Une partition chiffrée, rien de plus simple !
De nos jours, le chiffrement de son disque dur est devenu le B.A.B.A de la sécurité.
D’une part, par sa facilité d’utilisation. La plupart des distributions le propose et le mettent en place de manière quasi transparente pour l’utilisateur.
D’autre part, la « techno » est peu coûteuse en terme de ressources monopolisées. L’opération de chiffrement à la volée n’impacte pas ou que très peu les performances des pc actuels.
Seul bémol , on rajoute encore une couche pour l’utilisateur et ce dernier doit saisir une « passphrase » souvent d’une vingtaine de caractères.
Si on s’est pas pris les doigts dans le clavier, reste encore le login user à taper !
Et on peut enfin voir se dessiner notre bureau Unity, Kde ou Gnome .
Alors si l’on estime que l’accès physique à son pc est protégé, on peut envisager une solution d’automatisation du montage de la partition chiffrée.
Si votre disque est volé , les données resteront inintelligibles pour celui qui ne possède pas la clé !
Ainsi finie la saisie systématique de sa passphrase à 23 caractères « alphanumspéciaux »
Le disque n’en demeure pas moins chiffré.
Pour cela, il existe plusieurs méthodes :
- authentification utilisateur et synchronisation du mot de passe gérée par PAM .
- création d’une clé sur un support amovible ( clé usb ou sd card).
Je vais retenir la plus simple des deux à mon sens , à savoir la méthode par clé sur SD card. On part du principe que vous possédez déjà une partition chiffrée. Pour ma part c’est lors de l’installation de ma distrib linux que l’installeur Ubuntu s’est chargé de mettre en place le chiffrement de mes partitions.
Localiser la partition chiffrée
cat /etc/crypttab
on retrouve des informations du type:
sda5_crypt uid=
bklid
Générer et copier la clé
Le fichier keyfile sera appelé root.key
head -c 2880 /dev/urandom | uuencode -m – | head -n 65 |tail -n 64 > root.key
Peut être qu’au préalable, il faudra installer le package sharutils
apt-get install sharutils
wc -l root.key
head -n 3 root.key
Ajouter le fichier keyfile au slot de la partition chiffrée:
cryptsetup luksAddKey /dev/sda5 root.key
Entrer une passphrase , plus de 20 caractères si possible.
Formater la Sd card en vfat , fat16 ou fat32
On pourra s’aider des outils gparted ou fdisk
Copier le.fixhier keyfile sur la carte SD montée au préalable.
Cp root.key /media/87366/
Sauvegarder le noyau
…avant de mettre mains dans le cambouis
cd /boot/
ll init*
Cp initLePlusRecent initLePlusRecent.save
Editer le menu du grub pour que ds la liste apparaisse le noyau sain sauvegardé précédemment.
Cette partie n’a pas fonctionné pour moi car je n’ai pas de menu.lst ds boot/grub.
c’est sans doute dû au fait que je dispose d’une version de Grub plus récente.
Donc finalement,j’y suis allé sans filets 
On reboot le pc avec la carte SD placée dans son slot. Et du coup, on devrait voir un message du type:
« sda5_crypt sucessfull ».
Pour compléter ce tuto sommaire, ci-dessous voici le lien d’un blogger Tchèque qui explique toute la procédure en anglais pour créer et utiliser une partition chiffrée sans saisie du mot de passe.
C’est très complet et surtout très intéressant car la doc sur le net n’est pas forcément exhaustive à ce sujet.
Limites de ce système
Attention à bien penser à la sauvegarde de sa clé (root.key). Un backup de ce fichier en lieu sûr est plus que conseillé. La durée de vie de la carte SD n’étant pas éternelle.
De plus, gardez bien à l’esprit que le chiffrement logiciel n’est pas la solution 100% fiable. Des attaques sont possibles notamment au niveau dump mémoire pour retrouver la clé.
Le chiffrement Hardware est d’un niveau supérieur mais cela nécessiterait un tout autre billet .
Leave a Reply