Parcourir la source

On utilise sda plutot que hda en titre d'exemple.

hda c'est les disques IDE, ultra rares de nos jours… Ça montre que la doc a
vécu ^^
master
Benoît S. il y a 3 ans
Parent
révision
7615ede968
1 fichiers modifiés avec 19 ajouts et 19 suppressions
  1. +19
    -19
      HowtoLUKS.md

+ 19
- 19
HowtoLUKS.md Voir le fichier

@@ -30,28 +30,28 @@ vermagic: 4.9.0-3-amd64 SMP mod_unload modversions
On peut créer un volume chiffré LUKS en renseignant une passphrase ainsi :

~~~
# cryptsetup --verbose --verify-passphrase luksFormat /dev/md7
# cryptsetup --verbose --verify-passphrase luksFormat /dev/sda7

WARNING!
========
This will overwrite data on /dev/md7 irrevocably.
This will overwrite data on /dev/sda7 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup luksOpen /dev/md7 crypt_md7
# cryptsetup luksOpen /dev/sda7 crypt_sda7
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
# mkfs.ext3 /dev/mapper/crypt_md7
# mkfs.ext3 /dev/mapper/crypt_sda7
~~~

On peut aussi utiliser un fichier comme clé de chiffrement :

~~~
# dd if=/dev/random of=/root/foo.key bs=1 count=256
# cryptsetup --verbose --key-size=256 luksFormat /dev/md7 foo.key
# cryptsetup --verbose --key-size=256 luksFormat /dev/sda7 foo.key
~~~

## Utilisation
@@ -59,21 +59,21 @@ On peut aussi utiliser un fichier comme clé de chiffrement :
Voir si une partition est de type LUKS :

~~~
# cryptsetup isLuks /dev/hda7
# cryptsetup luksDump /dev/hda7
# cryptsetup isLuks /dev/sda7
# cryptsetup luksDump /dev/sda7
~~~

Déchiffrer une partition LUKS :

~~~
# cryptsetup luksOpen /dev/mapper/vol1-crypto_test crypto_test
# cryptsetup luksOpen /dev/hda7 hda7_crypt
# cryptsetup luksOpen /dev/sda7 sda7_crypt
~~~

Si la partition LUKS est protégée par un fichier :

~~~
# cryptsetup luksOpen --key-file /root/.keyfile /dev/md7 supersecretdata
# cryptsetup luksOpen --key-file /root/.keyfile /dev/sda7 supersecretdata
~~~

Informations sur la partition chiffrée :
@@ -95,7 +95,7 @@ LUKS permet d'avoir plusieurs passphrases pour un même volume chiffré.
Pour ajouter une passphrase :

~~~
# cryptsetup luksAddKey /dev/hda7
# cryptsetup luksAddKey /dev/sda7
Enter any LUKS passphrase:
key slot 1 unlocked.
Enter new passphrase for key slot:
@@ -108,13 +108,13 @@ Command successful.
Pour supprimer une passphrase, on note son numéro avec :

~~~
# cryptsetup luksDump /dev/hda7
# cryptsetup luksDump /dev/sda7
~~~

Puis on la supprime avec la commande :

~~~
# cryptsetup luksKillSlot /dev/hda7 <n°>
# cryptsetup luksKillSlot /dev/sda7 <n°>
~~~

## Sauvegarde
@@ -124,13 +124,13 @@ Si l'entête du conteneur LUKS est corrompu, ceci rend la partition inutilisable
On peut sauvegarde l'entête d'un conteneur LUKS ainsi :

~~~
# cryptsetup luksHeaderBackup --header-backup-file backup.txt /dev/hda7
# cryptsetup luksHeaderBackup --header-backup-file backup.txt /dev/sda7
~~~

Pour Restaurer l'entête :

~~~
# cryptsetup luksHeaderRestore --header-backup-file backup.txt /dev/hda7
# cryptsetup luksHeaderRestore --header-backup-file backup.txt /dev/sda7
~~~


@@ -142,7 +142,7 @@ Si vous obtenez un message de ce type :

~~~
Command failed: Failed to setup dm-crypt key mapping.
Check kernel for support for the aes-cbc-essiv:sha256 cipher spec and verify that /dev/md1 contains at least 133 sectors
Check kernel for support for the aes-cbc-essiv:sha256 cipher spec and verify that /dev/sda1 contains at least 133 sectors
~~~

Cela signifie probablement que le module noyau *Device Mapper* n'est pas chargé :
@@ -156,7 +156,7 @@ Cela signifie probablement que le module noyau *Device Mapper* n'est pas chargé
Pour utiliser un algorithme de chiffrement spécifique, il faut le préciser au moment de la création de la partition :

~~~
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/hda7
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/sda7
~~~

Le chiffrement **aes-cbc-essiv** est le chiffrement par défaut de _cryptsetup_ pour les noyaux supérieurs au 2.6.10 car il corrige une vulnérabilité potentielle du chiffrement _aes-cbc-plain_. Une autre méthode de chiffrement utilisée avec l'algorithme AES (Rijndael) est le mode XTS, qui est réputé plus résistant aux attaques par watermarking, mais nécessite un module spécifique (judicieusement nommé _xts_) et une clef d'initialisation du double de la taille de la clef finale (voir <http://en.wikipedia.org/wiki/Disk_encryption_theory#XEX-based_tweaked-codebook_mode_with_ciphertext_stealing_.28XTS.29)>
@@ -197,7 +197,7 @@ Cela permet aussi de choisir le chiffrement le plus performant, dans cet exemple
Grâce au fichier `/etc/crypttab` on peut déchiffrer des partitions au démarrage. Attention, il faudra alors être présent physiquement devant la machine donc le cas d'usage est surtout un ordinateur portable :

~~~
hda5_crypt UUID=b1fef975-514f-4f33-839c-8b0d4dfeaabe none luks,swap
hda7_crypt UUID=cd81744f-5254-5ff0-b649-3d0143827924 none luks
sda5_crypt UUID=b1fef975-514f-4f33-839c-8b0d4dfeaabe none luks,swap
sda7_crypt UUID=cd81744f-5254-5ff0-b649-3d0143827924 none luks
~~~
~~~
~~~

Chargement…
Annuler
Enregistrer