Des coffres forts de données - exemples parmi les logiciels et outils disponibles

Les caractéristiques

Coffre de données : un "espace de stockage de données" sécurisé.

Cela peut être une "image disque" sur ton mac, ou bien une clé usb sécurisée.

Pour ce qui me concerne, je n'utilise pas de clé usb sécurisé,... parce qu'il faudrait en avoir plusieurs, donc synchroniser les infos etc... bof.

Mais sur mon disque : un espace de fichiers, sécurisé.
Je l'ouvre quand j'ai besoin.
Il se referme tout seul, ou si l'ordi s'arrete : pour l'utiliser à nouveau, il faut le réouvrir.

Pour la réalisation : demandez moi, ...
Comme c'est de la sécurité, je ne vais pas le publier ici....
Même si une banque à un coffre fort super sécurisé,... elle ne publie pas les plans en libre consultation (sur internet).

Enjeux et caractérisques

On a tous de plus en plus de données sensibles :

  • Des fichiers pour conserver les infos (compte, mot de passes) des dizaines de comptes que l'on a.
  • Les infos techniques concernant de son ordinateur, de réglage de sa box internet, de ses téléphones
  • Certaines infos clés, par exemple ses infos de comptes bancaires, de numéro de carte bancaires, etc...
  • Pour certains : les infos de leur carnet d'adresses, et contacts.
  • etc...

Pour les enjeux et les caractéristiques des coffres de données, voir cet autre article :
Un petit coffre fort de données - pour protéger quelques dossiers et fichiers

Exemple : Tomb - the standard unix password manager

Dyne.org - Tomb : Folder Encryption on GNU/Linux.
https://dyne.org/software/tomb/

Extrait de la page d'accueil du site.

Tomb is a system to make strong encryption easy for everyday use. A tomb is like a locked folder that can be safely transported and hidden in a filesystem.

We design Tomb’s hidden file encryption to generate encrypted storage folders to be opened and closed using associated key files, which are also protected with a password chosen by the user.

A tomb is a file whose contents are kept secret and indistinguishable; it can be safely renamed, transported and hidden in filesystems; its keys should be kept separate, for instance, keeping the tomb file on your computer’s hard disk and the key files on a USB stick. Once open, the tomb looks like a folder.

Tomb derives from scripts used in the dyne:bolic 100% Free GNU/Linux distribution and a shell script (Zsh) using standard filesystem tools (GNU) and the cryptographic API of the Linux kernel (dm-crypt and LUKS via cryptsetup). Tomb’s status and error messages are translated into many human languages and have multiple graphical applications to operate.

Quelques points intéressants, qui sont dans la présentation du logiciel.
Chapitre : "Advanced usage" dans la page d'accueil du site.

One can use multiple tombs simultaneously on the same system and list them using tomb list.

Using tomb resize, one can expand tombs to have more space (but cannot shrink them).

When it is open, a tomb can bind contents inside the user’s $HOME folder using bind-hooks. For instance, .gnupg will only be found inside your $HOME when the tomb opens.

A tomb can be used on a local machine with keys on a server and never stored on the same device: ssh me@dyne.org 'cat my.tomb.key' | tomb open my.tomb -k - the option -k - tells tomb to take the key from stdin.

It is also possible to store a tomb on a cloud service and mount it locally, ensuring remote servers cannot access contents. One can use sshfs for this:

sshfs -o allow_root me@dyne.org:/ /mnt/cloud/
tomb open /mnt/cloud/my.tomb -k my.key

This paper provides a lot of details about using tombs hosted on cloud storage.

De quoi faire plein-de-petit-coffres de données, et de les utiliser.
Avec mot de passe qui est sur un serveur distant, ...
ou l'inverse, le fichier qui est sur le serveur distant, et ouvert sur l'ordi local.

Exemple : pass (PasswordStore) - the standard unix password manager

PasswordStore, et la commande pass, sont le gestionnaire de mots de passe standard, pour les système Unix (et Linux).

À installer et faire tourner par une personne qui s'y connait un minimum en informatique.

Extrait de la page d'accueil de PasswordStore.
https://www.passwordstore.org/

Password management should be simple and follow Unix philosophy. With pass, each password lives inside of a gpg encrypted file whose filename is the title of the website or resource that requires the password. These encrypted files may be organized into meaningful folder hierarchies, copied from computer to computer, and, in general, manipulated using standard command line file management utilities.

pass makes managing these individual password files extremely easy. All passwords live in ~/.password-store, and pass provides some nice commands for adding, editing, generating, and retrieving passwords. It is a very short and simple shell script. It's capable of temporarily putting passwords on your clipboard and tracking password changes using git.

You can edit the password store using ordinary unix shell commands alongside the pass command. There are no funky file formats or new paradigms to learn. There is bash completion so that you can simply hit tab to fill in names and commands, as well as completion for zsh and fish available in the completion folder. The very active community has produced many impressive clients and GUIs for other platforms as well as extensions for pass itself.

Parmi les extensions : pass-tomb: manage your password store in a Tomb

Exemple : GoPass - pour une équipe

GoPass - pour une équipe.

À installer et faire tourner par une personne qui s'y connait un minimum en informatique.

Le git de l'ensemble des projets sur Github (avec les plugins pour Firefox etc....) : https://github.com/gopasspw
Le git du projet sur Github : https://github.com/gopasspw/gopass

Résumé présenté sur le site :

The slightly more awesome standard UNIX password manager for teams.

Manage your credentials with ease. In a globally distributed team, on multiple devices or fully offline on an air gapped machine.

  • Works everywhere - The same user experience on Linux, MacOS, *BSD or Windows
  • Built for teams - Built from our experience working in distributed development teams
  • Full autonomy - No network connectivity required, unless you want it

Tout est dit.

Et pour la manière dont ils procèdent : ils utilisent Git et Gpg.
C'est une très bonne idée. En fait, non, ... c'est ce qu'il fallait faire. C'est tout. Bravo !

Un très bon outil.
Pour des personnes qui s'y connaissent en informatique.
Et surtout : c'est pour gérer avec une équipe de personne qui accède aux infos.
Bref, pour un particulier, c'est probablement un peu lourd.

À préciser : je ne l'ai pas utilisé.

Pour l'utilisation avec une clé YubiKey, en plus, voir ce post sur Mastodon, de Solène.
À propos d'un manager de mots de passe, qui demande une authentification pour chaque secret présenté, et non pas pour ouvrir toute la base de données des secrets en même temps.
Voir la réponse de "Michael", avec utilisation de la clé usb YubiKey.
https://bsd.network/@solene/112146408257080734

Conclusion

Bref, utiliser ces coffres forts super cool,....

Pour la réalisation.... si besoin, demandez moi,....


Mis-sur-site : 24/03/2024 / Mis-à-jour : 13/05/2024


Creative Commons License  Cette page du site www.Cool-Raoul.com vous est proposée par cool-raoul.com sous la licence Creative Commons Attribution-ShareAlike 4.0 International License.