Chiffrement matériel

a marqué ce sujet comme résolu.

Bonjour,

En analysant les différents composants pour ma prochaine config je vois que le SSD Samsung 850 EVO propose par défaut un chiffrement matériel.

Bon, dans l’absolu je suis pour, le point positif c’est que le chiffrement est géré par le support de stockage et ne gène donc en rien le CPU et on profite des débits maximum possible.
Sauf que je ne comprend pas, c’est vendu comme étant transparent pour l’utilisateur, mais si c’est totalement transparent en quoi est-ce efficace ? Je veux dire, si à un moment on ne doit pas taper un mot de passe pour déchiffrer alors autant ne pas chiffrer du tout si la clé de chiffrement est toujours avec le SSD…

Du coup dit comme sa, sa me parait totalement con. Il doit y avoir une astuce que j’ai ratée, aussi j’ai regardé d’un peu plus près et je vois que le SSD est compatible Microsoft e-drive IEEE1667. J’ai fais une recherche la dessus et pour Windows je vois qu’avec cette norme BitLocker est capable de gérer le chiffrement.
Le problème est que je ne souhaite pas que BitLocker s’en charge, lorsque l’on fait une recherche sur "BitLocker fiable" on trouve pas mal de résultats mitigé, je doute donc très sérieusement cette solution.

D’autant plus que j’aurai bien aimé mettre un dual boot là dessus, un Windows + un linux.

Du coup, pouvez-vous me dire comment sa marche ? Est-ce qu’au démarrage du pc on se vois demander un mot de passe pour déverrouiller le SSD ?

Merci d’avance pour votre aide.
Cordialement, La source

+0 -0

(TROLL ON) Si le truc est compatible uniquement Bitlocker, autant ne pas mettre de chiffrement. (TROLL OFF) Plus sérieusement, il y a une rumeur comme quoi Micro$oft est capable de générer une clé de déchiffrement, quelque soit le mot de passe utilisé pour un volume chiffré bitlocker.

Est-ce qu’au démarrage du pc on se vois demander un mot de passe pour déverrouiller le SSD ?

Généralement, le chiffrement matériel est géré par le BIOS/UEFI, qui va s’occuper de transmettre le mot de passe au contrôleur SSD dès le démarrage. Ca permet d’avoir un chiffrement transparent, sans avoir à configurer du chiffrement à la main.

Maintenant :

  • on ignore comment est fait le contrôleur
  • faut pas oublier le mot de passe
  • aucun garantie que le SSD soit lisible avec une autre carte mère (panne, etc)
  • il est arrivé que le chiffrement soit plus lent que dans une implémentation logicielle

La technique la plus simple, si tu veux faire du dual boot, c’est :

  1. créer 3 partitions (EFI + windows + linux)
  2. installer windows sur sa partition
  3. installer ta distrib linux sur la troisième partition, et pour la sécurité tu peux faire du LUKS (le truc de chiffrement de Linux).

Dans le troisième cas, le bootloader te demandera le mot de passe pour déchiffrer la partition. C’est multiplateforme, ça marche sur n’importequel linux et tu as moyen de récupérer des choses en cas de problème (si certains blocks du DD ont été sauvegardés et que ton MDP est connu).

+0 -0

Si on regarde la fiche technique sur le site de Samsung on vois que les "systèmes de cryptage" sont:

  • AES 256 bit Encryption (Class 0)
  • TCG / Opal
  • IEEE1667 (Encrypted drive)

Le problème c’est qu’en faisant des recherches sur ces différents systèmes je ne trouve pas grand chose de concluant :(

@ntimeu: Si je comprend bien c’est le BIOS/UEFI qui faut paramétrer/se paramètre tous seul qui se rend compte que le disque est chiffré et qu’il a besoin d’un mot de passe et le demande à l’utilisateur c’est bien sa ?

Si on prend le SSD et qu’on le branche dans une autre machine, sans le mot de passe on est coincé si je comprend bien (dans le cas où le SSD démarrerai bien).

Je ne crois pas que le chiffrement matériel soie aujourd’hui, sur du matériel récent, plus lent que du logiciel. Par contre je veux bien croire que s’il venait à y avoir un problème il soit possible que les données soient purement et simplement irrécupérable.

Dans l’absolu je ne cherche pas spécialement à chiffrer mes données, c’est un pc fixe pour une utilisation domestique. Mais disons que si l’options est présente je ne suis pas contre l’utiliser. Mais si c’est pour l’utiliser autant qu’elle soie un minimum correcte, donner les clefs à microsoft… comme tu dis autant pas chiffrer alors.

+0 -0

Salut !

Alors tout d’abord je tenais à dire que je n’ai jamais utilisé de systèmes de chiffrement matériels personnellement. Alors (si je ne me trompe pas) grosso-modo tu as 3 méthodes pour protéger tes disques durs:

  1. Un mot de passe géré par le BIOS / UEFI que tu dois rentrer au moment du boot pour pouvoir passer à l’étape suivante.
  2. Utiliser un SSD pourvu d’un chiffrement matériel, donc directement sur le SSD. A en croire les specs, le Samsung 850 EVO chiffre le contenu du SSD via un AES 256 bits.
  3. Chiffrer ton HDD ou SSD à l’aide d’une solution logicielle comme LUKS / TrueCrypt / Bitlocker / etc.

Si je ne me trompe pas, la première solution, le mot de passe BIOS/UEFI ne chiffre pas le contenu du disque. C’est juste un obstacle lors du processus de boot avant que le BIOS ne lise le MBR. Cela ne protégera donc pas le contenu du disque dans le cas où un attaquant parviendrait à l’extraire physiquement et à le lire sur un autre ordinateur.

La deuxième option est plus intéressante. En effet il semblerait que le chiffrement étant effectué par la carte directement, on n’observe pas de baisse de perf au niveau du CPU. De ce que j’ai pu comprendre, l’intérêt réside dans le fait que les clés AES peuvent être détruites très facilement ce qui rend le SSD complètement inutilisable par la suite. C’est à considérer si l’on souhaite pouvoir "effacer" le contenu de son SSD en urgence. Je ne sais pas comment ça se passe par contre au niveau de la copie / clonage du disque, si la clé est altérée à ce moment là pour protéger le contenu du disque. Je ne pense pas donc quelqu’un sachant où lire la clé sur le SSD pourrait ainsi le déchiffrer aisément. La majorité de ces SSD n’ont pas besoin d’un logiciel tiers pour fonctionner et devraient donc être pleinement utilisables quelque soit l’OS. Cependant pour le cas du SAMSUNG 850 je n’ai pas réussi à trouver si c’était le cas ou pas (ce lien donne des précisions supplémentaires, le SAMSUNG 840 est listé comme "peut-être", aucune info sur le 850).

Enfin pour finir tu peux chiffrer un disque entier ou seulement certaines partitions via de nombreuses solutions logicielles. Par exemple sur mon ordinateur portable j’ai une seule partition primaire Linux chiffrée avec LUKS/dm-crypt sur laquelle j’ai ensuite mes partitions virtuelles LVM (pour /, /home, swap, etc.). Je n’ai donc qu’un seul mot de passe à rentrer une fois la phase de boot achevée lorsque mon disque dur est lu pour la première fois.

Pour résumer, à ta place je ferais attention avant d’acheter un SSD avec chiffrement matériel. Certains ne fonctionnent que à l’aide de drivers et logiciels tiers qui ne seront peut-être pas disponibles pour autre chose que Windows. J’attendrais que les gens avec plus d’expérience te répondre pour le 850 EVO. Surtout que tu ne cherchais pas spécialement à chiffrer tes données en premier lieu, ça serait bête de ne pas pouvoir bidouiller sur un autre système que Windows à cause de ça.

+0 -0

Juste pour info, j’utilise un 850 EVO en version 128 Go avec un petit LVM on LUKS (plusieurs partitions au-dessus d’une unique partition chiffrée via LUKS). Ca marche très bien, c’est pratique et je ne me prends pas la tête avec le chiffrement intégré.

+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte