3.6 KiB
Cette page a été importée automatiquement de notre ancien wiki mais n'a pas encore été révisée.
Howto Chiffrement des données/partitions
Inspiré de http://www.debian-administration.org/articles/469
Avec LUKS
# aptitude install cryptsetup
Creation
En renseignant un mot de passe manuellement :
# cryptsetup --verbose --verify-passphrase luksFormat /dev/md7
WARNING!
========
This will overwrite data on /dev/md7 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup luksOpen /dev/md7 crypt_md7
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
# mkfs.ext3 /dev/mapper/crypt_md7
En utilisant un fichier comme clef de chiffrement :
# dd if=/dev/random of=/root/.keyfile bs=1 count=256
# cryptsetup --verbose --key-size=256 luksFormat /dev/md7 /root/.keyfile
Utilisation
Voir si une partition est de type LUKS :
# cryptsetup isLuks /dev/hda7
# cryptsetup luksDump /dev/hda7
Ouvrir une partition chiffrée :
# cryptsetup luksOpen /dev/mapper/vol1-crypto_test crypto_test
# cryptsetup luksOpen /dev/hda7 hda7_crypt
Ouvrir une partition chiffrée avec un fichier de clef :
# cryptsetup luksOpen --key-file /root/.keyfile /dev/md7 supersecretdata
Info sur la partition chiffrée :
# cryptsetup status crypto_test
Fermer une partition chiffrée :
# cryptsetup luksClose crypto_test
Gestion des mots de passe
Ajouter un mot de passe :
# cryptsetup luksAddKey /dev/hda7
Enter any LUKS passphrase:
key slot 1 unlocked.
Enter new passphrase for key slot:
Verify passphrase:
Command successful.
Rem : Sur des vieilles versions, il fallait avoir la partition non dechiffrée : http://bugs.debian.org/460409
Pour supprimer un mot de passe, on regarde le n° du mot de passe avec :
# cryptsetup luksDump /dev/hda7
Puis on le supprime avec la commande :
# cryptsetup luksKillSlot /dev/hda7 <n°>
Si l'entête du conteneur LUKS est corrompu, ceci rend la partition inutilisable
Procédure pour Sauvegarde de l'entête : Le fichier contenant la sauvegarde de l’entête est nommé ici backup-entete
# cryptsetup luksHeaderBackup --header-backup-file backup-entete /dev/hda7
Pour Restaurer l'entête :
# cryptsetup luksHeaderRestore --header-backup-file backup-entete /dev/hda7
FAQ
Si vous obtnez un message de ce type :
Command failed: Failed to setup dm-crypt key mapping.
Check kernel for support for the aes-cbc-essiv:sha256 cipher spec and verify that /dev/md1 contains at least 133 sectors
La solution est :
# modprobe dm-mod
Notes sur les algorithmes de chiffrement
Pour utiliser un algorithme de chiffrement spécifique, il faut le préciser au moment de la création de la partition :
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/md7
Le chiffrement aes-cbc-essiv est le chiffrement par défaut de cryptsetup pour les noyaux supérieurs au 2.6.10, car il corrige une vulnérabilité potentielle du chiffrement aes-cbc-plain. Une autre méthode de chiffrement utilisée avec l'algorithme AES (Rijndael) est le mode XTS, qui est réputé plus résistants aux attaques par watermarking, mais nécessite un module spécifique (judicieusement nommé xts.ko) et une clef d'initialisation du double de la taille de la clef finale (voir http://en.wikipedia.org/wiki/Disk_encryption_theory#XEX-based_tweaked-codebook_mode_with_ciphertext_stealing_.28XTS.29)
Les autres algorithmes dignes d’intérêt sont twofish et serpent, deux compétiteurs de l'AES face à Rijndael.