Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
cryptoloop [Le 29/10/2010, 15:22] – mount_fstab YannUbuntucryptoloop [Le 05/05/2011, 17:15] (Version actuelle) – Le cryptage de partition étant proposé en standard dès l'installation d'Ubuntu, cette méthode étant très très ancienne, suppression de la page Dapper n'étant plus supporté officiellement frombenny
Ligne 1: Ligne 1:
-{{tag>hoary breezy dapper edgy sécurité}} 
  
----- 
- 
- 
-====== Partition/Zone disque chiffrée avec cryptoloop ====== 
-Comme tout le monde, vous avez des informations personnelles et/ou professionnelles que vous souhaiteriez ne pas laisser à l'indiscrétion du premier venu ? Vous voudriez un moyen sûr de mettre des données à l'abri, même d'un vol de portable ou de disque dur ?\\  
-Cryptoloop vous offre une solution efficace et simple à mettre en place.\\  
-Mini How-To pour un coffre-fort en 3 coups de cuillère à pot.\\  
- 
-===== Méthode ===== 
- 
-Pour créer notre coffre-fort virtuel, nous allons tout d'abord créer un fichier de la taille que l'on souhaite attribuer à notre coffre (dans ce tuto nous prendrons 100 Mo), puis monter le système de fichier, et ce en utilisant l'algorithme de chiffrement de votre choix (ici twofish).\\  
- 
- 
-===== Créer le fichier ===== 
- 
-On utilise l'utilitaire dd pour créer un fichier de 100 Mo (100 blocs de 1 Mo) que l'on remplit de 0 (input file = /dev/zero), par exemple le fichier "private" dans votre répertoire personnel : 
-<code bash>$ dd if=/dev/zero bs=1M count=100 of=~/private</code> 
-**NB : **Pour rendre une éventuelle tentative de décryptage plus difficile, on peut utiliser /dev/random comme entrée :  
-<code bash>$ dd if=/dev/random bs=1M count=100 of=~/private</code> 
-Cependant, le temps de création du fichier passe alors de quelques secondes à plusieur minutes, voir plusieurs dizaines de minutes. Mais on est jamais trop prudent ;) 
- 
- 
-===== Choisir l'algorithme de chiffrement ===== 
- 
-Lançons le module cryptoloop : 
-<code bash>$ sudo modprobe cryptoloop</code> 
-Vérifions : 
-<code bash>$ lsmod | grep cryptoloop</code> 
-Vous devriez obtenir 2 lignes ressemblant à ceci (les nombres ne sont pas nécessairement identiques) : 
-<code>cryptoloop              3584  0  
-loop                   14728  1 cryptoloop</code> 
-Listez alors les algorithmes de chiffrement disponibles avec la commande : 
-<code bash>$ sudo modinfo /lib/modules/`uname -r`/kernel/crypto/* | grep description</code> 
-A moins d'avoir un noyau personnalisé selon vos envies, vous devriez avoir un truc du genre : 
-<code>    description:    ARC4 Cipher Algorithm 
-    description:    Blowfish Cipher Algorithm 
-    description:    Cast5 Cipher Algorithm 
-    description:    Cast6 Cipher Algorithm 
-    description:    CRC32c (Castagnoli) calculations wrapper for lib/crc32c 
-    description:    Null Cryptographic Algorithms 
-    description:    Deflate Compression Algorithm for IPCOMP 
-    description:    DES & Triple DES EDE Cipher Algorithms 
-    description:    Khazad Cryptographic Algorithm 
-    description:    MD4 Message Digest Algorithm 
-    description:    Michael MIC 
-    description:    Serpent Cipher Algorithm 
-    description:    SHA1 Secure Hash Algorithm 
-    description:    SHA256 Secure Hash Algorithm 
-    description:    SHA-512 and SHA-384 Secure Hash Algorithms 
-    description:    Quick & dirty crypto testing module 
-    description:    Twofish Cipher Algorithm</code> 
-Si vous avez installé l'algorythme AES avec le paquet loop-aes-utils : 
-<code bash>$ sudo modinfo /lib/modules/`uname -r`/kernel/arch/i386/crypto/* | grep description</code> 
-Vous obtiendrez quelque chose du genre : 
-<code>description:    Rijndael (AES) Cipher Algorithm, i586 asm optimized</code> 
- 
-Choisissez un algorithme de chiffrement (pas de hashage ou de digest) comme blowfish ou twofish. Dans ce tuto, j'ai choisi twofish. Notez le nom sur un bout de papier ou avec un copié-collé si vous n'êtes pas sûr de pouvoir l'orthographier correctement. 
- 
- 
-===== Créer le système de fichier chiffré ===== 
- 
-On monte alors le fichier avec losetup, en précisant l'algorithme de chiffrement choisi avec l'option -e : 
-<code bash>$ sudo losetup -e twofish /dev/loop0  ~/private</code> 
-**__Attention extrême__** : (ça fait peur hein ?) 
-Le mot de passe qui vous est demandé **n'est pas le mot de passe sudo** ! En effet, vous l'aviez saisi juste au-dessus, il a alors été mémorisé pour quelques minutes. Ce mot de passe est celui de la partition : il vous sera demandé à chaque fois que vous voudrez monter cette partition. Choisissez donc un bon mot de passe, différent de votre mot de passe habituel. 
- 
-Si vous avez un message d'erreur vous indiquant que /dev/loop0 est occupé, trouver un emplacement libre avec la commande : <code bash>$ sudo losetup -f</code> 
- 
-Il faut encore créer le système de fichier sur la nouvelle partition, par exemple ext3 : 
-<code bash>$ sudo mkfs.ext3 /dev/loop0</code> 
-et le point de montage : 
-<code bash>$ sudo mkdir /mnt/private</code> 
-et voilà, votre coffre-fort est créé ! 
- 
-Vous pouvez libérer /dev/loop0 : 
-<code bash>$ sudo losetup -d /dev/loop0</code> 
- 
- 
- 
-===== Montage automatique ===== 
- 
-Afin de pouvoir (dé)monter le système de fichier chiffré, ajoutez cette ligne dans /etc/fstab : 
-   /home/votre_login/private /mnt/private ext3 noauto,encryption=twofish,user,exec,uid=votre_login 0 0 
-en remplaçant "votre_login" par votre nom d'utilisateur (Si vous rencontrez un problème lors du montage, essayer d'enlever l'option ",uid=votre_login") 
- 
-Vous pouvez maintenant monter votre partition (uniquement lorsque vous en avez besoin) avec : 
-<code bash>$ mount /mnt/private</code> 
-en entrant le mot de passe, et la démonter lorsque vous avez fini de travailler dessus : 
-<code bash>$ umount /mnt/private</code> 
- 
-**NB : ** 
-uid=votre_login permet à la partition montée de vous appartenir complètement, ainsi, vous êtes le seul à pouvoir accéder à vos documents, et vous pouvez travailler dedans sans aucun souci. 
-Pour savoir comment gérer les droits d'accès plus finement, vous pouvez vous référer à [[mount_fstab]], le principe est donc le même que pour les partitions physiques du disque dur. 
- 
-===== Charger le module cryptoloop au démarrage ===== 
- 
-Pour ne pas avoir à charger "à la main" (ie via modprobe) le module cryptoloop, il suffit de l'ajouter au fichier /etc/modules : 
-<code>$ sudo -s 
-# echo "cryptoloop" >> /etc/modules 
-# exit</code> 
-Ainsi, le module sera chargé à chaque démarrage (sans lui vous obtenez une erreur lorsque vous essayez de monter la partition chiffrée). 
- 
- 
- 
- 
-===== Travailler dans la partition et déplacer des fichiers dans la partition chiffrée ===== 
- 
-Travailler dans la partition cryptée est très simple. 
-Ouvrez nautilus le navigateur de fichier en allant dans le poste de travail, puis allez dans le système de fichier, dans le dossier mnt, et enfin entrez dans le dossier private. 
-Ce dossier est votre dossier de travail entièrement crypté et accessible seulement par vous ! 
- 
-Pour déplacer des données, utilisez nautilus normalement, en faisant un copier-coller, un cliquer-déplacer... 
-C'est un dossier parfaitement normal. 
- 
-D'ailleurs, il est préférable de travailler sur vos documents confidentiels directement dedans, car il ne sert à rien de protéger vos fichiers dans une partition chiffrée s'il en reste des traces en clair sur une de vos partitions. 
- 
-Si vous déplacez des données dedans, au lieu de déplacer des données (ce qui reviendrait à les copier puis les effacer de façon "conventionelle"), copiez-les et effacez-les avec une méthode plus sûre (voir le mini how-to [[:shred|Détruire efficacement un fichier]]). 
- 
- 
- 
-===== Et les autres ? ===== 
- 
-Cryptoloop n'est pas l'unique solution, ni la plus efficace. Je l'ai décrite ici car c'est, à mon avis la plus simple à mettre en place pour protéger une quantité variable de données. 
-Si vous souhaitez aller plus loin, et notamment utiliser le successeur de cryptoloop (dm-crypt), je vous recommande la lecture de l'excellent How-To http://www.ubuntulinux.org/wiki/EncryptedFilesystemHowto (en anglais). 
- 
-Voici une autre solution : 
- 
-[[http://www.pariscyber.com/security/freeotfe/index.php]] 
- 
----- 
- 
-//Contributeur : [[utilisateurs:eks]] // 
- 
-////Basé sur http://www.ubuntulinux.org/wiki/EncryptedFilesystemHowto (dernière partie)// 
cryptoloop.1288358538.txt.gz · Dernière modification : de YannUbuntu
CC Attribution-Noncommercial 4.0 International Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial 4.0 International