evolix/wiki
22
0
Fork 0
Code Releases Activity

crypttab

Browse source
This commit is contained in:
gcolpart 2017-06-23 15:14:55 +02:00
parent ca52085367
commit b84b849318
1 changed files with 16 additions and 4 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

20
HowtoLUKS.md
View file

@ -136,6 +136,8 @@ Pour Restaurer l'entête :
## FAQ
### Command failed: Failed to setup dm-crypt key mapping
Si vous obtenez un message de ce type :
~~~
@ -149,19 +151,19 @@ Cela signifie probablement que le module noyau *Device Mapper* n'est pas chargé
# modprobe dm-mod
~~~
## Notes sur les algorithmes de chiffrement
### Notes sur les algorithmes de chiffrement
Pour utiliser un algorithme de chiffrement spécifique, il faut le préciser au moment de la création de la partition :
~~~
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/md7
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/hda7
~~~
Le chiffrement **aes-cbc-essiv** est le chiffrement par défaut de _cryptsetup_ pour les noyaux supérieurs au 2.6.10 car il corrige une vulnérabilité potentielle du chiffrement _aes-cbc-plain_. Une autre méthode de chiffrement utilisée avec l'algorithme AES (Rijndael) est le mode XTS, qui est réputé plus résistant aux attaques par watermarking, mais nécessite un module spécifique (judicieusement nommé _xts_) et une clef d'initialisation du double de la taille de la clef finale (voir <http://en.wikipedia.org/wiki/Disk_encryption_theory#XEX-based_tweaked-codebook_mode_with_ciphertext_stealing_.28XTS.29)>
Les autres algorithmes dignes dintérêt sont _twofish_ et _serpent_, deux compétiteurs de l'AES face à Rijndael.
## Benchmark
### Benchmark
On peut vérifier la capacité du processeur avec les différents algorithmes en utilisant `cryptsetup benchmark`. Exemple de sortie
@ -188,4 +190,14 @@ PBKDF2-whirlpool 214169 iterations per second
twofish-xts 512b 241.4 MiB/s 228.3 MiB/s
~~~
Cela permet aussi de choisir le chiffrement le plus performant, dans cet exemple *aes-xts* avec une clé de 256 bits est le plus performant.
Cela permet aussi de choisir le chiffrement le plus performant, dans cet exemple *aes-xts* avec une clé de 256 bits est le plus performant.
### /etc/crypttab
Grâce au fichier `/etc/crypttab` on peut déchiffrer des partitions au démarrage. Attention, il faudra alors être présent physiquement devant la machine donc le cas d'usage est surtout un ordinateur portable :
~~~
hda5_crypt UUID=b1fef975-514f-4f33-839c-8b0d4dfeaabe none luks,swap
hda7_crypt UUID=cd81744f-5254-5ff0-b649-3d0143827924 none luks
~~~
~~~