Re : [HS] Proteger un tar.gz
On parlait de zip/rar/... : pas de clefs, uniquement un mot de passe. Une attaque brute sur un mot de passe, c'est faisable sans problème majeur. Quand même, avec un mot de passe de longueur 8 ayant majuscules chiffres et symboles, ça donne 70^8 possibilités soit à raison d'un million d'essais à la seconde un temps de craquage de 3300ans en moyenne. À mon avis, c'est jouable comme sécurité... un million d'essais à la seconde ça fait à peu près 3000 cycles processeur pour tenter de décrypter avec un mot de passe. Je ne connais pas bien non plus le format zip crypté, mais vu qu'il s'agit d'un format de compression, une fois décrypté, il doit être très rapide de savoir, après tentative d'un mot de passe, s'il convient (en-têtes zip corrects, préfixes etc.). Donc quelques milliers de cycles semble être plus que raisonnable pour un essai de mot de passe. Par ailleurs rien n'interdit la parallélisation sur plusieurs machines (quelques centaines, pourquoi pas ? une salle informatique de 30 postes avec des dual-core 3GHz = 60 fils parallèles de test ; plusieurs salles = 33ans - quelques mois, voire semaines). Et encore ces calculs se font dans l'hypothèse d'un mot de passe fort, cf John The Ripper et autres... Tout ça pour dire que quelqu'un qui voudra vraiment (et donc y mettra les moyens...) décrypter le truc y arrivera, plus ou moins rapidement eu égard à la sensibilité des données et à leur date de péremption. Cela est en grande partie à cause de la taille de la clef... Si la clef double de taille (8 octets -16 octets), avec les mêmes hypothèses (un million de tests par seconde (ce qui n'est pas le cas des mots de passe sous Linux par exemple, où si on rate il y a une latence de quelques secondes et une seule machine réalise le calcul), attaque par force brute seulement, parallélisable ) on passe à 10^25 ans, et même en parallélisant/utilisant toutes les ressources de la planète/prenant en compte la loi de Moore, les données seront déclassifiées avant qu'on ait le temps de les décrypter. En fait tout dépend du niveau de confiance qu'on veut avoir pour ses données... khivapia ___ Découvrez une nouvelle façon d'obtenir des réponses à toutes vos questions ! Profitez des connaissances, des opinions et des expériences des internautes sur Yahoo! Questions/Réponses http://fr.answers.yahoo.com
Re: Re : [HS] Proteger un tar.gz
un million d'essais à la seconde ça fait à peu près 3000 cycles processeur pour tenter de décrypter avec un mot de passe. Je ne connais pas bien non plus le format zip crypté, mais vu qu'il s'agit d'un format de compression, une fois décrypté, il doit être très rapide de savoir, après tentative d'un mot de passe, s'il convient (en-têtes zip corrects, préfixes etc.). Donc quelques milliers de cycles semble être plus que raisonnable pour un essai [..] Cela est en grande partie à cause de la taille de la clef... Si la clef double de taille (8 octets -16 octets), avec les mêmes hypothèses (un million de tests par seconde (ce qui n'est pas le cas des mots de passe sous Linux par exemple, où si on rate il y a une latence de quelques secondes et une seule machine réalise le calcul), attaque par force brute seulement, parallélisable ) on passe à 10^25 ans, et même en parallélisant/utilisant toutes les ressources de la planète/prenant en compte la loi de Moore, les données seront déclassifiées avant qu'on ait le temps de les décrypter. En fait tout dépend du niveau de confiance qu'on veut avoir pour ses données... En fait zip utilise une technique de cryptage par flux: Les données sont compressés puis cryptés (ce qui gène considérablement un craquage par biais statistique). Le mot de passe (sur 10 octets en fait et non 8) sert à générer un flux avec lequel est combiné le flux des données compressé (xor ou somme). Le zip dit faible utilise un générateur propre dit zip 2.0, le zip dit fort utilise le générateur AES plus solide. La première passe du décryptage consiste à fabriquer un entête de décryptage dont l'intégrité se vérifie sur les deux derniers octets. Cette passe se fait sur 21 boucles contenant des opérations simples donc oui, quelques milliers de cycles suffisent. En prenant un mot de passe de 10 caractères et 1 million de machines 3GHz en parallèle, j'arrive à une espérance de 5 à 6 ans. Mais il faudrait l'avis d'un spécialiste de cryptologie... Les renseignements sur le cryptage de zip se trouve dans le fichier APPNOTE.TXT François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Proteger un tar.gz
Le 14/05/07, mouss [EMAIL PROTECTED] a écrit : David Soulayrol wrote: La présence du mot de passe de change rien. Une attaque par force brute peut donner un bon résultat très rapidement. ca depend de la taille des clefs et de la valeur des données en absolu, et surtout de leur valeur à l'instant où elles sont craquées. En outre, la sécurité dépend de la durée de vie des données que l'on protège. Laisser un fichier à disposition sur une machine n'est valable que si ses données n'ont qu'un intérêt très limité dans le temps. Parce qu'a plus ou moins long terme, il sera de toutes manières déchiffré. Avec une passphrase assez longue et pas simple, ça protégera contre les petits bandits, ce qui est a priori le besoin du poulpe. Si les données sont trop importantes, c'est la banque ou un disque/bande/... (si on peut les protéger). s'il veut se protéger contre la NSA, il faut qu'il se mette dans une enceinte militaire ;-p -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] Oui la securité n'est pas maximale, M'enfin mon besoin est juste d'empecher la lecture par le premier quidam venu, si la NSA tiens absolument a lire mes fichiers de conf du serveur web, grand bien leur fasse :) Dans mes fichiers de conf sont enregistré mes scripts, dont un script qui contient le login/pass du user de sauvegarde de mysql, c'est pas non plus extremement confidentiel, quelqu'un arrive à l'avoir, il pourra lire mes bases de donées, c'est tout. En definitive, l'option la plus simple et la plus efficace (du moins celle qui m'a le plus plu) c'est avec openssl. Un grand merci pour les idées!
Re: [HS] Proteger un tar.gz
On Tue, May 15, 2007 at 12:03:42PM +0200, Le poulpe qui bloppe ! wrote: La présence du mot de passe de change rien. Une attaque par force brute peut donner un bon résultat très rapidement. ca depend de la taille des clefs et de la valeur des données en absolu, et surtout de leur valeur à l'instant où elles sont craquées. On parlait de zip/rar/... : pas de clefs, uniquement un mot de passe. Une attaque brute sur un mot de passe, c'est faisable sans problème majeur. Avec une passphrase assez longue et pas simple, ça protégera contre les petits bandits, ce qui est a priori le besoin du poulpe. Au contaire, avec ssl/gpg, il ne me semble pas que la passphrase augmente la sécurité du chiffrage du fichier: elle ne fait que protéger la clé privée, qui devrait, par définition, être conservée sur le système local. M'enfin mon besoin est juste d'empecher la lecture par le premier quidam venu, si la NSA tiens absolument a lire mes fichiers de conf du serveur web, grand bien leur fasse :) Tu disparaitras subitement, et dans quelques mois on verra des photos de toi en combinaison orange dans un comps de vacances à Cuba ;) Dans mes fichiers de conf sont enregistré mes scripts, dont un script qui contient le login/pass du user de sauvegarde de mysql, c'est pas non plus extremement confidentiel, quelqu'un arrive à l'avoir, il pourra lire mes bases de donées, c'est tout. C'est un sujet tout à fait différent, mais pourquoi avoir ce mot de passe dans la conf du serveur Web? Une sauvegarde de base de données faite à partir d'une crontab me paraitrait bien plus judicieuse. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Proteger un tar.gz
Le Tue, 15 May 2007 20:29:35 +0200 Yves Rutschle [EMAIL PROTECTED] a écrit: On parlait de zip/rar/... : pas de clefs, uniquement un mot de passe. Une attaque brute sur un mot de passe, c'est faisable sans problème majeur. Quand même, avec un mot de passe de longueur 8 ayant majuscules chiffres et symboles, ça donne 70^8 possibilités soit à raison d'un million d'essais à la seconde un temps de craquage de 3300ans en moyenne. À mon avis, c'est jouable comme sécurité... Je ne connais pas bien le cryptage zip mais si sa seule faiblesse est la force brute, ça peut aller... François Boisson PS: Un mot de passe de 8 lettres est un minimum -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Proteger un tar.gz
On Sun, May 13, 2007 at 08:18:22PM +0200, Le poulpe qui bloppe ! wrote: tu as aussi l'option encrypt de zip... Je regarde, ca m'interesse, c'est tout a fait ce que je cherche. Faire quand même attention aux mots de passe comme ça. Laisser un fichier sur le système de qq d'autre avec comme seule protection un mot de passe, ça ne l'arretera que si tes données ne l'intéresse pas. Un faux sentiment de sécurituré, donc. Assez bien comme logiciel, mais je prefere faire moi meme mon script de sauvegarde, d'une part pour le coté didactique, mais aussi parceque il corresprobdra exactement a mes besoins :D Attention aussi à ça: c'est louable, mais il est facile de se rendre compte, le jour où on en a besoin, qu'il y a un détail qui ne marche pas ;) Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Proteger un tar.gz
Le 14/05/07, Yves Rutschle [EMAIL PROTECTED] a écrit : On Sun, May 13, 2007 at 08:18:22PM +0200, Le poulpe qui bloppe ! wrote: tu as aussi l'option encrypt de zip... Je regarde, ca m'interesse, c'est tout a fait ce que je cherche. Faire quand même attention aux mots de passe comme ça. Laisser un fichier sur le système de qq d'autre avec comme seule protection un mot de passe, ça ne l'arretera que si tes données ne l'intéresse pas. Un faux sentiment de sécurituré, donc. Assez bien comme logiciel, mais je prefere faire moi meme mon script de sauvegarde, d'une part pour le coté didactique, mais aussi parceque il corresprobdra exactement a mes besoins :D Attention aussi à ça: c'est louable, mais il est facile de se rendre compte, le jour où on en a besoin, qu'il y a un détail qui ne marche pas ;) Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] Openssl est encore mieu que l'option mot de passe de zip et rar. Surtout qu'il est intallé sur le systeme distant, merci. Attention aussi à ça: c'est louable, mais il est facile de se rendre compte, le jour où on en a besoin, qu'il y a un détail qui ne marche pas ;) Il suffit de prendre son temp de bien debuger et de faire une gestion des erreurs complete. Pour l'instant mon script marche, de facon modulable, et offre les option ftp, scp et locale . Esperons qu'il ne plante pas sans raisons, A part ca, y'a pas trop de risque;)
Re: [HS] Proteger un tar.gz
Yves Rutschle a écrit : On Sun, May 13, 2007 at 08:18:22PM +0200, Le poulpe qui bloppe ! wrote: tu as aussi l'option encrypt de zip... Je regarde, ca m'interesse, c'est tout a fait ce que je cherche. Faire quand même attention aux mots de passe comme ça. Laisser un fichier sur le système de qq d'autre avec comme seule protection un mot de passe, ça ne l'arretera que si tes données ne l'intéresse pas. Un faux sentiment de sécurituré, donc. il-y-a peu de chances (à moins d'avoir un mot de passe faible): à ma connaissance, zip (et rar, je crois) ne stockent pas le mot de passe dans le fichier final. -- Wisdom is knowing what to do with what you know. -- J. Winter Smith
Re: [HS] Proteger un tar.gz
Le lundi 14 mai 2007 à 13:43 +0200, Jean-Yves F. Barbier a écrit : Yves Rutschle a écrit : On Sun, May 13, 2007 at 08:18:22PM +0200, Le poulpe qui bloppe ! wrote: tu as aussi l'option encrypt de zip... Je regarde, ca m'interesse, c'est tout a fait ce que je cherche. Faire quand même attention aux mots de passe comme ça. Laisser un fichier sur le système de qq d'autre avec comme seule protection un mot de passe, ça ne l'arretera que si tes données ne l'intéresse pas. Un faux sentiment de sécurituré, donc. il-y-a peu de chances (à moins d'avoir un mot de passe faible): à ma connaissance, zip (et rar, je crois) ne stockent pas le mot de passe dans le fichier final. La présence du mot de passe de change rien. Une attaque par force brute peut donner un bon résultat très rapidement. En outre, la sécurité dépend de la durée de vie des données que l'on protège. Laisser un fichier à disposition sur une machine n'est valable que si ses données n'ont qu'un intérêt très limité dans le temps. Parce qu'a plus ou moins long terme, il sera de toutes manières déchiffré. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Proteger un tar.gz
David Soulayrol a écrit : Le lundi 14 mai 2007 à 13:43 +0200, Jean-Yves F. Barbier a écrit : Yves Rutschle a écrit : . Un faux sentiment de sécurituré, donc. il-y-a peu de chances (à moins d'avoir un mot de passe faible): à ma connaissance, zip (et rar, je crois) ne stockent pas le mot de passe dans le fichier final. La présence du mot de passe de change rien. Une attaque par force brute peut donner un bon résultat très rapidement. En outre, la sécurité dépend de la durée de vie des données que l'on protège. Laisser un fichier à disposition sur une machine n'est valable que si ses données n'ont qu'un intérêt très limité dans le temps. Parce qu'a plus ou moins long terme, il sera de toutes manières déchiffré. Je suis tout à fait d'accord; c'est la raison pour laquelle les données sensibles sont en générale portées sur bandes puis emportées à la maison (sans compter la robustesse du support en cas de malheur) -- doogie_ linux takes shit and turns it into something useful. doogie_ windows takes something useful and turns it into shit
Re: [HS] Proteger un tar.gz
David Soulayrol wrote: La présence du mot de passe de change rien. Une attaque par force brute peut donner un bon résultat très rapidement. ca depend de la taille des clefs et de la valeur des données en absolu, et surtout de leur valeur à l'instant où elles sont craquées. En outre, la sécurité dépend de la durée de vie des données que l'on protège. Laisser un fichier à disposition sur une machine n'est valable que si ses données n'ont qu'un intérêt très limité dans le temps. Parce qu'a plus ou moins long terme, il sera de toutes manières déchiffré. Avec une passphrase assez longue et pas simple, ça protégera contre les petits bandits, ce qui est a priori le besoin du poulpe. Si les données sont trop importantes, c'est la banque ou un disque/bande/... (si on peut les protéger). s'il veut se protéger contre la NSA, il faut qu'il se mette dans une enceinte militaire ;-p -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[HS] Proteger un tar.gz
Bonjour, HS parceque ca ne touche pas specifiquement debian. Je suis en train de mettre en place un script de sauvegarde de mes fichiers de conf du serveur. J'ai choisi de mettre tout ca dans un tar.gz. jusque là, pas de probleme, ca marche. Mon probleme, c'est que je veux pas que n'importe qui puisse ouvrir le tar. Tant que mon fichier tar reste localement sur mon serveur, je le laisse dans un repertoire que personne ne peut lire sauf root. Mais je copie aussi ce tar sur un autre serveur, et j'aimerais savoir si il est possible de mettre un mot de passe sur le tar (genre comme winzip), ou encore si il est possible de crypter le tar, il suffira alors de el decrypter pour l'utiliser. Mais dans ce cas là, il faudrait que ce soit decryptable sur l'autre pc. Une idée? j'ai googlé un peu, mais je trouve rien de concluant. Merci, et bon dimanche.
Re: [HS] Proteger un tar.gz
Mais dans ce cas là, il faudrait que ce soit decryptable sur l'autre pc. Une idée? j'ai googlé un peu, mais je trouve rien de concluant. Merci, et bon dimanche. gpg est fait pour ça par exemple, tu as aussi l'option encrypt de zip... François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Proteger un tar.gz
Salut, rar permet cela (et si tu veux un max de confidentialité, de crypter aussi les headers) Le poulpe qui bloppe ! a écrit : Bonjour, HS parceque ca ne touche pas specifiquement debian. Je suis en train de mettre en place un script de sauvegarde de mes fichiers de conf du serveur. J'ai choisi de mettre tout ca dans un tar.gz. jusque là, pas de probleme, ca marche. Mon probleme, c'est que je veux pas que n'importe qui puisse ouvrir le tar. Tant que mon fichier tar reste localement sur mon serveur, je le laisse dans un repertoire que personne ne peut lire sauf root. Mais je copie aussi ce tar sur un autre serveur, et j'aimerais savoir si il est possible de mettre un mot de passe sur le tar (genre comme winzip), ou encore si il est possible de crypter le tar, il suffira alors de el decrypter pour l'utiliser. Mais dans ce cas là, il faudrait que ce soit decryptable sur l'autre pc. Une idée? j'ai googlé un peu, mais je trouve rien de concluant. Merci, et bon dimanche. -- Hamburg was fantastic. Between the whores and the groupies our dicks all just about dropped off. -- John Lennon, on the Beatles' early career in Germany
Re: [HS] Proteger un tar.gz
Le poulpe qui bloppe ! wrote: Bonjour, Une idée? j'ai googlé un peu, mais je trouve rien de concluant. backup-manager a une option pour crypter les archives avec pgp. Merci, et bon dimanche. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Proteger un tar.gz
gpg est fait pour ça par exemple ca m'a l'air tres interessant, mais ca necessite des paquages supplementaires et je ne sais pas si l'admin de l'autre serveur voudra l'installer. Je met de coté au chaud, ca servira, merci. tu as aussi l'option encrypt de zip... Je regarde, ca m'interesse, c'est tout a fait ce que je cherche. J'utilise 7z http://www.7-zip.org/fr/download.html C'est pratique pour copier de l'information cryptée entre linux - Windows Je n'echange pas avec les windows, et si je le fait, c'est a eux de se debrouiller :) Salut, rar permet cela (et si tu veux un max de confidentialité, de crypter aussi les headers) Pareil que zip, c'est tres interessant aussi, merci. backup-manager a une option pour crypter les archives avec pgp. Assez bien comme logiciel, mais je prefere faire moi meme mon script de sauvegarde, d'une part pour le coté didactique, mais aussi parceque il corresprobdra exactement a mes besoins :D merci.
Re: [HS] Proteger un tar.gz
Le poulpe qui bloppe ! wrote: gpg est fait pour ça par exemple ca m'a l'air tres interessant, mais ca necessite des paquages supplementaires et je ne sais pas si l'admin de l'autre serveur voudra l'installer. Je met de coté au chaud, ca servira, merci. A part gpg, il y a aussi openssl: openssl enc -aes-256-cbc -salt \ -k ma pass phrase a moi \ -in foo.tgz \ -out foo.bar et pour dechiffrer openssl enc -d -aes-256-cbc \ -k ma pass phrase a moi \ -in foo.bar \ -out foo.tgz tu peux utiliser -kfile au lieu de -k si tu veux lire la passpharse dans un fichier (première ligne). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]