Connexion

Forum

Retours d'expériences Retour d'expérience sur LUKS ? (ou tout autre outil de chiffrement de partition)

Antoniop Membre non connecté

Rang

Avatar

Inscrit le : 21/12/2011 à 23h51

Localisation : France

Messages: 201

Le 23/08/2019 à 18h06
Bonjour,
A la demande d'un client, j'envisage de chiffrer une partie du disque dur de mon portable pour protéger les documents "confidentiels".
J'ai bien compris qu'il ne fallait pas chiffrer la partition root.
Je pense donc à créer une partition chiffrée sur laquelle je vais copier mes fichiers "sensibles" (professionnels).
Est-ce que quelqu'un a mis en place LUKS ou autre pour chiffrer une partition ?
J'ai essayé Veracrypt, qui chiffre aussi bien une partition qu'il est capable de créer un conteneur chiffré. J'ai essayé le deuxième cas, ça marche très bien, mais luks parait plus adapté (ou plus standard) pour chiffrer une partition.
Un retour d'expérience ?
J'aimerai quelque chose le plus transparent possible : j'ouvre ma session et par défaut ma partition chiffrée est visible.

Merci !
   
Papoteur Membre non connecté

Rang

Avatar

Modérateur Équipe Mageia

Inscrit le : 03/10/2011 à 22h16

Localisation : Metz

Messages: 6425

Le 23/08/2019 à 18h58
Bonjour,
Antoniop :
j'ouvre ma session et par défaut ma partition chiffrée est visible.

Ben non, sinon c'est quelle n'est pas chiffrée ! :blub:
Ce n'est que la partition /boot qui ne doit pas être chiffrée.
J'ai chiffré mes partitions /, /home et une autre sur un disque externe qui reçoit mes sauvegardes. Au démarrage juste après le grub, j'ai un petite boîte de dialogue pour entrer la clé de déchiffrement. Ensuite, je suis en autologin. Donc la clé fonctionne comme un mot de passe. La même clé sert pour les deux partitions, elle ne m'est demandée qu'une fois. Je n'ai pas de swap, je considère qu'avec 8Go, je suis tranquille.
Aucun souci depuis que je l'utilise depuis deux ans. Avant, je n'avais que /home, mais ça fonctionnait pareil.
Je te recommande le même mode de fonctionnement.


Yves
   
Antoniop Membre non connecté

Rang

Avatar

Inscrit le : 21/12/2011 à 23h51

Localisation : France

Messages: 201

Le 23/08/2019 à 19h37
C'est avec LUKS ?
La boîte de dialogue, c'est un script à toi ou c'est dans l'outil ?
Est-ce que tuas senti une différence en termes de perfs ?
merci :)
   
TuxMips Membre non connecté

Rang

Avatar

Inscrit le : 08/09/2010 à 21h08

Localisation : Paris

Messages: 702

Le 23/08/2019 à 19h53
Que dire ?
Pour ma part, les disques durs contenant mes données personnelles, en fait ma partition /Home est chiffré avec Luks.
Au démarrage, le PC, demande le mot de passe de déverrouillage et après le disque est accessible. Je ne remarque aucun ralentissement notable.
Certes, je pense qu'il faudrait tout chiffrer mais l'objectif est juste de protéger mes documents en cas de perte du portable.

A noter que mon Xperia XA2, désormais sous Sailfish OS, a une carte µSD formatée et chiffrée également avec Luks sous Sailfish OS. Pour effectuer la récupération des données entre l'ancien smartphone et le XA2, j'ai utilisé mon laptop (sous Mageia 7) : aucun problème pour déverrouiller la carte µSd, la lire et écrire dessus (quoique de mémoire, pour écrire dessus, j'ai du me mettre en root).

Pour Luks, le chiffrement, à ma connaissance se fait au moment de la mise en place des partitions et du formatage.

Edité par TuxMips Le 23/08/2019 à 21h16


Utilisateur de Mageïa depuis Mandrake Mandriva 6.0 :super:
   
Jybz Membre non connecté

Rang

Avatar

Inscrit le : 10/10/2018 à 10h26

Messages: 1603

Le 23/08/2019 à 20h40
Papoteur :
Bonjour,
Antoniop :
j'ouvre ma session et par défaut ma partition chiffrée est visible.

Ben non, sinon c'est quelle n'est pas chiffrée ! :blub:

En fait, non. Mais je ne vais pas m'attarder dans les détails. Il y a un moyen, mais il n'est pas encore démocratisé, ce n'est pas l'autoroute mais une voie fermée d'escalade. C'est générer la clef de chiffrement avec les mesurements TPM. Si ton PC à une version TPM1.x c'est bon, la voie est ouverte, si c'est TPM2.x c'est pas ouvert.
En gros, il faut modifier le chargeur de démarrage pour communiquer avec la puce qui, pour un état donné, calcule toujours le même chiffre. Si l'état change (changement du chargeur de démarrage), le calcule sera différent, et il sera impossible de déchiffrer la clef.

C'est très compliqué, donc difficile.

Sinon, il FAUDRA taper le mot de passe.
Soit :
tu chiffres l'intégralité (racine+boot, home, ...) ne laissant déchiffré que le premier étage du chargeur de démarrage.
→ le premier étage te demandera un mot de passe pour déchiffrer le second étage du chargeur de démarrage, avant d'afficher la sélection des systèmes d'exploitation
→ puis le second chargeur de démarrage te demandera un mot de passe pour redéchiffrer le tout, car "par défaut", la clef de chiffrement n'est pas passée du premier étage au second.
Soit :
tu ne chiffres pas /boot, mais chiffre le reste,
→ le premier chargeur de démarrage ne demandera pas de mot de passe (car le second étage dans /boot n'est pas chiffré)
→ après le menu de sélection des système le mot de passe te sera demandé.

Au lieu d'avoir quelques partition chiffrée, il y a "un truc" qu'on nomme "LVM", pour Logical Volume Manager, qui créer une partition conteneur.
On peut chiffrer cette partition conteneur (donc qu'une seule clef de chiffrement).
Le chargeur de démarrage de Mageia (grub) sait ouvrir ce conteneur, que ce soit le premier étage comme le second étage, pour trouver les partitions qui sont (qui se cache car s'est chiffré) à l'intérieur.

Voilà.

Sinon, faire un chiffrement avec Mageia avec une LVM, ça se fait les doigts dans le nez. Il faut savoir ce qu'on veut exactement (c'est le plus dur), puis depuis l'installateur de Mageia on peut tout faire il me semble (j'ai un doute sur le coup, je ne l'ai fait qu'une fois, en avril... Ou en fait non, j'avais déjà créé la LVM chiffré avec mon ancien ordinateur, et l'installeur demandait les mots de passe pour ouvrir la LVM chiffré ! C'est ça j'en suis sûr. J'avais partitionné mon disque dur deux ans avant...)
   
Yuusha Membre non connecté

Rang

Avatar

Inscrit le : 04/07/2017 à 19h52

Localisation : Gironde

Messages: 346

Le 23/08/2019 à 21h52
Antoniop :
C'est avec LUKS ?
Est-ce que tuas senti une différence en termes de perfs ?

Pour les performances, tout dépend de tes besoins. Si tu fait de gros calculs avec de fréquents accès au disque ou si tu copie souvent d'énormes fichiers, alors oui, tu auras une perte de performance. Si tu ne fais qu'une utilisation bureautique standard, tu ne t'en apercevra même pas.

Jybz :
Au lieu d'avoir quelques partition chiffrée, il y a "un truc" qu'on nomme "LVM", pour Logical Volume Manager, qui créer une partition conteneur.
On peut chiffrer cette partition conteneur (donc qu'une seule clef de chiffrement).
Le chargeur de démarrage de Mageia (grub) sait ouvrir ce conteneur, que ce soit le premier étage comme le second étage, pour trouver les partitions qui sont (qui se cache car s'est chiffré) à l'intérieur.

Voilà.

Sinon, faire un chiffrement avec Mageia avec une LVM, ça se fait les doigts dans le nez. Il faut savoir ce qu'on veut exactement (c'est le plus dur), puis depuis l'installateur de Mageia on peut tout faire il me semble (j'ai un doute sur le coup, je ne l'ai fait qu'une fois, en avril... Ou en fait non, j'avais déjà créé la LVM chiffré avec mon ancien ordinateur, et l'installeur demandait les mots de passe pour ouvrir la LVM chiffré ! C'est ça j'en suis sûr. J'avais partitionné mon disque dur deux ans avant...)

Sachant que Mageia ne le propose pas par défaut à l'installation et qu'il semble y avoir des bugs pour certaines personnes, ll n'y a pas besoin de se casser la tête avec LVM si l'on en a pas le besoin (redimensionner facilement ses partitions, avoir une même partition sur plusieurs disques,...)

Je rajoute une petite note sur le chiffrement. Ça peut-être utile dans un cadre professionnel. Cependant, même sans chiffrement ce n'est pas parce qu'une personne vole votre PC qu'il pourra facilement accéder aux données et, il y a un temps (c'est probablement encore le cas) où il était interdit d'entrer sur le territoire américain avec des disques chiffrés.
   
Antoniop Membre non connecté

Rang

Avatar

Inscrit le : 21/12/2011 à 23h51

Localisation : France

Messages: 201

Le 23/08/2019 à 23h07
Yuusha :

Je rajoute une petite note sur le chiffrement. Ça peut-être utile dans un cadre professionnel. Cependant, même sans chiffrement ce n'est pas parce qu'une personne vole votre PC qu'il pourra facilement accéder aux données et, il y a un temps (c'est probablement encore le cas) où il était interdit d'entrer sur le territoire américain avec des disques chiffrés.

Bah, il suffit d'ouvrir le PC et de sortir le disque dur, non ?
Quant à l'interdiction d'entrer sur le territoire américain avec un DD chiffré, j'avais entendu cela aussi, mais je crois que ce n'est pas le cas ou plus le cas en pratique. Difficile à vérifier de toute façon, j'imagine.
   
Jybz Membre non connecté

Rang

Avatar

Inscrit le : 10/10/2018 à 10h26

Messages: 1603

Le 23/08/2019 à 23h25
Les US ? Vous regardez trop loin ! ;)
https://fr.wikipedia.org/wiki/Chiffrement#En_France
   
TuxMips Membre non connecté

Rang

Avatar

Inscrit le : 08/09/2010 à 21h08

Localisation : Paris

Messages: 702

Le 24/08/2019 à 09h02
Jybz :
Les US ? Vous regardez trop loin ! ;)
https://fr.wikipedia.org/wiki/Chiffrement#En_France


Oui :-) Je confirme. Lorsque je suis allé aux USA ni au départ ni à l'arrivée, mon portable est passé sous les scanners, mais à aucun moment l'on m'a demandé de l'ouvrir.

Cela étant, si l'on m'avait demandé de l'ouvrir, j'aurais bien entendu composé le mot de passe.
Etant précisé également que mon PC, à l'exception de mon courrier électronique, avait relativement peu de choses dessus ;-)


Utilisateur de Mageïa depuis Mandrake Mandriva 6.0 :super:
   
Yuusha Membre non connecté

Rang

Avatar

Inscrit le : 04/07/2017 à 19h52

Localisation : Gironde

Messages: 346

Le 24/08/2019 à 13h35
Jybz :
Les US ? Vous regardez trop loin ! ;)
https://fr.wikipedia.org/wiki/Chiffrement#En_France

Je ne savais pas que le chiffrement était considéré comme une technologie dual. Mais c'est logique.

Je suppose en effet qu'ils ne vérifient pas tous les PC entrant aux USA. Ils doivent viser certaines personnes. De toute façon, il vaut mieux avoir le minimum de données sur son PC lorsque l'on part à l'étranger.
   
Antoniop Membre non connecté

Rang

Avatar

Inscrit le : 21/12/2011 à 23h51

Localisation : France

Messages: 201

Le 12/09/2019 à 11h28
Je reviens sur cette de mande de REX :
ça y est, j'ai créé ma partition chiffrée :
  • j'ai réduit une partition existante avec gparted (après démontage de la partition)
  • je suis allé dans le gestionnaire de disques du MCC et j'ai créé une partition chiffrée dans l'espace libéré.
  • j'ai copié "manuellement" les fichiers que je voulais protéger sur la partition chiffrée (ce n'est pas /home).

J'ai maintenant une partition chiffrée dont le mot de passe est demandé au boot, cela m'a pris 15 min grand max pour quelques gigos.

Je voudrais à présent ne pas avoir de mot de passe à saisir : je voudrais que l'ouverture de session monte la partition chiffrée.
J'ai trouvé cet article,
https://doc.ubuntu-fr.org/cryptsetup
qui est bien écrit et présente bien les choses, mais je ne sais pas s'il s'adapte tout à fait à Mageia.
Tout retour d'expérience est le bienvenu :) Edité par Antoniop Le 12/09/2019 à 11h29
   
Jybz Membre non connecté

Rang

Avatar

Inscrit le : 10/10/2018 à 10h26

Messages: 1603

Le 12/09/2019 à 17h52
Antoniop :

Je voudrais à présent ne pas avoir de mot de passe à saisir : je voudrais que l'ouverture de session monte la partition chiffrée.
J'ai trouvé cet article,
https://doc.ubuntu-fr.org/cryptsetup
qui est bien écrit et présente bien les choses, mais je ne sais pas s'il s'adapte tout à fait à Mageia.
Tout retour d'expérience est le bienvenu :)

J'ai du mal à comprendre.
Si tu ne tapes pas de mot de passe, c'est que celui-ci est "stocké" quelque part pour être "utilisé" pour l'ouverture de la partition chiffré. Et s'il est stocké, comment peux tu assurer qu'il est sécurisé (donc impossible de le récupérer avec un média live par exemple, ou une copie du disque dur (partie chiffrée et non chiffrée) pour réucpérer la clef et le contenu chiffré.
   
Antoniop Membre non connecté

Rang

Avatar

Inscrit le : 21/12/2011 à 23h51

Localisation : France

Messages: 201

Le 12/09/2019 à 18h15
Jybz :
Antoniop :

Je voudrais à présent ne pas avoir de mot de passe à saisir : je voudrais que l'ouverture de session monte la partition chiffrée.
J'ai trouvé cet article,
https://doc.ubuntu-fr.org/cryptsetup
qui est bien écrit et présente bien les choses, mais je ne sais pas s'il s'adapte tout à fait à Mageia.
Tout retour d'expérience est le bienvenu :)

J'ai du mal à comprendre.
Si tu ne tapes pas de mot de passe, c'est que celui-ci est "stocké" quelque part pour être "utilisé" pour l'ouverture de la partition chiffré. Et s'il est stocké, comment peux tu assurer qu'il est sécurisé (donc impossible de le récupérer avec un média live par exemple, ou une copie du disque dur (partie chiffrée et non chiffrée) pour réucpérer la clef et le contenu chiffré.

Bah, je sais qu'avoir un DD chiffré sans taper de mot de passe c'est possible sur Mac et windows, donc il n'y a pas de raison que cela ne soit pas réalisable sur linux.
Si tu regardes le paragraphe "2.1.6 Ouverture et montage automatique de la partition chiffrée à l'ouverture de session, sans support amovible ni pass-phrase" sur le lien, il explique comment faire pour que PAM (module d'authent) "passe" le mot de passe de la session à crypsetup pour monter la partition chiffrée. Il faut que les 2 aient le même mote de passe évidemment.
Moi je veux bien essayer de suivre la méthode ubuntu, je n'ai pas trop envie de casser mon pc pour autant, comme la dernière fois que j'ai bidouillé la base mime ...
Edité par Antoniop Le 12/09/2019 à 18h15
   
Jybz Membre non connecté

Rang

Avatar

Inscrit le : 10/10/2018 à 10h26

Messages: 1603

Le 12/09/2019 à 19h02
Ah c'est bien ce que je me disais, merci de me préciser le chapitre :
Citation :

[...]
La partition chiffrée n'est donc plus protégée que par le mot de passe d'ouverture de session.
[...]
Le niveau de sécurité est donc plus bas[...].

Je ne vais pas dans les détails, je comprends le principe.
Je me demande cependant encore, dans quelle mesure le système peut-être attaqué. Sachant, qu'avec une copie du disque dur, je peux facilement démarrer et changer le mot de passe root de la copie du disque dur et changer le mot de passe utilisateur, je "sais" faire (je sais que c'est possible et il me faudra peu de temps pour y arriver), cependant, je ne sais pas "recouvrir" un mot de passe d'un utilisateur.
   
Antoniop Membre non connecté

Rang

Avatar

Inscrit le : 21/12/2011 à 23h51

Localisation : France

Messages: 201

Le 12/09/2019 à 19h35
Jybz :
Ah c'est bien ce que je me disais, merci de me préciser le chapitre :
Citation :

[...]
La partition chiffrée n'est donc plus protégée que par le mot de passe d'ouverture de session.
[...]
Le niveau de sécurité est donc plus bas[...].

Je ne vais pas dans les détails, je comprends le principe.
Je me demande cependant encore, dans quelle mesure le système peut-être attaqué. Sachant, qu'avec une copie du disque dur, je peux facilement démarrer et changer le mot de passe root de la copie du disque dur et changer le mot de passe utilisateur, je "sais" faire (je sais que c'est possible et il me faudra peu de temps pour y arriver), cependant, je ne sais pas "recouvrir" un mot de passe d'un utilisateur.

Apparemment, il est plus sûr de conserver un motdepasse séparé pour la partition (je l'ai lu qq part).
C'est intéressant ton cas, cela veux dire que dans ce cas, même si on change le mot de passe root et de l'utilisateur, la partition est protégée, car le mot de passe de l'utilisateur sera différent de celui de la partition chiffrée. Edité par Antoniop Le 12/09/2019 à 19h36
   
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie