crypttab
This commit is contained in:
parent
ca52085367
commit
b84b849318
18
HowtoLUKS.md
18
HowtoLUKS.md
|
@ -136,6 +136,8 @@ Pour Restaurer l'entête :
|
|||
|
||||
## FAQ
|
||||
|
||||
### Command failed: Failed to setup dm-crypt key mapping
|
||||
|
||||
Si vous obtenez un message de ce type :
|
||||
|
||||
~~~
|
||||
|
@ -149,19 +151,19 @@ Cela signifie probablement que le module noyau *Device Mapper* n'est pas chargé
|
|||
# modprobe dm-mod
|
||||
~~~
|
||||
|
||||
## Notes sur les algorithmes de chiffrement
|
||||
### Notes sur les algorithmes de chiffrement
|
||||
|
||||
Pour utiliser un algorithme de chiffrement spécifique, il faut le préciser au moment de la création de la partition :
|
||||
|
||||
~~~
|
||||
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/md7
|
||||
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/hda7
|
||||
~~~
|
||||
|
||||
Le chiffrement **aes-cbc-essiv** est le chiffrement par défaut de _cryptsetup_ pour les noyaux supérieurs au 2.6.10 car il corrige une vulnérabilité potentielle du chiffrement _aes-cbc-plain_. Une autre méthode de chiffrement utilisée avec l'algorithme AES (Rijndael) est le mode XTS, qui est réputé plus résistant aux attaques par watermarking, mais nécessite un module spécifique (judicieusement nommé _xts_) et une clef d'initialisation du double de la taille de la clef finale (voir <http://en.wikipedia.org/wiki/Disk_encryption_theory#XEX-based_tweaked-codebook_mode_with_ciphertext_stealing_.28XTS.29)>
|
||||
|
||||
Les autres algorithmes dignes d’intérêt sont _twofish_ et _serpent_, deux compétiteurs de l'AES face à Rijndael.
|
||||
|
||||
## Benchmark
|
||||
### Benchmark
|
||||
|
||||
On peut vérifier la capacité du processeur avec les différents algorithmes en utilisant `cryptsetup benchmark`. Exemple de sortie
|
||||
|
||||
|
@ -189,3 +191,13 @@ PBKDF2-whirlpool 214169 iterations per second
|
|||
~~~
|
||||
|
||||
Cela permet aussi de choisir le chiffrement le plus performant, dans cet exemple *aes-xts* avec une clé de 256 bits est le plus performant.
|
||||
|
||||
### /etc/crypttab
|
||||
|
||||
Grâce au fichier `/etc/crypttab` on peut déchiffrer des partitions au démarrage. Attention, il faudra alors être présent physiquement devant la machine donc le cas d'usage est surtout un ordinateur portable :
|
||||
|
||||
~~~
|
||||
hda5_crypt UUID=b1fef975-514f-4f33-839c-8b0d4dfeaabe none luks,swap
|
||||
hda7_crypt UUID=cd81744f-5254-5ff0-b649-3d0143827924 none luks
|
||||
~~~
|
||||
~~~
|
Loading…
Reference in a new issue