Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 04/12/2018, à 16:27

Arbiel

[Résolu] Crypttab et chiffrement avec entête séparée

Bonjour

Pour une partition chiffrée avec LUKS, l'idée d'en séparer l'entête et de l'enregistrer sur un support amovible me semble intéressante pour deux raisons :
- l'enregistrement de l'entête sur un support amovible qu'il est possible de débrancher après ouverture de la partition (hypothèse de ma part : l'entête n'est pas utilisée lors de l'accès aux données) la met à l'abri d'éventuelles fausses manipulations
- l'absence de l'entête en début de la partition masque la nature du chiffrement à tout œil malveillant.

De plus, mais cela ne me concerne pas, cette méthode permet d'avoir plusieurs entêtes, différentes et partageant la même clef maître(sse), et d'augmenter ainsi le nombre de clés de chiffrement disponibles.

il me faut coder crypttab pour décrire une telle situation, sachant que le support où se trouve l'entête n'est pas encore monté lors de l'ouverture, qui s'effectue soit par initrd, soit par le système pour en permettre le montage par fstab.

J'ai essayé, sans succès, de définir l'emplacement de l'entête par une expression comparable à celle qui permet de définir celui de la clé de chiffrement, à savoir.

/dev/disk/by-uuid/<uuid de la partition support>:/<chemin d'accès à la clef>:<délai>.

De plus, la partition qui héberge les données n'étant pas reconnue comme une partition chiffrée avec LUKS, la mentionner dans le deuxième champ de la ligne crypttab conduit à son rejet par cryptsetup.

Merci à quiconque pourra me mettre sur la voix.

Dernière modification par Arbiel (Le 15/12/2018, à 14:36)


Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.

Hors ligne

#2 Le 15/12/2018, à 14:35

Arbiel

Re : [Résolu] Crypttab et chiffrement avec entête séparée

Bonjour à tous ceux que cela intéresse

Pour coder le chemin d'accès à l'entête, il faut au préalable demander à cryptdisks de monter le support. Cela passe par
1) définir le point de montage dans /etc/fstab

LABEL=.transcend /mnt ext4 defaults,exec,noauto 0 0

2) indiquer le point de montage correspondant dans la variable CRYPTDISKS_MOUNT dans le fichier /etc/default/cryptdisks

CRYPTDISKS_MOUNT="/mnt"

3) référencer dans /etc/crypttab l'entête dans l'option keyscript de la ligne correspondante

victor-var /dev/mapper/victor-var_l /mnt/.ckf/victor-var luks,noauto,tries=1,keyscript=/lib/cryptsetup/bash/passdev,header=/mnt/.lhs/victor-var.lhb

On peut remarquer dans mon exemple que j'ai également indiqué l'emplacement de la clé par son chemin d'accès dans /mnt. J'ai mémorisé l'entête Luks et la clé de chiffrement dans deux répertoires du même volume.

Cela pose un problème sur lequel je reviendrai si quelqu'un est intéressé.


Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.

Hors ligne