Chiffrement de disque facile avec Debian

Je viens tout juste de me rendre compte à quel point il est facile aujourd’hui de chiffrer un disque avec Debian. Voici la, courte, description de la manipulation.

Soit un disque contenant une seule partition, /dev/sda1. On commence par installer ce qu’il faut :
% aptitude install cryptsetup hashalot
On chiffre ensuite le périphérique avec cryptsetup en LUKS. Choisissez une phrase de passe longue et complexe :
% cryptsetup –verbose –verify-passphrase luksFormat /dev/sda1
Mappez le périphérique pour obtenir un /dev/mapper/cryptodisk utilisable :
% cryptsetup luksOpen /dev/sda1 cryptodisk
% ls /dev/mapper/cryptodisk
Créez le système de fichiers :
% mkfs.ext3 -j /dev/mapper/cryptodisk
Ajoutez un point de montage et montez le système de fichiers. Tout marche. Démontez :
% mkdir /mnt/cryptodisk
% mount /dev/mapper/cryptodisk /mnt/cryptodisk
% umount /mnt/cryptodisk
Ajoutez le périphérique au fichier crypttab pour automatiser le montage. Ici, on ne supporte qu’un seul essai et un temps limite pour la saisie de la phrase de passe de 10 secondes. Ainsi, on ne bloque pas le démarrage du système si personne n’est présent pour saisir la phrase (reboot, coupure, etc) :
% cat /etc/crypttab
cryptodisk /dev/sda1 none luks,tries=1,timeout=10
Redémarrez le service et entrez la phrase :
% /etc/init.d/cryptdisks restart
Modifiez votre fstab pour pouvoir monter le système de fichiers facilement :
% cat /etc/fstab
/dev/mapper/cryptodisk /mnt/cryptodisk auto user,noauto 0 0
Montez le système de fichiers et rendez-le utilisable pour l’utilisateur lambda :
% mount /mnt/cryptodisk
% sudo chown -R user.user /mnt/cryptodisk
Et voilà, c’est tout.

Petite astuce au passage : l’entrée dans /dev pour votre périphérique peut être changeante en fonction de la présence d’autres périphériques. Pour pouvoir facilement vous y retrouvez, utilisez simplement l’entrée correspondante dans /dev/disk/by-id. Ceci s’avère d’autant plus pratique avec les disques USB.

6 commentaires sur “Chiffrement de disque facile avec Debian

  1. Salut,

    Merci pour la manip, ça complète bien le numéro de GLMF de ce mois ci.

    Est ce que tu sais s'il est possible de crypter une partition sans avoir à la formater ? Je pense que non, mais bon, on ne sait jamais ;-)

    Pierre

  2. Coucou,

    une petite astuce conviviale pour chiffrer non pas une partition mais un répertoire: utiliser le paquet enfs

    encfs – encrypted virtual filesystem

    Meme système: cela 'mount' un répertoire chiffré sur un répertoire où les fichiers apparaîtront déchiffrés, c'est léger et très simple à mettre en oeuvre.

    — Ben

    — Ben

  3. Chiffrer sans formater ??
    Chiffrer un système de fichiers qui contient déjà des données… hmmmm… je vois pas sans copier/déplacer les trucs

  4. aespipe doit permettre de faire ça, moyennant de se contenter d'un mode
    compatible pour dm-crypt (ex: aes-plain).

    En fait google me trouve cette page

    http://packages.debian.org/unstable/utils/aespipe

    où on peut lire "aespipe can be used for non-destructive
    in-place encryption of existing disk partitions for use
    with the loop-AES encrypted loopback kernel module."

    Reste que aes-plain est critiqué pour son "IV"
    trop predictible (cf. le site de Christophe Saout)

    Dans le droit file du papier sur le chiffrement de disque, à quand un
    papier sur les différents algo/modes de cryptage, IV, et l'utilisation
    d'aespipe ou equivalents ? Google renvoi des exemples de
    chiffrement de cdr au vol avec aespipe …

  5. Idem, je l'ai decouvert aussi dans GLMF et l'ai testé sous Debian pour un répertoire de données.

    Par contre, je ne comprend pas pourquoi, il y a 2 scripts de démarrage dans /etc/init.d.

    cryptdisks
    cryptdisks-early

Les commentaires sont fermés.