Reprise du message précédent :
[edit suite à quiproquo sur le vocabulaire en raison de l'emploi d'un terme erroné de ma part]
visionmaster :  
tu dois parler des keyfiles générés sur demande par truecrypt, non ? (petit fichier de 64caractères)
 
un keyfile est un fichier quelconque ou un groupe de fichiers auquel se réfère truecrypt pour ouvrir le document crypté. on peut :
-soit choisir un(des) fichier(s) existant(s),  
-soit créer un keyfile clé avec truecrypt (commande "generate Random Keyfile" ) : ça te génère effectivement un petit fichier de 64 caractères
 
ce système permet de ne pas avoir de mot de passe à mémoriser, en revanche si on supprime le keyfile il n'est plus possible d'ouvrir le document crypté !
 
c'est indépendant avec le mot de passe : on peut au choix opter pour un passe seul, un keyfile clé seul ou enfin combiner les deux.
comme expliqué plus bas par asmomo : le passe et/ou le keyfile autorisent truecrypt  à accéder à la clé qui va faire le décodage

J'ai mis à jour mon système d'un athlon xp à un athlon II X2
et j'en ai donc profiter pour essayer windows 7 rtm à la place de mon windows XP
 
j'avais une partition entière de chiffrer avec truecrypt (version 6.x)
(sous xp cette partition était visible et non formater)
Maintenant sous 7, cette partition a apparament été formaté en NTFS, je sais pas comment ! peut être lors du chdisk !?
 
En tout cas, truecrypt ne pouvez plus "monter" la partition, il ne la voyait plus
J'ai donc fais : select device puis Tools et Restore Volume Header.
 
Maintenant il voit la partition qui est chiffré en AES
 

 
Mais même une fois monté, je ne peux y accéder, elle est visible dans l'explorateur windows, mais ce dernier me demande de la formater !!!
 

 
Qu'est-ce que je peux faire à ce niveau la pour récupérer mes données?
 
Merci

pharaonparis : non c'est pas ça du tout.
 
La clé aléatoire, où il faut bouger la souris toussa, c'est celle qui sert à encoder les données (ou celles si plusieurs algo).
 
Le mot de passe, keyfile aléatoire ou non, mélange des deux, c'est ce qui permet d'avoir accès à la clé sus-citée. Les données ne sont pas codées avec le mdp, seul le header l'est, c'est ce qui permet de changer de mdp sans avoir à tout réencoder, et d'encoder les données avec une excellente sécurité.

Je comprends pas tous ces gens qui encodent directement des partitions sans comprendre qu'après faut surtout toucher à rien qui soit MBR, FAT, etc.

myamata : tu la vois car t'as restauré le header, mais la partition n'est pas vraiment là. C'est plutôt le MBR qu'il faudrait remettre dans son état précédent, mais je sais pas si c'est faisable.

En temps normal il faut toujours faire des backups, encore plus avec TC ! Backups cryptés aussi, of course.

j'ai fait un abus de language : en fait on parle de la même chose mais en employant un terme différent.  
tu as raison : j'emploi le terme de "clé" à tort en lieu et place de "keyfile", en effet comme tu le dis la clé est tout autre chose et sert à l'encodage.
 
mais j'ai utilisé ce terme "clé", à tort, pour répondre au collègue qui parle des "clé...lisible avec le blocnote et affiche 64 caractères" : il doit, si j'ai bien décrypté!, parler en réalité des "keyfile" générés par truecrypt (qui sont effectivement des fichiers ouvrables avec le bloc-note et d'une longueur de 64car.)... c'est compliqué de s'entendre sur le vocabulaire ! lol. je vais modifier mon post précédent pour clarifier.

1 / Ton mdp permet de générer 2 clés : la primary header key et la secondary header key (du faut de l'utilisation du XTS).
Ces 2 clés permettent de chiffrer un tout petit volume de 512Bytes qui se trouve au tout début du volume chiffré. C'est ce fameux volume que TC de permet de sauvegarder. Car c'est dans ce volume que se trouve les informations sur ton volume chiffré dont les 2 clés que TC a généré aléatoirement.
Ce sont ces 2 clés qui chiffre véritablement ton volume et pas les clés généré par ton password.

Si cette solution n'existait pas TC devrait rechiffrer tout le volume a chaque fois que le mdp est modifier. Alors que la il n'a qu'a rechiffrer header de 512bytes.

http://www.truecrypt.org/docs/volu [...] cification

2 / Le PRNG est considéré comme beaucoup plus sur que toi (ou moi) http://www.truecrypt.org/docs/random-number-generator

Apparemment c'est ta MBR qui est cassé, 7 l'a peut être réécrite lors de l'installation. Essaye de monter cette partition sous linux pour voir Mais c'est mal partie

pharaonparis : je dirais plutôt que visionmaster mélange tout et que tu l'as pas aidé à s'y retrouver avec ta réponse

oui, c'est pour cela que j'ai complètement mis à jour la réponse afin de dissiper la confusion sur les termes

Eh les gars? Vous n'auriez pas une petite idée pour retrouver ma partition truecrypt transformée en RAW? Une piste? Un espoire? quelque chose ?....

 
Personnellement, sous Seven X64, en installation standard, il n'a pas créé de partition dédiée au boot, tout se trouve bien dans la partition principale C: (bootmgr, et le répertoire "boot" )
 

 
penser à crypter ses données mais pas à les sauvegarder, c'est trop fort    
 
bonne chance en tout cas.
 
 

c_planet : puisque tu utilises TC et que t'as des SSD, t'as essayé la combinaison des deux ?
 
Je suis en train de me demander s'il y a moyen de conserver l'alignement de la partition système.

j'ai installé windows 7 sur un autre hdd
l'ancien de 40gig, je l'ai simplement enlevé
j'ai donc réinstallé ma configuration avec ma veille carte mère et le hdd avec windows xp et celui qui contient la partition encrypté
 
par contre même résultat, je peux monter ma partition et la voir apparaitre dans l'explorateur windows, mais celui ci me demande de formater la nouvelle partition si je veux l'utiliser.
 
donc monter mais illisible
 
Je ne sais pas comment trouver le mbr (qui est rester le meme utiliser lors de la creation de la partition encrypté) et voir comment le lire ou modifier !
 
Merci

 
hello,
 
je n'ai pas encore testé TC sur une partition/hd système. là, je sors d'une semaine à reconfigurer deux windows de mon réseau (un xp sur changement de mobo et un passage à 7 x64). Pour TC, je pense que je vais commencer crescendo, il me faut trouver une semaine au calme. (xp sur eepc, puis 7 X64 sur ssd raid 0 pc bureau, puis pc serveur, puis pc backup).
 
sinon en alignement TC ssd, bonne question, je n'en sais trop rien, mais je ne pense pas que je vais perdre mon temps à essayer l'alignement (je suis en raid 0 non aligné depuis un an et demi, sur mes modèles (msp pro) je pense que cela n'apportera rien)

OK, donc avec un peu de chance (ma commande qui finirait par arriver) je testerai avant toi
 
Je ferai mes premiers tests avec le SSD en "secondaire", pour voir son comportement à divers stades de remplissage déjà.

 
Tu as essayé fixboot/fixmbr ?

-> Asmomo et Pharaonparis : merci pour vos précisions    
 
C'est bien plus compliqué que je ne croyais.
 
Mais si le mot de passe ou le keyfile ne sont pas la véritable clé qui encode, néanmoins ils permettent d'accéder aux données cryptées, donc je ne vois pas très bien l'intérêt d'avoir encore une autre clé (enfin la vraie) ... à moins que la véritable clé ne soit beaucoup plus longue... !
 
 
/* Au fait à propos de mot de passe et de key file, au départ j'ai commencé par générer tout ça dans des fichiers textes, et ensuite je les ai coupés en 2, pour n'avoir que la moitié du mot de passe ou du keyfile, chacun sur un support amovible différent ! Puis j'ai trouvé ça compliqué à l'usage et je suis revenu à des fichiers textes unique. Mais finalement d'après ce que vous me dites, si ils ne servent qu'à accéder au Header, alors c'était peut-être astucieux de ma part de les scinder en 2 ! (Mais si un hacker avait la moitié d'un mot de passe ou keyfile Header, pourrait-il plus facilement casser le code qui permette d'accéder au header donc aux données ?) */
 
 
 
                                                                * * * * *
 
Donc pour l'instant j'ai fait un essai avec 2 volumes et une synchronisation fichiers de ces 2 volumes une fois montés, avec le logiciel ViceVersa 2.4 (qui est un excellent petit synchroniseur, très efficace et complet). Je dois dire que pour l'instant ça marche impeccablement, mais je n'utilise Truecrypt depuis seulement 3 jours... J'ai conservé pour l'instant une version non cryptée des ces mêmes données, car je ne maîtrise pas encore Truecrypt et je ne veux pas risquer de perdre mes données.
 
 
Pour ne jamais perdre ses données, quels conseils pourriez-vous donner ?
 
Je me demande si je dois backuper  mes volumes encryptés avec PowerDrive Image.
J'ai lu que Acronis Trueimage posait des problèmes avec les partitions encryptées avec TrueCrypt.
Mais lorsqu'il s'agit de volumes uniquement, on peut backuper sans problème avec n'importe quel soft de backup ?
(Doit-on utiliser la compression pour la sauvegarde, ou faut-il absolument sauvegarder sans compression  ? PowerQuest Drive Image permet de sauvegarder sans compression)
 
Faut-il toujours garder une version non encryptée de ses données ?  
(Mais dans ce cas la protection n'est pas vraiment totale)
 
 
Quel algo vaut-il mieux choisir pour une sécurité maximale ?
Pour l'instant j'ai créé des volumes uniquement, et avec l'algo de base proposé par défaut.
(AES + RIPEMD-160)
 
 
Est-ce que l'encryption en 256 bits est vraiment très très dure à casser de nos jours ?
(Pourquoi pas 1024 bits plutôt ?)

Visionmaster apparemment ta vision n'est pas si bonne car tu n'a pas lut ma réponse (plus haut) qui répond à baucoup de tes questions...
 
Quelle taille pour le mdp : 14 caractères ASCII : http://www.artiflo.net/2009/08/pbk [...] de-disque/
 
Quel backup ? : clonezilla, qui va te backup bit a bit tout ton disque vers un autre disque.
 
Casser une clé 256bits ? ahahahah, tu mélange chiffrement symétrique et chiffrement asymétrique.   http://www.artiflo.net/2009/07/les [...] -de-passe/
 
Je te conseil vivement un tour sur wikipedia avec plusieurs heure de lecture http://fr.wikipedia.org/wiki/Portail:Cryptologie
 
Stop les posts à rallonge avec 10000 questions

 
 
Merci pour les liens    
 

Je viens de faire un petit résumé
 
http://www.artiflo.net/2009/08/que [...] de-disque/

 
Merci    
 
Très sympa pour les novices  
 
 

 
On voit quand même qu'il s'y intéresse, c'est pas des questions trop bêtes. Je me rappelle au début je trouvais ça très confus aussi, et je me pose toujours des questions
 

 
Si un hacker a la moitié de ton keyfile, je ne sais pas si ça l'aide. Mais si t'as des fichiers keyfile qui ne sont que ça, alors ils sont "repérables". Perso j'utilise pour keyfiles de vrais fichiers (que je ne modifie pas, évidemment), ainsi le hacker ne peut les distinguer. TC combine le mot de passe et les keyfiles pour créer la clé "finale" donc même si chacun n'est pas de la plus grande sécurité, la combinaison du tout est redoutable.
 
Par contre je sais pas si on peut utiliser des keyfiles en FDE.
 

 
Tout dépend de pourquoi tu chiffres, déjà. Si c'est par exemple sur un portable en cas de vol, alors garder une copie non encryptée chez toi ne pose pas de pb. à moins de craindre aussi un cambriolage
 
Pour la compression, de toute façon ça pourra pas vraiment se compresser donc inutile d'y penser.
 
artiflo : je trouve que le site de Truecrypt ne détaille pas assez sur les aglos de hashage, je vois que tu as l'air de bien les connaître, tu conseilles lequel ? Je crois que j'utilise whirlpool. Bon je viens de finir de lire le truc, en gros avec un long mot de passe ils sont tous très secure c'est ça ? Ce que j'ai pas bien compris c'est si ça jouait sur la performance. SHA512 est mieux optimisé, est-ce que ça veut dire qu'on peut chiffrer plus vite (indépendamment des algos de chiffrement utilisés) ? Je viens de voir qu'ailleurs tu recommandes whirlpool. Je crois qu'on en a déjà parlé, mais estimes-tu utile de cascader les algos ?

à part ça dans le but de passer en FDE et même plutôt en "full disks encryption" je me pose pas mal de questions, notamment comment gérer mes multiples DD, mes backups, est-ce qu'utiliser le même mdp pour tout est une très mauvaise idée, etc. Je me vois pas trop avec 10 mdp différents, j'ai pas une super mémoire. Si on considère que je suis "baisé" si n'importe lequel de mes disques est déchiffré, alors la seule considération est le fait qu'utiliser 10 fois le même mdp l'affaiblit. Chaque partition/conteneur sera chiffré avec une clé différente donc pas de pb de ce côté là, mais par contre pour les headers c'est une autre histoire.
 
Ou alors il faut que j'utilise des mdp/keyfiles différents mais proches, une itération par exemple, comme ça la faiblesse n'est plus "directe", mais je peux quand même mémoriser le tout.

Impec asmomo, je vais compléter ma liste
 
Question : Quel algorithme de hashage choisir ?
Réponse : Truecrypt utilise soit le RIPEMD-160 soit du WHIRLPOOL soit du SHA512 comme générateur de hash. Le RIPEMD-160 et le WHIRLPOOL sont tous les 2 issus du standard ISO/IEC 10118-3:2004 alors que le SHA512 est issus du FIPS PUB 180-2. Dans les 2 cas se sont des standards récent qui date respectivement de 2004 et 2002.
 
Le RIPEMD est considéré comme le plus faible des 3 car il génère un résultat que sur 160bits, alors que les 2 autres font un hash de 512bits. Pour palier à ce manque, Truecrypt fait 2000 itérations à cet algorithme au lieu de 1000 comme pour les 2 autres.
 
Le SHA-512 est de la famille du SHA-2 qui est dérivé du SHA-1. Le SHA-1 possède des failles qui ont été découverte en 2005, sont remplacement par le SHA-3 est en cours.
 
Alors lequel choisir ?  

• Celui qui sur lequel le moins de bruteforce est fait , ce qui écarte la famille SHA.
• Le plus long, ce qui écarte le RIPEMD-160

Conclusion : Le WHIRLPOOL. Mais bon la différence est très faible. Les 2 autres sont aussi très bon.
 
Question : A quoi sert la cascade d'algorithme de chiffrement ?
Réponse : La parallélisation (cascades) des algorithmes permet 2 choses :

• Améliorer la sécurité, car il est très peu probable que les x algorithmes soient cassés en même temps.
• Rendre presque impossible de casser par force brute un conteneur.

Exemple : Dans le cas d’utilisation de 3 algorithmes en cascades (AES-Serpent-Twofish), il faut 3 clés de 256 bits différentes (une par algorithme). L’ensemble des clés fera 3 donc * 256 bits = 768 bits.
 
Question : Est-ce utile de cascader les algorithmes ?
Réponse : En FDE je déconseil d'utiliser la cascade d'algorithme. Et je déconseil aussi d'utiliser autre chose que l'AES. Le ratio besoin de sécurité / performance est trop défavorable.
Dans le cas du chiffrement de volume/partition, l'utilisation de la cascade d'algorithme peut être utilisé mais en fonction du besoin sécurité / performance.
 
Bon ensuite pour ta problématique de gérer plusieurs DD.  
Moi aussi j'avais plusieurs DD. je me suis acheter 2 DD de 1 TO, 1 pour les fichiers 1 pour le backup bit à bit avec clonezilla. Je pense que gérer plus de 5 volumes chiffrés entraines trop de problème de backup, de mémorisation du mdp, de non redondance du mdp.
 
Si je peux te donner une astuce, que je pratique et que j'essaye d'expliquer. A mes yeux aujourd'hui il ne faut plus parler de mot de passe mais de phrase de passe. Pour des problème évidement de nécessité de complexité.
1 / Créer toi une phrase et apprend la par coeur.
2 / Ecris la en 1337
3 / Découpe la en 3 mots
 
Chaque mdp est composé de ses 3 mots que je sépare d'un caractère spéciale. Comme cela quand je ne me souviens plus du mdp d'un volume j'essaye ces 3 dans tous les sens et je finis par y arriver.
 
Exemple :
plaintext : artifloleplusbeau
 
1337 : 4R71PhL0L3PLU5B34U
 
mot 1 : 4R71Ph
mot 2 : L0L3PL
mot 3 : U5B34U
 
mdp 1 : 4R71Ph!L0L3PL!U5B34U
mdp 2 : U5B34U! L0L3PL!4R71Ph
mdp 3 : L0L3PL!4R71Ph!U5B34U
etc
 
Tu obtiens un mdp sure et robuste que tu ne peux pas oublié, ou en tout cas que tu peux retrouver
 
http://www.brenz.net/l337Maker.asp

Ah oui j'oubliais, d'un point de vue technique. Utiliser le même mdp présente une vulnérabilité.
 
Aucune vulnérabilité n’a encore été découverte sur le XTS. Toutefois le groupe SISWG qui a standardisé l’IEEE P1619 préconise pour une plus grande sécurité de ne pas utiliser la même clé de chiffrement pour plus de 1 téraoctet de données (SISWG, 2007). Voici les probabilités de réussite d’attaque pour un nombre de donnée chiffré avec la même clé.
 
• Pour 1 téraoctet de données, l’attaque a 1 chance sur 8 quadrillions de réussir.
• Pour 1 petaoctet de données, l’attaque a 1 chance sur 8 trillion de réussir.
• Pour 1 exaoctet de données, l’attaque a 1 chance sur 8 million de réussir.
 
Encore 30 pages de ce style et vous m'aurez fait copier/coller tout mon brouillon de mémoire sur hfr

En fait j'ai du mal à me représenter un ordinateur attaquant un gros volume en brute force. Pour que la taille pose pb, ne faudrait-il pas qu'il puisse tout mettre en RAM ?
 
Mes DD font 1,5To donc ça dépasse un peu (sans compter le fait d'utiliser plusieurs fois le même mdp).
 
Pour passphrase OK, mais j'ajoute les keyfiles dans le mix.
 
T'as pas tout à fait répondu à mes interrogations
 
- keyfiles en FDE système ?
 
- whirlpool plus lent à l'usage ou ça ne change rien (ou juste pour la création des volumes, ce qui ne me dérange pas) ?
 
- tu es d'accord que réutiliser le même mdp est un pb pour le header et pas le reste ?
 
Sinon une possibilité pour moi serait de faire un fichier conteneur avec un super mot de passe de la mort, cascade et tout, contenant les autres mot de passe avec par exemple des bat pour monter mes DD. Comme ça je démarre le PC, j'ouvre ce conteneur qui me permet de monter mes disques. Actuellement j'ai un fichier xls avec 200 mots de passe environ (toutes mes boîtes mail, inscriptions diverses et variées), il irait aussi dedans

Keyfiles on fde > Je ne sais pas, j'ai pas du tout étudier les keyfiles même si tout le monde en parle. Faudrait que je m'y mette.
 
Wirlpool > Ce n'est sensé rien changer à l'usage. La différence étant infime.
 
Header > Tout à fait.
 
Ta solution me parait bonne.

Un petit bonjour de Corse, les truecryptiens
C'etait juste pour vous dire que je suis en vacances, mais je lis vos posts et je mettrais les questions de la FAQ ds le 1er post qd je rentrerai
 
Merci a tous de faire vivre ce petit topic

 
L'avantage pour moi qui ait une mémoire plutôt photographique, c'est que sais "faire" le mdp, mais je ne le connais pas pour autant, avec les keyfiles.

j'ai zoné hier 3h sur le portail http://fr.wikipedia.org/wiki/Portail:Cryptologie
c'est sympa mais pas trop poussé je trouve, pas assez de démonstrations ni d'exemples

C'est exact. Comparé au US il manque pas mal de page.
 
J'en écrirai surement 1 ou 2, voir aller 3 à partir de mon mémoire

Bon bah j'ai crypté le système Win 7, ça marche bien c'est du bon
Par contre j'ai une partition "Documents" de 200Go qui est presque pleine, je peux la formater on the fly ? Ou faut que je vire tout et que je remette tout après ?

Dans les deux cas ça sent la modification des partition par l'installation de windows.
Et donc des problèmes pour les volumes TC
 
Je n'utilise TC qu'en mode fichier conteneur pour éviter de cumuler les niveaux de problèmes.
Etait-ce de l'espace disque non partitionné ou une vrai partition non formatée ?
Dans le premier cas ça vas être coton de récupérer: faudrait pouvoir remettre la partition d'avant et/ou d'après pile poil aux mêmes cylindres qu'avant l'install pour ensuite restaurer le header (pour qu'il reprenne sa place à l'octet près).
Dans le second cas si c'était une vrai partition mais non formatée c'est étrange, le processus d'installation a du quand même tenter de faire un truc (formatage rapide ?) et pour le moment je ne trouve pas vraiment ce qui aurai pu se passer et comment corriger.
 
 
 
Ca fait un moment que je n'ai pas été relire le premier post.
Mais peut-être faudrait-il y metre quelques conseils dans l'utilisation de TC en mode partition/disque brut (utiliser un disque dédié et pas un disque partitionnné (encore que) ne pas toucher au partitions, débrancher les disque cryptés en cas de réinstallation etc...)

Hello,
 
Jsuis tombe sur cet article:
 
http://www.reuters.com/article/tec [...] 2620090828
 

 
Je me demande comment ca se passe ds le cas de TC. Que se passe-t-il s'ils decouvrent un fichier container ? Une partition soi-disant vide ? Peuvent-ils forcer les gens a monter leur volume ? Quid des volumes caches ?
 
Sinon je suis ouvert a toutes les suggestions et idees pour le 1er post, je ferais ca en rentrant de vacances

Ils peuvent pas te forcer, mais si tu refuses c'est guantanamo. Your choice.
 
Perso j'ai choisi, si un coup je vais aux USA (peut-être l'an prochain) je prends pas le portable (qui n'a rien dessus d'ailleurs, mais par principe)

S'ils détectent un fichier/conteneur/OS chiffré et que tu veux pas leurs donner le mdp. Je pense qu'au minimum tu rentre pas dans le pays et au pire tu risque de faire un tour entre 4 murs pendant quelques heures/jour. C'est pas des rigolos les ricains. Suffit de voir ce qu'il vient d'arriver a un ingé français http://www.rtl.fr/fiche/5927173705 [...] -Unis.html
 
Je rappel que le chiffrement de disque est fait pour protéger de l'information confidentielle tel que des secrets industriel, des propositions commercial, ou des conversations privés ou des documents privés, etc. Ce n'est pas fait pour aller à l'encontre des lois d'un pays.
 
Bon je dis ça, mais l'Hidden Operating System est fait pour contourner le problème... Avec son tuto applicatif http://www.artiflo.net/2009/07/hid [...] ng-system/
 
M'enfin je m'y risquerais pas. Faut pas déconner avec les ricains, surtout quand on est un froggy.

Jsuis pas un froggy mais qd meme
C'est vrai qu'ils ne deconnent pas les americains ...

Moi je dirais au contraire qu'ils déconnent à fond

c'est comme un format classique donc tu sauves

Tiens c'est marrant la je lis l'inverse. Apparemment la législation s'assouplirait : http://www.pcworld.fr/2009/08/31/h [...] mpaign=rss

Oué c'est pas fondamentalement différent.
 
En gros avant ça passait sans pb dans la plupart des cas, si pas de chance ils faisaient un contrôle rapide, si pas du tout de chance ils te le prenaient pour un contrôle plus approfondi. Maintenant, bah c'est exactement pareil, ils ont juste plus le droit de faire 2-3 trucs (qu'ils feront quand même si t'es un peu bronzé et barbu, mais bon...).