26mai 2008

Chiffrement d'un disque amovible (dm-crypt,luks)

Ayant besoin de sécurisé quelques données sur support amovible, aujourd'hui on s'attaque à la mise en place de dm-crypt sur une simple carte SD.

Nous utiliserons dans le cas présent la norme LUKS (Linux Unified Key Setup) :

Le projet LUKS, développé par Clemens Fruhwirth de l’université de Vienne, vise à standardiser le chiffrement de systèmes de fichiers par la définition et l’implémentation d’un format standard.

En fournissant une norme sur l'encryption disque, il ne se contente pas de faciliter la compatibilité entre les distributions, mais aussi fournir une gestion sûre des multiples mots de passe utilisateur. Caractéristique intéressante, les partitions LUKS peuvent être accédées également sous Windows grâce à l’outil gratuit FreeOTFE.

Prérequis :

     1. Kernel :
Device Drivers --> RAID and LVM Support --> 
[*] Multiple devices driver support (RAID and LVM)           
<*> Device mapper support
<*> Crypt target support
 Cryptographic Options --> 
 <*> AES cipher algorithms (x86_64)
 <*>   SHA256 digest algorithm
 <*>   SHA384 and SHA512 digest algorithms
     2. Outil :
sys-fs/cryptsetup

Mise en place :

Faisons de cette partition un volume chiffré LUKS :

cryptsetup luksFormat /dev/sdb1

On active le volume chiffré :

cryptsetup luksOpen /dev/sdb1 ext_keys

On formate le volume (classique) :

mke2fs -j -L mycrypt /dev/mapper/ext_keys

On monte le volume (classique également) :

mount /dev/mapper/ext_keys /mnt/mycrypt

On désactive le volume chiffré :

umount /mnt/mycrypt/
 cryptsetup luksClose ext_keys

Nous voici à présent avec un volume chiffré :)

D'après mes premiers tests, j'envisage sous peu de migrer tout le portable vers ce type de chiffrage et d'utiliser la carte SD afin de stocker la clé de déchiffrement afin de me permettre en cas d'absence de la carte de rendre le portable inutilisable :)

Lien utile :

Luks Official Web Site