Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 12/01/2024, à 06:11

livier

[Résolu] Changer de mot de passe pour le déchifrage au démarrage

L'ojectif est dans le titre.

Je comprend qu'une partition est chiffrée par "lucks" et que cela se gère avec "cryptsetup". Je regarde la situation actuelle :

xavier@xavier-Latitude:~$ sudo !!
sudo cryptsetup luksDump /dev/nvme0n1p3
[sudo] Mot de passe de xavier : 
LUKS header information
Version:        2
Epoch:          4
Metadata area:  16384 [bytes]
Keyslots area:  16744448 [bytes]
UUID:           xxxxxxxxxxxxx
Label:          (no label)
Subsystem:      (no subsystem)
Flags:          (no flags)

Data segments:
  0: crypt
        offset: 16777216 [bytes]
        length: (whole device)
        cipher: aes-xts-plain64
        sector: 512 [bytes]

Keyslots:
  0: luks2
        Key:        512 bits
        Priority:   normal
        Cipher:     aes-xts-plain64
        Cipher key: 512 bits
        PBKDF:      argon2id
        Time cost:  6
        Memory:     1048576
        Threads:    4
        Salt:  xxxxxxxxxxxxxxx
        AF stripes: 4000
        AF hash:    sha256
        Area offset:32768 [bytes]
        Area length:258048 [bytes]
        Digest ID:  0
  1: luks2
        Key:        512 bits
        Priority:   normal
        Cipher:     aes-xts-plain64
        Cipher key: 512 bits
        PBKDF:      argon2id
        Time cost:  5
        Memory:     1048576
        Threads:    4
        Salt:    xxxxxxxxxxxx
        AF stripes: 4000
        AF hash:    sha256
        Area offset:290816 [bytes]
        Area length:258048 [bytes]
        Digest ID:  0
Tokens:
Digests:
  0: pbkdf2
        Hash:       sha256
        Iterations: 123652
        Salt:      xxxxxxxxxxxxxx
        Digest:     xxxxxxxxxxxxx
xavier@xavier-Latitude:~$

J'ai xxxxifié les infos sensibles. Je crois voirs deux "slots" utilisés, alors que, sauf à l'insu de mon plein gré, je n'en ai mis que un pour lancer la machine.

Je suppose que pour changer de mot de passe, je devrais mettre un autre "slot" et emlever le premier.

Je ne me sens pas du tout sécure de faire ça pendant que le système fonctionne.
Quelles sont les bonnes pratiques ?

Dernière modification par livier (Le 13/03/2024, à 01:52)

La différence fait peur.  L'indifférence aussi mais pas aux mêmes.

J'ai vu bien des choses dans ma petite vie, et je mesure amèrement l'impuissance à les dire.

Hors ligne

#2 Le 12/01/2024, à 11:12

geole

Re : [Résolu] Changer de mot de passe pour le déchifrage au démarrage

Bonjour.
Je ne vois pas comment tu pourras faire cela lorsque le système ne fonctionne pas.
Lire le paragraphe 2.2

Dernière modification par geole (Le 12/01/2024, à 11:13)

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Hors ligne

#3 Le 12/01/2024, à 17:34

livier

Re : [Résolu] Changer de mot de passe pour le déchifrage au démarrage

J'avais vu cette page, mais son annonce m'inquiétais 

Cette page contient des références à Ubuntu 6.04 Dapper Drake. Son contenu est par conséquent probablement très obsolète et les bonnes pratiques en matière de cryptographie ont certainement changé depuis.

Alors je n'avais pas été jusqu'au paragraphe 2.2  :-(
Dans mon retour de commande ci dessus je crois lire qu'il y a deux "Keyslots" alors que je n'ai mis qu'un mot de passe, j'aimerais  être sur qu'il n'y en a pas un autre posé à mon insu (un backdoor déjà sur ma nouvelle machine, je ne me croyais pas aussi surveillé, il doit y avoir une autre explication !) J'essaye : 

xavier@xavier-Latitude:~$ sudo !!
sudo dmsetup table --showkeys
nvme0n1p3_crypt: 0 495534080 crypt aes-xts-plain64 :64:logon:cryptsetup:xxx..xx-xxxx-xxxx-xxxx-xxx...xxx-d0 0 259:3 32768 1 allow_discards
vgkubuntu-root: 0 491503616 linear 253:0 2048
vgkubuntu-swap_1: 0 3997696 linear 253:0 491505664
xavier@xavier-Latitude:~$

Je comprend que vgkubuntu est ma "partition" déchiffrée, comprenant deux partitions / et swap est-ce pour cela que j'ai deux lignes Keyslots: dans ma première comande ?
D'habitude, sans partition chiffrée, quand j'interviens sur les partitions, je m'arrange pour le faire "de l'extérieur" en LiveUSB. Est-ce que vraiment, dans une partition LUCKS on intervient sur les pots de passe pendant que la partition est montée  et utilisée par le système ?
Je vais continuer d'apprendre, de vos réponses et par d'autres recherches *et* organiser mes sauvegardes (pour ne pas avoir à tout refaire) avant d'intervenir sur mes mots de passe d'entrée sur l'ordi !

La différence fait peur.  L'indifférence aussi mais pas aux mêmes.

J'ai vu bien des choses dans ma petite vie, et je mesure amèrement l'impuissance à les dire.

Hors ligne

#4 Le 12/01/2024, à 20:08

geole

Re : [Résolu] Changer de mot de passe pour le déchifrage au démarrage

Une partition  luks est composée d'un entête luks       gérant toute cette structure puis d'une partition classique  mais chiffrée
Je  ne connais pas la taille de cet entête, probablement 16 Mo.
On peut accéder à cet entête  avec le logiciel même s'il est à l'intérieur.

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Hors ligne

Pages : 1