Encryption: Chiffrer ses données, c'est tout un art

08.04.2019 by MatMoul

Cela fait un moment que je voulais que toutes mes données soient chiffrées...

Pour cela, j'ai très vite appris comment chiffré un disque mais le problème, c'est qu'a chaque redémarrage, il faut saisir un mot de passe pour déverrouiller le disque.

Pas très pratique pour des serveurs...

Cherchant une solution me permettant de redémarrer mes serveurs chiffrés sans intervention humaine mais tout en gardant un niveau de sécurité suffisant, j'ai imaginé une solution, ce n'est qu'une idée de base mais j'y crois...

Premièrement la création d'un serveur de déverrouillage.
Celui-ci va chercher si un serveur et en attente de déverrouillage et lancer un script de déverrouillage.

Ce serveur de déverrouillage peut être détruit à distance, par une coupure de connexion (brouillage WIFI) ou par une coupure d'alimentation.

Si le serveur de déverrouillage est détruit, des clés stockées sur des sites neutres peuvent être utilisées pour déverrouiller les serveurs.

Ces sites sont configurés pour détruire les clés sur le manque d'un ordre donné.
C'est à dire que si je n’appuie pas sur le bouton régulièrement (c'est une image), les clés sont détruites.


De ce fait j'ai défini des zones ou les données sont sécurisées :

Nécessitant un stockage sécurisé :

  • Le serveur de déverrouillage. (Destruction à distance, par coupure de courent ou sans signalement. Caché dans les murs et connecté en WIFI)
  • Des clés stockées sur des serveurs neutres (En dehors des ses propres propriétés) et détruit sans réponse.

Pleinement sure :

  • Serveur de virtualisation avec des disques chiffrés (déverrouillé par le serveur de déverrouillage)
  • Station fixe Linux avec des disques chiffrés (déverrouillé par le serveur de déverrouillage)

Sure :

  • Machine virtuel non chiffrée hébergée sur un serveur avec disques chiffrés
  • Portable Linux avec disques chiffrés (clé USB, VPN et cloud perso pour les sauvegardes)

Non sure :

  • Tous systèmes avec des disques non chiffrés

Non sure : (Ces systèmes envoies des données inconnue à leurs concepteurs)

  • Serveurs Windows
  • Stations et portables Windows
  • Stations et portables Apple
  • Mobile et tablette Android
  • Mobile et tablette IOS