{"id":519,"date":"2011-12-05T21:36:27","date_gmt":"2011-12-05T20:36:27","guid":{"rendered":"https:\/\/hoper.dnsalias.net\/atdc\/?p=519"},"modified":"2017-05-03T13:41:16","modified_gmt":"2017-05-03T11:41:16","slug":"chiffrement-pratique","status":"publish","type":"post","link":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/2011\/12\/05\/chiffrement-pratique\/","title":{"rendered":"Chiffrement – Pratique"},"content":{"rendered":"
\n

Important<\/h4>\n

Avant de lire ceci, il est tr\u00e8s vivement recommand\u00e9 de lire la partie th\u00e9orique<\/a>. J’y explique clairement (enfin, je crois…) la diff\u00e9rence entre les deux exemples donn\u00e9es plus bas, que ce soit en ce qui concerne l’utilisation de luks, ou la diff\u00e9rence entre les cyphers.<\/p>\n

 <\/p>\n

Solution 1 : Sans utiliser le format luks<\/h3>\n

Nous allons donc chiffrer un \u00ab\u00a0device\u00a0\u00bb, que ce soit une partition de disque dur, un volume logique LVM, un raid ou n’importe quoi d’autre. Je prendrai pour l’exemple un device appel\u00e9 \/dev\/xxx, \u00e0 vous d’adapter \u00e0 votre cas de figure. Les commandes suivantes sont \u00e0 passer en tant que root :<\/p>\n

cryptsetup -y --cipher=aes-xts-plain64 -s 512 create toto \/dev\/xxx\r\n<\/pre>\n
Cette commande vous demandera un mot de passe, mot de passe qui sera donc utilis\u00e9 pour le chiffrement. Voici la signification des diff\u00e9rentes options et param\u00e8tres :<\/p>\n
-y                       Le mot de passe est demand\u00e9 deux fois (v\u00e9rification)\r\naes-xts-plain64          Le cypher utilis\u00e9. Ici, c'est de l'AES\r\n-s 512                   Avec une clef (d\u00e9duite du mot de passe) longue de 512 bits \r\ntoto                     Le nom du volume une fois d\u00e9chiffr\u00e9. \r\n\/dev\/xxx                 Le device que l'on  veut chiffrer\r\n<\/pre>\n
Et voila, c’est finit. Vous avez maintenant un nouveau device : \/dev\/mapper\/toto. Tout ce que vous faites dessus sera chiffr\u00e9, puis envoy\u00e9 sur \/dev\/xxx<\/p>\n
Nous allons par exemple cr\u00e9er un syst\u00e8me de fichier, puis cr\u00e9er un fichier vide. NB : La cr\u00e9ation du syst\u00e8me de fichier d\u00e9truira \u00e9videment tout ce qui serait d\u00e9j\u00e0 pr\u00e9sent sur \/dev\/xxx…<\/p>\n
mkfs -t ext4 \/dev\/mapper\/toto\r\nmount \/dev\/mapper\/toto \/mnt\r\ntouch \/mnt\/fichier_vide\r\nls \/mnt\r\n<\/pre>\n
Mon fichier \u00ab\u00a0fichier_vide\u00a0\u00bb est bien pr\u00e9sent. Nous allons maintenant d\u00e9monter ce volume et rendre totalement inaccessible ce fichier, pour toute personne qui n’aurait pas connaissance du bon cypher, et de la bonne clef :<\/p>\n
umount \/mnt\r\ncryptsetup remove toto\r\n<\/pre>\n
Il reste \u00e0 v\u00e9rifier que l’on est bien capable de retrouver ses donn\u00e9es. On utilise exactement la m\u00eame commande cryptsetup pour re-cr\u00e9er le volume virtuel \u00ab\u00a0toto\u00a0\u00bb (le -y n’est plus vraiment indispensable) :<\/p>\n
cryptsetup --cipher=aes-xts-plain64 -s 512 create toto \/dev\/xxx\r\nmount \/dev\/mapper\/toto \/mnt\r\nls -l \/mnt\r\n<\/pre>\n
Bingo !<\/p>\n
Remarque :<\/strong><\/p>\n
Le cypher utilise le mode \u00ab\u00a0plain64\u00a0\u00bb. Vous trouverez peut etre ailleurs des tutos indiquant \u00ab\u00a0plain\u00a0\u00bb sans le 64 derri\u00e8re. Le plain64 est totalement compatible avec plain \u00ab\u00a0tout court\u00a0\u00bb, (compatibilit\u00e9 \u00ab\u00a0ascendante\u00a0\u00bb), vous pouvez donc indiquer plain64 pour d\u00e9chiffrer un volume chiffrer en \u00ab\u00a0plain\u00a0\u00bb. L’inconv\u00e9nient du mode plain et qu’il introduit une vuln\u00e9rabilit\u00e9 du chiffrement pour des volumes ayant une taille sup\u00e9rieure \u00e0 2 To. (Voir ici<\/a>). Globalement, utilisez toujours plain64 si votre syst\u00e8me est suffisamment r\u00e9cent pour cela.<\/p>\n
 <\/p>\n
Solution 2 :En utilisant luks (et serpent pour le cypher).<\/h3>\n
Complexions un tout petit peu les choses. D\u2019abord en utilisant un cypher plus s\u00e9curis\u00e9. V\u00e9rifiez si votre noyau sait faire du \u00ab\u00a0serpent\u00a0\u00bb avec une commande du type :<\/p>\n
grep serpent \/proc\/crypto\r\n<\/pre>\n
Si cette commande ne renvoi rien, c’est que cette fonctionnalit\u00e9 n’est pas activ\u00e9e par d\u00e9faut dans votre noyau. Chargez le module correspondant, et r\u00e9-essayez :<\/p>\n
modprobe serpent\r\ngrep serpent \/proc\/crypto\r\n<\/pre>\n
Ca fonctionne ? bien, on continu. Nous allons maintenant FORMATER le device en utilisant luksFormat. ATTENTION : Toutes les donn\u00e9es pr\u00e9sentes sur le device seront effac\u00e9es d\u00e8s que cette commande sera termin\u00e9e :<\/p>\n
cryptsetup --cipher=serpent-xts-plain64 -s 512 luksFormat \/dev\/xxx\r\n<\/pre>\n
Cette commande vous demandera de taper YES (en majuscule) pour valider, puis un mot de passe (n\u00e9c\u00e9ssaire pour administrer le volume). A part le cypher qui change (juste pour l’exemple hein, on aurait tr\u00e8s bien pu reprendre AES !), on observe que \u00ab\u00a0toto\u00a0\u00bb \u00e0 disparu. Pour le moment, nous n’avons fait que formater le device \/dev\/xxx. (Op\u00e9ration \u00e0 ne faire qu’une fois !) et nous ne sommes donc pas encore pr\u00eat \u00e0 l’utiliser. Vous pouvez voir que le formatage \u00e0 fonctionn\u00e9, et que le cypher est maintenant renseign\u00e9 directement \u00e0 l’int\u00e9rieur de \/dev\/xxx, en tapant :<\/p>\n
cryptsetup luksDump \/dev\/xxx\r\n<\/pre>\n
Vous pouvez voir en bas 8 \u00ab\u00a0slots\u00a0\u00bb affich\u00e9s. Le premier est utilis\u00e9 par le mot de passe que vous avez rentr\u00e9 pr\u00e9c\u00e9demment. Libre \u00e0 vous d’en indiquer d’autres (ou d’en effacer etc) en utilisant les commandes disponibles. Lancez simplement \u00ab\u00a0cryptsetup –help\u00a0\u00bb pour en avoir la liste, tout est simple et explicite, alors je ne vais pas m\u2019\u00e9tendre sur le sujet.<\/p>\n
Maintenant que nous avons cr\u00e9e notre volume luks, voyons comment \u00ab\u00a0l’ouvrir\u00a0\u00bb pour pouvoir l’utiliser (\u00e9quivalent de la commande cryptsetup create) :<\/p>\n
cryptsetup luksOpen \/dev\/xxx toto\r\n<\/pre>\n
Simple non ? Toutes les informations de chiffrement \u00e9tant d\u00e9j\u00e0 contenu dans \/dev\/xxx, il ne reste plus qu’a taper le mot de passe (en r\u00e9alit\u00e9 l’un des mots de passe, n’importe lequel, si vous en avez utilis\u00e9s plusieurs \u00ab\u00a0slots\u00a0\u00bb). A partir de la, vous vous en doutez, le mode de fonctionement est exactement le m\u00eame que dans le premier cas. Maintenant que nous avons notre volume \u00ab\u00a0d\u00e9chiffr\u00e9\u00a0\u00bb virtuel \u00ab\u00a0\/dev\/mapper\/toto\u00a0\u00bb, on peut le formater en ext4 (ou autre) etc. Voir plus haut.<\/p>\n
Afin \u00ab\u00a0d’oublier\u00a0\u00bb le mot de passe, (\u00e9quivalent du cryptsetup remove du dessus), il faudra utiliser la commande :<\/p>\n
cryptsetup luksClose \/dev\/xxx<\/pre>\n
 <\/p>\n
LVM, et redimensionnement de volumes chiffr\u00e9s<\/h3>\n
Je l’ai dit, cryptsetup peut \u00eatre utilis\u00e9 avec n’importe quoi. \/dev\/xxx peut donc parfaitement etre un volume logique du type \/dev\/groupe\/volume. Ca, je pense que tout le monde le comprend bien. Oui mais, l’int\u00e9ret de LVM est de pouvoir modifier \u00e0 chaud la taille des volumes. Que va t-il se passer pour cryptsetup si le device change de taille ? Et bien pas grand chose. Il faut simplement penser \u00e0 modifier la taille de device virtuel (toto) pour qu’il corresponde avec la nouvelle taille du volume r\u00e9el (\/dev\/xxx). Voila par exemple comment augmenter la taille d’un syst\u00e8me de fichier en ext4 qui se trouverai sur un volume logique chiffr\u00e9 \u00ab\u00a0toto\u00a0\u00bb, utilisant le device \u00ab\u00a0\/dev\/groupe\/volume\u00a0\u00bb :<\/p>\n
lvresize -L +50g \/dev\/groupe\/volume\r\ncryptsetup resize toto      \r\nresize2fs \/dev\/mapper\/toto\r\n<\/pre>\n
Liens<\/h3>\n