Reprise du message précédent :
Salut à tous j'ai quelques questions sur trypcrypt :
 
J’utilise trucrypt depuis plusieurs année mais pas de façon régulière, et la je voudrais crypter deux disque dur de 2 To, surtout pour évité que mes donnés ne soit à la merci de nimporte qui en cas de cambriolage.
 
- J'aimerais savoir quel sont les risques de panne ou bug que je peu rencontrer sur la durée ?
sachant que ce sont juste des disques dur de stockage normaux.
 
- j'ai souvent lu qu'il fallait aussi sauvegarder l'entete du volume, dois je le faire juste après la création de ma partition crypter ou une fois que j'aurais copier toutes les données dessus ?
 
- est ce que l’entête change chaque fois que l'on rajoute des fichiers sur le disque dur ? (à priori ça ne me semble pas logique mais sait on jamais ...
 
- Je compte me faire une copie de sauvegarde en + de mes deux disques, crypter avec filevault 2, est ce une bonne idée ou faut il vraiment garder une copie totalement "non crypter"  de ses fichiers ?
 
voila je pense que c'est a peu près tout !
 
Merci d'avance pour vos réponses
 

TC est assez stable dans le temps.
Il peut parfois y avoir quelques problèmes lors de changement de version mais dans ce cas, tu attends les retours avant d'envisager le changement de version et tu gardes ta vieille version.
Que ce soit en mode volume-fichier ou volume-disque les deux offrent la même sécurité même si j'ai l'impression que le mode volume-disque peut poser plus de problème je pense que c'est surtout lié à l’environnement (anti-virus, logiciel touchant au partition etc etc...).
Dans tout les cas, si tu te décide à chiffrer tes données tu devra en avoir une sauvegarde sur un autre support, car le chiffrement des données empêche leur récupération.
(la sauvegarde peut être chiffrée ou non)
 
De préférence l'entête se sauvegarde après la création du volume (plus tu fait une sauvegarde tôt mieux c'est).
Elle ne change que quand tu change ton mot de passe.
 
Si la sauvegarde est chiffrée alors il vaut mieux prendre un autre volume qui aura été créé pour l'occasion. Tu peut aussi utiliser un autre logiciel c'est comme tu veut.
Mais n'oublie pas : il faut sauvegarder le contenu, pas le contenant.
Donc sauvegarder les données, pas directement le volume.

Dans l'absolu ta volonté de chiffrer la sauvegarde avec filevault est plutôt futée : 2 systèmes de chiffrement différents, si tu as un bug/problème avec TC, tu as des chances de ne pas l'avoir avec filevault.
 
Pour ma part (sur PC), j'ai fait exclusivement de la partition chiffrée, système ou non via TC, pour l'instant ça va.
Ex typique :  
- sur mon PC principal j'ai SSD système chiffré + 2hdd en RAID 0 chiffrés avec TC aussi, le tout monté au boot.
- J'ai une sauvegarde locale sur un hdd externe dont la partition est chiffrée via TC aussi (que je swappe régulièrement avec un homologue stocké hors de chez moi)
- J'ai aussi une sauvegarde sur un hdd interne d'un autre ordi de mon LAN, partition du hdd elle aussi chiffrée via TC.
 
Dans tous les cas ce sont donc les données en clair qui sont copiées d'un support vers l'autre (le support [la partition] étant, elle, chiffrée).
 
Donc en théorie un problème de chiffrement sur un disque n'a aucun impact sur les autres.
 
Seule entorse : un petit container "fichier" TC pour stocker de l'ultra confidentiel. Je ne monte le container que quand j'en ai besoin et le démonte après (limite l'accès à un trojan par ex qui pourrait avoir accès à toutes mes données chiffrées à partir du moment où j'ai booté mon pc). Le container est lui-même sur une partition chiffrée, ça fait un peu coffre dans le coffre, mais on s'en fout, tant que ça marche :-)
 
Je trouve que stocker une sauvegarde "non chiffrée" est une faille de sécurité énorme dans ton concept, sauf si tu peux compenser la sauvegarde "en clair" par un stockage physique du disque dans un lieu sécurisé (coffre fort, banque, enterré dans le jardin, ...). Moi j'ai fait l'inverse : je me sens enfin capable de stocker mes hdds de sauvegarde hors de chez moi (le lieu où je les stocke n'est pas sécurisé pour un sou) depuis que je les chiffre. Avant c'était ultra planqué ou sauvegarde en ligne (chiffrée en local avant transfert)... mais avec l'adsl de campagne c'est juste ultra relou.

Merci pour vos réponses !
J'ai une autre question en rapport avec le fichier clé, d’après ce que j'ai compris plus je laisse "tourner" longtemps le défilement de chiffres lorsque je crée mon fichier clé, plus il est sécurisé ? est ce exacte ?
 
Sinon en mode aes j'ai vu que c’était cassable mais bon, j'imagine hormis les chercheurs, personne ne peut casser cela, mais sinon, si je met aes-Twofish-serpent, est ce que cela peut créée des bug ?

 
Le truc avec les chiffres qui tournent quand tu bouges la souris c'est pour apporter un peu plus d'aleatoirité mais la clé proposée est déjà aléatoire au départ.
 
Pour l'aes+autre chiffrement par dessus, attention aux performances selon la plateforme sur laquelle tu es.
Ex : sur mon petit serveur à base d'atom les perfs en aes simple sont déjà limite, donc si tu rajoutes une couche c'est l'effondrement.
Fais un benchmark (c'est intégré à TC) pour avoir une idée. En gros en dessous de 200-300 MB/s (vitesse max d'un hdd x 2) tu risques de perdre sérieusement en perfs notamment en transfert disque->disque (déchiffrement d'un côté et chiffrement de l'autre).
 
Après est-ce vraiment plus secure ? En théorie oui, en pratique sauf à s'appeler Snowden je pense qu'il vaut mieux faire de l'aes normal et comme je le disais plus haut, pour les quelques données que tu veux vraiment vraiment protéger à mort tu fais un petit container fichier protégé par un autre mot de passe et éventuellement chiffré avec autre chose que de l'aes ou une combinaison aes+autre chose. Si ce container est sur une partition chiffrée tu améliores la sécurité (il faut péter la partition d'abord et ensuite le petit container, les deux étant chiffrés avec des algos et des mots de passe différents.
Au passage tu évites de laminer les performances pour avoir voulu "surchiffrer" tes fichiers temporaires, tes logiciels, tes vidéos de vacances...

Pour les chiffres qui bougent, au début, c'est du "pseudo-aléatoire", plus tu bougera la souris et plus tu ira vers de l'aléatoire et donc vers plus de sécurité.
Mais une fois passé quelques secondes à bouger la souris le gain est seulement théorique.
Donc tu bouge la souris aléatoirement pendant 5/10sec c'est très très très largement suffisant.
 
TC résiste déjà au FBI (je te laisse chercher l'info), l'AES est un standard public et donc théoriquement sans faille (sauf dans son implémentation).
Ajouter d'autres algo en plus de l'AES peut être utile mais vraiment dans de rares cas (illégalité ou très très haute sécurité genre code nucléaires).
En plus comme déjà précisé tu baissera en performance car seul l'AES est accéléré par les proc.

Oui ça n'a pas trop d’intérêt dans ce cas, par contre j'ai vu qu'avec truecrack, on pouvait décoder le mot de passe, mais c'est le cas uniquement si il n'y a pas de fichier clé justement ?  
 
avec mot de passe + fichier clé + aes, truecrack ne peu rien faire ?
 
ça m’ennuierai qu'un cambrioleur recupere mon dd, telecharge truecrack et prenne le temps de l'ouvrir tranquillement ...

Comme tout mot de passe on peut le "bruteforcer" c.a.d. tester toutes les combinaisons.
Avec ou sans fichier clef, cela dépend de la longueur du mot de passe et il me semble que truecrack prend en compte les fichiers clef (quand on l'a).
Le fichier clef et un "en plus" qui ne change pas grand chose si l'attaquant en dispose d'une copie.

si il n'a pas de copie c'est impossible donc ?  
 
(j'ai encore une autre question enfin plutôt une confirmation, on peut chiffrer sans formater avant ? car mes disques dur sont plein justement et ce serai plus pratique pour moi de chiffrer d'un coup sans formatage > création de partition et recopie des fichiers) ça change rien à la securité je pense ?

listan : oui c'est possible de chiffrer sans formater :
- partition système : chiffrement en live (tu peux continuer à utiliser le pc pendant que ça chiffre)
- autre partition : ça empêche l'accès aux données pendant le chiffrement (attention c'est long... 3 jours pour mes 2x2 To RAID 0 sur un i7 3770k)

Je viens de faire un test sur une clef de 3go je crois ça me prend 12h    j'ai voulu tester le nettoyage 35 passes ..  
ça n'abime pas le disque ce genre de "nettoyage" ?

Dans l'absolu 35 passes c'est pas énorme pour une mémoire flash. Après, est-ce réellement utile ?

Je ne pense pas, j'ai voulu faire le test sur une clef usb surtout pour voir comment ça marchait car d'habitude j'encrypte toujours formater, le pire c'est qu'une fois que ça démarre, on ne peut plus revenir en arrière, juste en pause ou en différer !
 
 
edit : finalement c'est bon, y a plus qu'a laisser tourner l'encryptage et attendre... c'est long ... Je vais le faire sans le nettoyage, de toute façon ce ne sont pas des trucs sensible donc pas de soucis
 
en tout cas merci pour tous vos conseils !    

Les nettoyages à plusieurs passes sont totalement inutiles sur les supports utilisant de la mémoire flash.
Pire ils diminuent la durées de vie des cellules (assez peut sensibles sur les clefs usb mais vraiment déconseillé sur les ssd).
Donc une passe, au pire deux si t'es parano c'est grandement suffisant.

Ensuite pour les HDD, la défense américaine conseille 3 passes pour du "secret défense" et 7 passes pour du "ultra secret".
Alors 35 passes...

Gutman à lui même dit que 35 passe était inutiles (méthodes gutman).
 
Il n'existe pas de constructeurs de ssd qui aime TC ?  

Les constructeurs préfèrent mettre en avant leur propre méthode de "chiffrement matériel AES".
Cela permet certes d'avoir de bon débit pour un coût processeur faible si ce n'est nul, mais on peut vraiment s'interroger sur l'implémentation d'une telle solution et la présence ou non de portes dérobées.
 
Perso, je me demande même comme une solution matérielle comme celles-là fonctionnent. A quel moment tu entre le mot de passe ? comment changer la clef ?
 
Car c'est bien gentil de mettre en avant "chiffrement matériel de vos données : elle seront inaccessible en cas de vol", mais sur un portable volé en même temps que le SSD si aucun mot de passe n'est demandé au boot et que la protection s'active seulement en cas de changement matériel, il est fort à parier que la protection reste à ce moment ineffective.

j'ai fini par tout crypté ça marche bien ! par contre justement j'ai une autre question du coup :
 
D’après ce que j'ai vu les mots de passe de windows 7 et 8 sont assez facile à cracker, j'utilise un vieu pc portable avec un ssd, sans trime et j'aimerais le crypté avec truecrypt, c'est risqué ?

Déjà répondu plus haut sur cette même page.

Risqué ?
Non pas vraiment.

Mais ton SSD vas pas aimer car considéré comme plein.
(gestion de l'usure et baisse de perf)

J'ai cru comprendre que ce probleme n'existait pas avec bitlocker ?
(d'ailleurs la plupart des tablettes w8/RT que j'ai eu entre les mains etaient livrées avec le disque systeme bitlocké d'origine)

Je ne connais pas le fonctionnement de bitlocker.
Mais s'il chiffre l'espace libre disponible alors oui, il a le même problème.
Et s'il ne chiffre pas l'espace libre il est donc d'un niveau de sécurité moindre que TC sur ce détail.

D'où mon '?'
 
tout ce que j'ai trouvé c'est ça :  

Is Bitlocker’s encryption process optimized to work on SSDs?
 
Yes, on NTFS. When Bitlocker is first configured on a partition, the entire partition is read, encrypted and written back out. As this is done, the NTFS file system will issue Trim commands to help the SSD optimize its behavior.
 
We do encourage users concerned about their data privacy and protection to enable Bitlocker on their drives, including SSDs.
 
http://blogs.msdn.com/b/e7/archive [...] s-and.aspx
 
Qui veut tout et rien dire. De ce que j'ai compris de ce post, c'est qu’avec bitlocker on conserve le trim, alors que (de ce que j'ai lu ailleurs), avec TC, c'est perdu.
 
Mais conclusions à prendre avec pincettes taille XXL.

Je ne peut rien affirmer (surtout avec mon très faible anglais).
Mais pour que le TRIM fonctionne, il faut pouvoir dire que tel ou tel secteur est vide/libre et je ne voie pas comment BitLocker peut le faire s'il chiffre l'espace libre.
Peut-être via une sorte de volume de taille variable à la hausse et à la baisse ?

Sais pas
 
J'ai pas de problème avec l'anglais, mais j'ai par contre du mal à trouver de la doc sur cette partie là.

bon, si ça marche .... je vais bitlocker tous mes ssd tc ...

Il me semble avoir déjà vu un bout de texte à ce sujet mais pas moyen de retrouver que ce soit google ou le manuel TC.. Quid de la sauvegarde des miniatures images & vidéos crées (thumbnails)? Me semble que selon les options elles sont enregistrées ou pas..

 
Trouvé quelques infos sur technet :
 
http://social.technet.microsoft.co [...] rosecurity
 

 
 
Et ici :
http://superuser.com/questions/255 [...] ssd-health
 

 
Plus je me documente sur le truc, plus ça me parait de moins en moins inconcevable que le trim soit correctement géré par Bitlocker et deux trois autres softs d'encryption.
Je pense que le seul probleme de truecrypt à ce niveau-là vient surtout du fait qu'il n'y a pas eu de maj depuis deux ans

Mais alors comment chiffrer l'espace disque libre ?
Si c'est compatible TRIM pour moi l'espace libre n'est pas chiffré.
 
Après si le but de chiffrer l'espace libre est d'éviter la récupération de données effacées alors le TRIM peut avec avantage remplacer le chiffrement de l'espace libre.
Mais on pourrait imaginer une éventuelle attaque dans ce cas.
Ce ne sont pas les types de TC qui parlaient de baisse de la sécurité si l'espace libre n'est pas chiffré ?

Non, justement tout ce que tu dis, c'est parce que tu te bases sur le fonctionnement de TC qui cree un gros volume chiffré, c'est pour ça que tout le monde sur les forum s'accorde a dire que TC est terrible pour les SSD.
De ce que j'ai compris de mes lectures, Bitlocker, lui chiffre secteur par secteur, donc chiffrés ou pas ça n'a plus d'importance, il est capable de dire ce secteur est libre, celui-la ne l'est pas. Et encore, dans le detail c'est même pas tout a fait ça, je poste depuis le mobile donc j'ai pas toutes les sources sous la main, donc je résume hyper grossièrement.

Sauf qu'avec le TRIM les bits sont remis à zéro.
Donc pas possible de chiffrer l'espace libre. Que ce soit en travaillant sur les secteurs ou les fichiers.
 
Après on peut supposer qu'une prochaine version de TC prendra en compte les SSD et le TRIM.
Encore que avec le fonctionnement par volume cela pourrai être délicat.
Peut-être dans ce cas uniquement pour le FDE et le chiffrement système. Je suppose.

Ah bah oui, moi depuis le début je ne parle que de FDE la.

je viens de crypter un gros DD entier 900Go ( pas une partition , je dit bien le DD entier sans OS) je veux faire un Backup de l'en tete , maiks TC tourne en rond  ( le curseur de la souris) c'est normal que ce soit si long ? c'est selon la taille du DD ??

Non, la taille d'un en-tête est fixe.
Peut-tu accéder à tes données ?

 
oui sans pb
 
j'ai essayer plusieur fois de faire une sauvegarde de l’entête et ca prend grave du temps , je suis meme obliger d'arreter Tc via le gestionnaire des tache , car sinon le curseur de la souris tourne en rond indéfiniment
 
j'ai même fait clique droit sur la DD cryté pi " vérifier le système fichier" et TC dit que tout est OK

TrueCrypt : aucune preuve de backdoor dans le code
 

 
Audit avec le descriptif des failles mineures: http://opencryptoaudit.org/reports [...] ssment.pdf
 

 
La suite sera une cryptanalyse pour tester la fiabilité des algos de chiffrement.

Idem sur : http://www.pcinpact.com/news/87088 [...] urites.htm
 
Alors oui. Ce n'est pas parfait.
Mais je ne connais pas d'autres logiciels qui soit aussi simple d'utilisation ET open source (open source ne veut pas dire libre mais c'est quand même mieux que sans source comme Windows).
 
Je rappel quand même que TC avait eu une certification de premier niveau par l'ANSSI ce qui permettait déjà une utilisation avec un certain niveau de "sureté"

Ceci dit, je pense que le soft gagnerait à avoir un modèle de dév plus libre et participatif, un peu comme Firefox avec un bugtracker ouvert.
Ca redynamiserait l'évolution du code, et typiquement ce genre de failles seraient bouchées rapidement.

Une petite précision, l'audit ne porte que sur le code pour Windows.

TC sous Windows 8
 
Depuis que j ai fait la maj Windows 7->8, mes partitions TC ne sont PLUS démontés au logoff/shutdown alors que cela marchait nickel avec 7.
Comment forcer le dismount?
J ai pourtant activer les options qui vont bien ds TC!

As-tu tenté de réinstaller TC depuis ta migration ?

J'ai vue que plusiers ici on chiffré leurs ssd avec TC mais comment vous avez fais ? Moi il ne m'autorise pas à le faire

 
mon ssd est mon disque système (1 partition, C:\, Crucial M4) absolument rien à signaler lors du process de chiffrement.