Monter une partition chiffrée sans saisir de mot de passe ?

partition chiffrée
partition chiffrée
Dernière mise a jour 13 Août 2016 a 09:56 pm

Une partition chiffrée, rien de plus simple !
De nos jours, le chiffrement de son disque dur est devenu le B.A.B.A de la sécurité.
D’une part, par sa facilité d’utilisation. La plupart des distributions le propose et le mettent en place de manière quasi transparente pour l’utilisateur.
D’autre part, la « techno » est peu coûteuse en terme de ressources monopolisées. L’opération de chiffrement à la volée n’impacte pas ou que très peu les performances des pc actuels.
Seul bémol , on rajoute encore une couche pour l’utilisateur et ce dernier doit saisir une « passphrase » souvent d’une vingtaine de caractères.
Si on s’est pas pris les doigts dans le clavier, reste encore le login user à taper !
Et on peut enfin voir se dessiner notre bureau Unity, Kde ou Gnome .

Alors si l’on estime que l’accès physique à son pc est protégé, on peut envisager une solution d’automatisation du montage de la partition chiffrée.
Si votre disque est volé , les données resteront inintelligibles pour celui qui ne possède pas la clé !

Ainsi finie la saisie systématique de sa passphrase à 23 caractères « alphanumspéciaux »
Le disque n’en demeure pas moins chiffré.

Pour cela, il existe plusieurs méthodes :

  • authentification utilisateur et synchronisation du mot de passe  gérée par PAM .
  • création d’une clé sur un support amovible ( clé usb ou sd card).

Je vais retenir la plus simple des deux à mon sens , à savoir la méthode par clé sur SD card. On part du principe que vous possédez déjà une partition chiffrée. Pour ma part c’est lors de l’installation de ma distrib linux que l’installeur Ubuntu s’est chargé de mettre en place le chiffrement de mes partitions.

Localiser la partition chiffrée

cat /etc/crypttab

on retrouve des informations du type:

sda5_crypt uid=

bklid

Générer et copier la clé

Le fichier keyfile sera appelé root.key

head -c 2880 /dev/urandom | uuencode -m – | head -n 65 |tail -n 64 > root.key

Peut être qu’au préalable, il faudra installer le package sharutils

apt-get install sharutils

wc -l root.key

head -n 3 root.key

Ajouter le fichier keyfile au slot de la partition chiffrée:

cryptsetup luksAddKey /dev/sda5 root.key

Entrer une passphrase , plus de 20 caractères si possible.

Formater la Sd card en vfat , fat16 ou fat32

On pourra s’aider des outils gparted ou fdisk

Copier le.fixhier keyfile sur la carte SD montée au préalable.

Cp root.key /media/87366/

Sauvegarder le noyau

…avant de mettre mains dans le cambouis

cd /boot/

ll init*

Cp initLePlusRecent initLePlusRecent.save

Editer le menu du grub pour que ds la liste apparaisse le noyau sain sauvegardé précédemment.

Cette partie n’a pas fonctionné pour moi car je n’ai pas de menu.lst ds boot/grub.
c’est sans doute dû au fait que je dispose d’une version de Grub plus récente.
Donc finalement,j’y suis allé sans filets :mrgreen:

On reboot le pc avec la carte SD placée dans son slot. Et du coup, on devrait voir un message du type:

« sda5_crypt sucessfull ».

Pour compléter ce tuto sommaire, ci-dessous voici le lien d’un blogger Tchèque qui explique toute la procédure en anglais pour créer et utiliser une partition chiffrée sans saisie du mot de passe.

C’est très complet et surtout très intéressant car la doc sur le net n’est pas forcément exhaustive à ce sujet.

Source tuto:wejn.org

Limites de ce système

Attention à bien penser à la sauvegarde de sa clé (root.key). Un backup de ce fichier en lieu sûr est plus que conseillé. La durée de vie de la carte SD n’étant pas éternelle.

De plus, gardez bien à l’esprit que le chiffrement logiciel n’est pas la solution 100% fiable. Des attaques sont possibles notamment au niveau dump mémoire pour retrouver la clé.

Le chiffrement Hardware est d’un niveau supérieur mais cela nécessiterait un tout autre billet .

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*