. Commençons par un rappel des nouvelles instructions. Outre les instructions liés à l’AES, Intel à ajouté une nouvelle instruction supportant le Carry-Less Multiplication (CLMUL) qui permet d’améliorer les performances des applications utilisant les algorithme de chiffrement par bloc. Nommé PCLMULQDQ ces instruction vont permettre d’optimiser le calcul de formule lié à la théorie des cors finie de ce bon vieux Evariste Gallois très utilisé en cryptographie (cocorico).

Ces équations étant utilisés dans des modes d’opération par exemple par :

OpenSSL à travers son implémentation de l’AES-GCM
Truecrypt et son implémentation du XTS-AES.

Alors penchons nous sur le détail de l’implémentation de l’AES-NI d’Intel dans cette nouvelle version de Truecrypt.

Sur ces 6 nouvelles instruction, il y en 4 pour l’AES et 2 pour la gestion des clés de chiffrement.

Les 4 AES sont :

AESENC (AES round encryption)
AESENCLAST (AES last round encryption)
AESDEC (AES round decryption)
AESDECLAST (AES last round decryption)

Les 2 pour la gestion des clés sont :

AESIMC
AESKEYGENASSIST

Les développeurs de Truecrypt 7 ont pris le partis de n’utiliser que les 4 instructions qui gère les tours de l’AES : AESENC, AESENCLAST, AESDEC,et AESDECLAST. Ces dernières permettent de générer les transformation AES : ShiftRows, SubBytes, MixColumns, InvShiftRows, InvSubBytes, InvMixColumns, et AddRoundKey.

Au 19 Juillet 2010 voici la liste des processeurs supportant l’accélération matériel :


Intel Core i7-980X Intel Core i5-650 Intel Core i5-655K Intel Core i5-660	Intel Core i5-661 Intel Core i5-670 Intel Core i5-680


Intel Core i5-520E Intel Core i5-520M Intel Core i5-520UM Intel Core i5-540M	Intel Core i5-540UM Intel Core i7-610E Intel Core i7-620M Intel Core i7-620LM	Intel Core i7-620UM Intel Core i7-640UM Intel Core i7-640LM Intel Core i7-660UM

Si votre processeur est compatible, vous n’avez rien a faire truecrypt le détecte tout seul et le paramètre pour utiliser le AES-NI. Pour avoir plus d’infos sur la gestion, aller dans Settings > Performance et verifier que ‘Processor (CPU) in this computer provides hardware acceleration for AES‘ est coché.

Si vous ne voulez pas de l’accélération AES-NI et que vous voulez garder un système de chiffrement entièrement Open-source aller dans Settings > Performance et désactivé l’option ‘Accelerate AES encryption/decryption by using the AES instructions of the processor‘.

Les performances :

Bon aller parlons performance. Les premiers résultat avec un i5-650 sous fedora 13 sont de l’ordre de x7… oui,oui, 7 fois plus performant soit une augmentation de prés de 700% des performances brut ! Passant de 287 Mo/s à 2 Go/s ! Awesome.

Et dans le cas de la combinaison de TC avec un autre algorithme (cascade de chiffrement) les performances sont augmentés de 80%. Passant pour de l’AES-Twofish de 150Mo/sec à 270Mo.

Ce sont des performances incroyable. On dépasse la limite de bande passante de la plus part des disques !

Voici les premiers bench venant de H-online. Un core i5-650 avec AES-NI désactivé Fedora 13 :

Un Core i5 avec AES-NI activé TC7 Fedora 13:

Merci à H-Online pour le bench.

AWESOME ! Je vous l’avais dit

Update : Voici d’autre benchmark de Truecrypt 7 sur un i7-620M. 1,7 Go/sec avec l’AES-NI activé alors que Truecrypt ne faisait que 287 mo/sec avec le même processeur en version 6. Cela confirme bien les premiers test, mais cette fois ci sur un processeur mobile !

Un Core i7-620M avec AES-NI :

Le même Core i7-620M mais cette fois si avec Truecrypt 6 (sans AES-NI donc) :

Merci à Rob47 pour ce bench.

Plus d’information ici pour l’accelération matériel de Truecrypt.

Si parmi vous certain ont des i5 ou i7 compatible, envoyez moi par email vos screenshot avec le type d’os et le type de processeur. Je les posterai ici.

Truecrypt plus fort que le FBI ?

Florian Cristina — Sat, 26 Jun 2010 19:56:44 +0000

L’année dernière, je décrivais dans ce blog, quelques résultats de mon mémoire sur le chiffrement de disque. Pour ceux qui l’aurait raté, c’est ici et surtout ici sur le PBKDF2.

Et bien le site globo.com annonce que le FBI vient de baisser les bras après un peu moins d’un ans de calcul intensif en vus de casser par force brute les clés de chiffrements protégeant un conteneur chiffré avec Truecrypt.

Alors comment analyser cette information ? D’un point de vu purement technique c’est une confirmation de la robustesse de Truecrypt face à une attaque toute basique par force brute. Mais ça on le savait déjà, merci le PBKDF2 et les mots de passe sûr. Mais qu’est ce qu’un mot de passe sûr aujourd’hui ? C’est au minimum, un mot de passe de 12 symboles alphanumérique contenant des caractères spéciaux.

Ceci dit, c’est dommage que cette démonstration se face au détriment de la justice, car le conteneur chiffré appartenait à un grand financier Brésilien condamné à 10 ans de prison pour tentative de corruption sur agent de police.

FreeOTFE vs Truecrypt

Florian Cristina — Thu, 29 Apr 2010 17:57:35 +0000

Je vais comparer aujourd’hui 2 solutions de chiffrement de disque, gratuite ET open-source pour Windows. D’un coté Truecrypt qui fait figure de poids lourd et de l’autre FreeOTFE mois connus mais qui possède tout de même des atouts. Je vais me focaliser uniquement sur leurs différences sans traiter des points communs. Pour en savoir plus sur truecrypt je vous encourage à lire les autres articles que j’ai écris à ce sujet.

Si j’ai le temps je ferai dans un prochain billet un benchmark au niveau des performance entre ces 2 logiciels.

Bon aller stop le blabla passons à la comparaison.

Les Plus de FreeOTFE face à Truecrypt :

Version portable ne nécessitant pas les droits root/Admin pour fonctionner.
Plus d’algorithme de chiffrement supporté.
Plus d’algorithme de génération d’empreinte supporté.
Possibilité de gérer les itération.
Support de certain PDA en windows mobile (oui ça existe encore).

Les Plus de Truecrypt face à FreeOTFE :

Gestion du FDE (Full Disk Encryption ou en français chiffrement complet de disque).
Possibilité de cascader les algorithme de chiffrement.
Support Linux et Mac.

Conclusion :

Truecrypt apparait comme étant le logiciel le plus poussé en matière de sécurité en proposant entre autre le FDE, l’Hiden FDE et la cascade d’algorithme. Alors que FreeOTFE est plus mobile avec sa fonctionnalité d’ouverture de dossier chiffré sans les droits root/Admin.
En 2 mots je dirais que Truecrypt permet d’avoir plus de sécurité et FreeOTFE plus de mobilité.

FreeOTFE est disponible ici et Truecrypt là.

Truecrypt 6.3a et Westmere : C’est pas encore ça.

Florian Cristina — Thu, 07 Jan 2010 21:51:20 +0000

Les Westmere sont la première génération de processeur INTEL intégrant plusieurs instructions d’optimisation du calcul de l’AES et de ses clés de chiffrement comme j’expliquais ici .

Je vous l’annonce tout de suite la version 6.3a de Truecrypt n’intègre pas encore ces optimisations. Et donc forcément les performances sont, à puissance égales, les même que pour la génération Nehaelm ou même Conroe.

Le site hardcoreware propose un graphique résumant tout cela :

La balle est à présent dans le camps des dev de TC.

Truecrupt 6.3 compatible Windows 7

Florian Cristina — Thu, 22 Oct 2009 15:11:21 +0000

Comme promis,Truecrypt 6.3 apparait avec la sortie de Windows 7 . Cette nouvelle version apporte des nouveautés trés interessante:

Le support complet de Windows 7. Plus besoin de bidouille comme j’avais expliqué ici.
Le support complet de MacOS 10.6.
Mais aussi d’un nouveau système de volume favoris. Cela peut être très pratique dans le cas où vous avez besoin que des volumes soit montés avant que l’OS, les applications et les services démarrent et aussi avant que l’utilisateur s’identifie. Cela peut être aussi très sympa dans le cas d’un dossier de partage réseau qui est dans un volume truecrypt et qu’il faut que les partages réseaux soit restauré à chaque fois que l’OS est redémarré.

Mais aussi la correction de bug mineur.

Plus de détail sur le site de truecrypt.

Les Westmere ou les futurs monstres de l’AES ?

Florian Cristina — Thu, 24 Sep 2009 11:01:39 +0000

Contrairement à ce que je disais il y a quelques billet, le i5 et i7 actuel (Lynnfield – 45nm) ne possèdent pas d’instruction améliorant la cryptographie. Ce sera uniquement avec les processeurs se basant sur l’architecture Westmere (32nm) prévu pour fin 2009, début 2010 que 6 instruction AES seront intégrés au processeur.

Outre ces instructions lié a l’AES, Intel à ajouté une nouvelle instruction supportant le Carry-Less Multiplication (CLMUL) qui permet d’améliorer les performances des applications utilisant les algorithme de chiffrement par bloc. Nommé PCLMULQDQ ces instruction vont permettre d’optimiser le calcul de formule lié à la théorie des cors finie de ce bon vieux Evariste Gallois très utilisé en cryptographie (cocorico).

Ces équations étant utilisé dans des modes d’opération par exemple par :

OpenSSL à travers son implémentation de l’AES-GCM
Truecrypt et son implémentation du XTS-AES.

Sur ces 6 nouvelles instruction, il y en 4 pour l’AES et 2 pour la gestion des clés de chiffrement.

Les 4 AES sont :

AESENC (AES round encryption)
AESENCLAST (AES last round encryption)
AESDEC (AES round decryption)
AESDECLAST (AES last round decryption)

Les 2 pour la gestion des clés sont :

AESIMC
AESKEYGENASSIST

Bien évidement pour tirer complètement partie de ces nouvelles instructions les applications devront être modifié.

Mais il n’y a pas que l’AES qui est à la fête le RSA aussi, cette fois ci non pas grâce à des instructions processeur, mais du fait d’une meilleur implémentation de l’hyper-threading. Intel annonce une augmentation des performance de prés de 21% pour le RSA.

Le test sur i3 qui avait été fait est donc potentiellement tout à fait valable :

Les Westmere n’ont décidément pas fini de faire parler d’eux.

Question sur le chiffrement de disque

Florian Cristina — Wed, 26 Aug 2009 20:39:10 +0000

Voici un petit résumé de quelques questions sur le chiffrement de disque.

Question : Qu’est ce que le chiffrement de disque ?

Réponse : Le chiffrement de disque est une méthode de protection de données pour les supports de stockage possédant un système de secteur adressable (par exemple, un disque dur, une clé USB, un SSD). Le chiffrement de disque permet de chiffrer soit l’ensemble du disque dur (FDE, Full Disk Encryption) soit seulement des partitions ou des volumes. Le chiffrement de disque rend les données protégées même si elles sont lues directement à partir du disque sans passer par l’OS car chaque bit du disque ou de la partition est chiffré.

Question : Dans quel but utiliser le chiffrement de disque ?

Réponse : Il existe 2 familles de chiffrement de disque : Le chiffrement de volume et le chiffrement complet de disque.

Le chiffrement de volume à pour but d’empêcher un attaquant :

L’accès à certaine donnée.

Le chiffrement complet de disque (FDE) a pour but d’empêcher un attaquant :

L’accès à toutes les données y compris le système d’exploitation.

Question : Quel logiciel de chiffrement de disque utiliser ?

Réponse : Je recommande Truecrypt (windows/macOSX/linux) dont les sources sont disponible. Mais il en existe d’autres.

Question : Est ce qu’une clés AES de 256bits est sure ?

Réponse : Oui, pour l’instant http://www.artiflo.net/2009/07/les-flops-les-cles-et-la-taille-des-mots-de-passe/

Question : Quel algorithme utiliser ?

Réponse : L’AES est sure et bien optimisé. En PBKDF2, les 3 algorithmes de hash que propose TC sont sure, je recommande le WHIRLPOOL.

Question : Quelle taille de mot de passe utilisé ?

Réponse : Le temps pour casser un mot de passe (et donc une clé) est très variable celon l’algorithme choisis. Mais un mot de passe de 14 caractères ASCII est aujourd’hui et pour les 10 prochaines années considéré comme sure. http://www.artiflo.net/2009/07/les-flops-les-cles-et-la-taille-des-mots-de-passe/ et aussi surtout http://www.artiflo.net/2009/08/pbkdf2-et-generation-des-cles-de-chiffrement-de-disque/

Question : Est ce qu’une clés RSA de 1024bits est plus sure qu’une clé AES de 256 bits ?

Réponse : Non, cela n’a rien a voir, le RSA est un algorithme asymétrique et l’AES est un algorithme symétrique.

Question : Faut-il dire crypter ou chiffrer ?

Réponse : Le mot crypter n’existe pas dans la lange française et cryptage encore moins. Il faut utiliser chiffrer ou chiffrement. http://www.artiflo.net/2009/05/ne-me-parlez-plus-de-cryptage/

Question : Dans quel condition je peux considéré que mon ordinateur est sure ?

Réponse : Celons les 10 lois de base en sécurité informatique. Même si l’ordinateur possède un chiffrement de disque. A partir du moment qu’un acteur a pu physiquement y avoir accès ou avoir eu accès avec les droits root. L’ordinateur n’est plus considéré comme sure.

Question : Qu’est ce que le chiffrement complet de disque (full disk encryption – FDE)

Réponse : Le chiffrement entier du disque (Full Disk Encryption ou Whole Disk Encryption) est une solution logicielle ou matérielle de chiffrement complet d’un disque comprenant le système d’exploitation. La partition amorçable du système d’exploitation étant aussi chiffrée, cela nécessite un système de pré-authentification au démarrage. Ce système de pré-authentification est géré par le gestionnaire de démarrage lié au système de chiffrement de disque. Ce dernier peut permettre, outre l’authentification par mot de passe, la gestion matérielle de l’authentification par exemple par carte à puce. Cela signifie que si quelqu’un veut utiliser le système d’exploitation, lire et/ou écrire sur les fichiers du disque, il devra d’abord s’authentifier auprès du gestionnaire de pré-authentification avant chaque démarrage du système d’exploitation.

Avantages	Inconvénients
Tout ce qui est contenu dans l’espace de swap et dans les fichiers temporaires, est chiffré. Le chiffrement de ces éléments est important, car ils peuvent contenir des fichiers temporaires confidentiels en mémoire.	Déni plausible uniquement possible avec des systèmes d’exploitation caché (l’hidden operating system) encore rare.
Avec un système de chiffrement complet de disque, chaque fichier est chiffré, il n’est pas laissé à l’utilisateur la possibilité de n’en chiffrer que certains. Ainsi l’utilisateur n’a pas à se préoccuper de penser à bien chiffrer les données importantes. Cela permet d’éviter les oublis involontaires de chiffrement de données confidentielles.	Perte complète des données en cas de perte des clés.

Question : Qu’est ce que le chiffrement de volume/partition ?

Réponse : Contrairement au chiffrement complet de disque englobant le système d’exploitation. Le chiffrement de partition ou de volumes est une opération qui permet de chiffrer uniquement des portions du disque dur. Cela peut être des partitions complètes (non-système) ou seulement de l’espace libre du disque. Dans le cas de la création d’un volume sur de l’espace libre du disque, le logiciel de chiffrement va créer un fichier chiffré d’une taille définit par l’utilisateur. Ce fichier est par la suite monté tel un disque sur le système d’exploitation et va permettre à l’utilisateur de réaliser toutes les manipulations de gestion de son espace de stockage qu’il désire, tout comme avec un disque normal.

Avantages	Inconvénients
Portabilité des fichiers d’un média de stockage à un autre.	Possibilité d’écriture de données sensibles dans le fichier d’hibernation ou de swap.
Dissimulations des fichiers chiffrés au sein d’autres fichiers.	L’OS n’est pas protégée (ajout de keyloger).

Question : Qu’est ce qu’est le Déni plausible ?

Réponse : Le déni plausible recoupe 2 concepts :

La capacité à masquer le fait que des fichiers chiffrés sont des fichiers chiffrés en les faisant passer pour des fichiers aléatoires.
La capacité à caché des fichiers chiffrés à l’intérieur d’autres fichiers chiffrés.

Cette propriété est essentiellement conçue pour le chiffrement de volume, car la présence du Boot modifié pour le FDE révèle directement la présence très probable de fichiers chiffrés.

Même si les volumes chiffrés sont sensés apparaitre comme des volumes contenant des données aléatoires et donc indétectables au milieu d’autres fichiers aléatoires, début 2009, 2 solutions pour détecter des volumes Truecrypt ont vu le jour. Pour l’instant aucune de ces 2 solutions ne permettent de prouver qu’un fichier aléatoire est un fichier chiffré. Elles permettent simplement de le suspecter très fortement. Pour prouver qu’un fichier aléatoire est un fichier chiffré il faut connaître obligatoirement le mot de passe.

TCHUNT est capable de suspecter des fichier TC mais pas encore des partitions : http://www.artiflo.net/2009/05/detecter-truecrypt-tchunt-vs-fi-tools/ et aussi http://www.artiflo.net/2009/05/tchunt-detecte-les-volumes-truecrypt/

Question : Qu’est ce qu’est la rubber hose cryptanalyse ?

Réponse : La rubber-hose cryptanalyse (cryptanalyse de la matraque en caoutchouc) est un euphémisme qui symbolise l’obtention de la clé de chiffrement par un moyen de coercition. Ce terme de rubber-hose a été utilisé pour la première fois en octobre 1990 par J. Marcus Ranum dans le groupe de discussion de référence en cryptologie « sci.crypt » à travers cette phrase à présent célèbre :

“…in which a rubber hose is applied forcefully and frequently to the soles of the feet until the key to the cryptosystem is discovered, a process that can take a surprisingly short time and is quite computationally inexpensive…”

Aussi bien pour le chiffrement de volume que pour le chiffrement complet de disque, des volumes chiffrés peuvent être cachés dans d’autres volumes chiffrés un peu comme pour la stéganographie, on parlera alors de « chiffrement stéganographique ».

Dans le cas où des fichiers chiffrés seraient découverts, cacher des fichiers chiffrés dans d’autres fichiers chiffrés permet de ne révéler qu’une partie du secret à l’attaquant. Le propriétaire d’un volume chiffré peut donnée le mot de passe à un attaquant sans pour autant permettre à ce dernier d’accéder au fichier se trouvant dans le véritable volume caché protégé par un autre mot de passe.

Ce concept fait suite aux travaux sur la rubber-hose cryptanalyse (Dreyfus, 1997) qui ont montré qu’un moyen de coercition peut se montrer beaucoup plus efficace est moins cher qu’un parc de calculateur pour obtenir une clé de chiffrement.

Vous pouvez aussi lire ce billet : http://www.artiflo.net/2009/06/rubber-hose-cryptanalyse-hidden-operating-system/

Question : Comment fonctionne un système de chiffrement caché sous Windows?

Réponse : Un tuto complet pour windows http://www.artiflo.net/2009/07/hidden-operating-system/

Question comment faire cohabiter un FDE windows + Linux ?

Réponse : Le tuto complet pour windows + linux http://www.artiflo.net/2009/05/dualboot-os-fde-windows-chiffre-linux-chiffre/

Question : Comment fonctionne les mots de passe avec Truecrypt ?

Réponse : Le mdp permet de générer 2 clés : la primary header key et la secondary header key (du faut de l’utilisation du XTS).
Ces 2 clés permettent de chiffrer un tout petit volume de 512Bytes qui se trouve au tout début du volume chiffré. C’est ce fameux volume que TC permet de sauvegarder. Car c’est dans ce volume que se trouve les informations sur ton volume chiffré dont les 2 clés que TC a généré aléatoirement. Ce sont ces 2 clés qui chiffre véritablement le volume et pas les clés généré par le password.

Si cette solution n’existait pas TC devrait rechiffrer tout le volume a chaque fois que le mdp est modifier. Alors que la il n’a qu’a rechiffrer header de 512bytes.

http://www.truecrypt.org/docs/volu [...] cification

Question : Quel algorithme de hashage choisir ?
Réponse : Truecrypt utilise soit le RIPEMD-160 soit du WHIRLPOOL soit du SHA512 comme générateur de hash. Le RIPEMD-160 et le WHIRLPOOL sont tous les 2 issus du standard ISO/IEC 10118-3:2004 alors que le SHA512 est issus du FIPS PUB 180-2. Dans les 2 cas se sont des standards récent qui date respectivement de 2004 et 2002.
Le RIPEMD est considéré comme le plus faible des 3 car il génère un résultat que sur 160bits, alors que les 2 autres font un hash de 512bits. Pour palier à ce manque, Truecrypt fait 2000 itérations à cet algorithme au lieu de 1000 comme pour les 2 autres.
Le SHA-512 est de la famille du SHA-2 qui est dérivé du SHA-1. Le SHA-1 possède des failles qui ont été découverte en 2005, sont remplacement par le SHA-3 est en cours.
Alors lequel choisir ?

Celui qui sur lequel le moins de bruteforce est fait , ce qui écarte la famille SHA.
Le plus long, ce qui écarte le RIPEMD-160

Conclusion : Le WHIRLPOOL. Mais bon la différence est très faible. Les 2 autres sont aussi très bon.

Question : A quoi sert la cascade d’algorithme de chiffrement ?
Réponse : La parallélisation (cascades) des algorithmes permet 2 choses :

Améliorer la sécurité, car il est très peu probable que les x algorithmes soient cassés en même temps.
Rendre presque impossible de casser par force brute un conteneur.

Exemple : Dans le cas d’utilisation de 3 algorithmes en cascades (AES-Serpent-Twofish), il faut 3 clés de 256 bits différentes (une par algorithme). L’ensemble des clés fera 3 donc * 256 bits = 768 bits.

Question : Est-ce utile de cascader les algorithmes ?
Réponse : En FDE je déconseil d’utiliser la cascade d’algorithme. Et je déconseil aussi d’utiliser autre chose que l’AES. Le ratio besoin de sécurité / performance est trop défavorable.
Dans le cas du chiffrement de volume/partition, l’utilisation de la cascade d’algorithme peut être utilisé mais en fonction du besoin sécurité / performance.

PBKDF2 et génération des clés de chiffrement de disque

Florian Cristina — Tue, 04 Aug 2009 07:15:34 +0000

Dans mon billet sur les flops et le temps pour casser un password par brute force. Je prenais uniquement en compte la puissance en FLOPS sans prendre en compte le type de hash et les itérations. J’ai récemment parlé dans un billet du temps nécessaire à un supercalculateur pour casser un mot de passe issus d’une fonction de hash. En partant du postulat : 1 FLOPS = 1 hash. A présent je vais essayer de calculer le temps nécessaire à ce même supercalculateur pour casser une clé réalisé non pas seulement un hash mais avec une fonction de type PBKDF2.

Le PBKDF2 (Password-Based Key Derivation Function) est une fonction de dérivation de clé qui est implémenté dans la majorité des logiciel de chiffrement de disque. C’est aujourd’hui la meilleure référence en matière de sécurité pour la création de clé de chiffrement. Il est basé sur ces éléments :

Un algorithme de HMAC (SHA512, RIPEMD, WHIRLPOOL,etc)
Un mot de passe
De la Salt pour luter contre une attaque rainbow table
Des itérations pour ralentir la génération de clé

Ces itérations sont très importantes car elles permettent d’accroitre considérablement le temps nécessaire au test de toutes les combinaisons d’un mot de passe. Et c’est sur cela que ce billet va se concentrer.

Je vais reprendre l’excellent travail d’explication du fonctionnement de Truecrypt de Bjorn Edstrom et ses fonctions en python. Dans un premier temps je vais chercher à générer une clé PBKDF2-PKCS#5, puis dans un second temps je vais chercher à calculer le temps qu’il faut pour la générer la clés en fonctions des différents éléments la composant.

1 / Les algorithmes de hachage

Truecrypt utilise soit le RIPEMD-160 soit du WHIRLPOOL soit du SHA512 comme générateur de hash. Le RIPEMD-160 et le WHIRLPOOL sont tous les 2 issus du standard ISO/IEC 10118-3:2004 alors que le SHA512 est issus du FIPS PUB 180-2. Dans les 2 cas se sont des standards récent qui date respectivement de 2004 et 2002.

Le RIPEMD est considéré comme le plus faible des 3 car il génère un résultat que sur 160bits, alors que les 2 autres font un hash de 512bits. Pour palier à ce manque, Truecrypt fait 2000 itérations à cet algorithme au lieu de 1000 comme pour les 2 autres.

Le SHA-512 est de la famille du SHA-2 qui est dérivé du SHA-1. Le SHA-1 possède des failles qui ont été découverte en 2005, sont remplacement par le SHA-3 est en cours.

2 / Hash, HMAC et PBKDF2

Voici rapidement l’explication des différentes fonctions.

Le hash est l’empreinte d’un mot de passe généré par un algorithme à sens unique (SHA, MD5, RIPEMD, Whirlpool, etc).

Le HMAC est une fonction de hash qui va créer l’empreinte d’un texte tout en le combinant avec un mot de passe.

Une fonction PBKDF2 combine un HMAC, un texte, de la salt et des itérations.

3 / Générer le hash d’un password en python

Tout d’abord je vais chercher à savoir combien de temps prend mon ordinateurs pour générer le hash d’un password. Pour cela il faut télécharger d’abord les 2 librairies ripemd et whirlpool qui ne sont pas implémenté par défaut en python contrairement au SHA512.

Puis dans un SHELL python on va les tester :

import whirlpool
whirlpool.new("artiflo.net").hexdigest()
'220f227652e6af8b180697d416d387e73917c4d8a69360dd0e5dd5520dbf1684b09883bd2b5dcc4ae75fa93765b8aa7484be225a43ce12ab3ff11d0b700da4eb'

import ripemd
ripemd.new("artiflo.net").hexdigest()
'b6fb9b189dc3089fb4565948f9187bf07bfa6323'

from hashlib import sha512
sha512("artiflo.net").hexdigest()
'fb5b25552b64cde7e901a2097a900835b96dff747b95ce97eaaeb8e3088abdbf9c2eb54f467e6c6c9f45c6b431552579a4cf21bdae92f6e7e915d4a70d639982'

Comme prévu, le hash généré par le RIPEMD ne fait que 160bits il est plus court que les hash de 512bits de SHA512 et Whirlpool.

Maintenant qu’on peut générer un hash, il faut timer l’opération en utilisant la fonction timeit de python (Le résultat est donnée en seconde) :

import whirlpool
import timeit
timeit.Timer(stmt='whirlpool.new("password").hexdigest()', setup='import whirlpool').timeit(1)
0.0012343376151203668

import ripemd
timeit.Timer(stmt='ripemd.new("password").hexdigest()', setup='import ripemd').timeit(1)
0.00041234010131928941

from hashlib import sha512
timeit.Timer(stmt='sha512("password").hexdigest()', setup='from hashlib import sha512').timeit(1)
1.2002927298731502e-05

Tous ces résultat sont donnés en hexdigest() qui contrairement au digest() retourne uniquement des caractères hexadécimaux. Pour indication voici un tableau comparant les performances entre le hexdigest() et le digest().

Type de retour	Temps WHIRLPOOL	Temps RIPEMD160	Temps SHA512
hash digest	0,000718894	0,000397197	9,13E-06
hash hexdigest	0,001234338	0,00041234	1,20E-05
Différence	71,70%	3,81%	31,41%

La différence est essentiellement du à l’implémentation de la fonction de hachage et son optimisation.