Encryption: Chiffrer ses données, c'est tout un art

2019-04-08 08:27:41 by MatMoul

Cela fait un moment que je voulais que toutes mes données soient chiffrées...

Pour cela, j'ai très vite appris comment chiffrer un disque mais le problème, c'est qu'à chaque redémarrage, il faut saisir un mot de passe pour déverrouiller le disque.

Pas très pratique pour des serveurs...

Cherchant une solution me permettant de redémarrer mes serveurs chiffrés sans intervention humaine mais tout en gardant un niveau de sécurité suffisant, j'ai imaginé une solution, ce n'est qu'une idée de base mais j'y crois...

Premièrement la création d'un serveur de déverrouillage.
Celui-ci va chercher si un serveur et en attente de déverrouillage et lancer un script de déverrouillage.

Ce serveur de déverrouillage peut être détruit à distance, par une coupure de connexion (brouillage WIFI) ou par une coupure d'alimentation.

Si le serveur de déverrouillage est détruit, des clés stockées sur des sites neutres peuvent être utilisées pour déverrouiller les serveurs.

Ces sites sont configurés pour détruire les clés sur le manque d'un ordre donné.
C'est-à-dire que si je n’appuie pas sur le bouton régulièrement (c'est une image), les clés sont détruites.


De ce fait, j'ai défini des zones ou les données sont sécurisées :

Nécessitant un stockage sécurisé :

  • Le serveur de déverrouillage. (Destruction à distance, par coupure de courant ou sans signalement. Caché dans les murs et connecté en WIFI)
  • Des clés stockées sur des serveurs neutres (En dehors de ses propres propriétés) et détruit sans réponse.

Pleinement sûre :

  • Serveur de virtualisation avec des disques chiffrés (déverrouillé par le serveur de déverrouillage)
  • Station fixe Linux avec des disques chiffrés (déverrouillé par le serveur de déverrouillage)

Sure :

  • Machine virtuelle non chiffrée hébergée sur un serveur avec disques chiffrés
  • Portable Linux avec disques chiffrés (clé USB, VPN et cloud perso pour les sauvegardes)

Non sûre :

  • Tous systèmes avec des disques non chiffrés

Non sûre : (Ces systèmes envoient des données inconnues à leurs concepteurs)

  • Serveurs Windows
  • Stations et portables Windows
  • Stations et portables Apple
  • Mobile et tablette Android
  • Mobile et tablette IOS