[Résolu] Comment changer sa clé de chiffrement du disque dur

hmhm · Le 14/05/2019, à 01:16

Bonjour à tous, mon disque dur est entièrement chiffré, dès que j'allume mon PC on me demande la clé de chiffrement, avant de me demander le MDP utilisateur.
Aujourd'hui j'aimerais en changer mais je n'ai pas trouvé comment faire. Si l'un de vous peut m'indiquer la marche à suivre pour changer la clé de chiffrement... Merci !

Et en bonus (ça ne rentrait pas dans le titre ^^) j'ai aussi un mot de passe root. Je sais que sur Ubuntu c'est généralement sudo mais j'avais fait une manip à l'aide de ce forum pour activer un compte root et lui mettre un mot de passe, j'aimerais également changer mon MDP root. Quelqu'un peut m'aider ?

Merci d'avance !

Dernière modification par hmhm (Le 14/05/2019, à 19:49)

Arbiel · Le 14/05/2019, à 08:27

Bonjour

Que veux-tu faire exactement ? Changer ta clé de chiffrement pour le plaisir de la changer me paraîtrait un objectif surprenant.

Que veux-te dire également par

hmhm a écrit :

j'ai aussi un mot de passe root

À quoi te sert-il ?

sudo n'est pas un mot de passe. C'est une application qui a pour but de te faire passer du mode utilisateur au mode administrateur en vérifiant que tu en as le droit.

En mode administrateur, tu as tous les droits, et en particulier ceux de détruire les informations sensibles, et de rendre ton PC inutilisable, enfin, aussi longtemps que tu n'auras pas récréer un environnement cohérent.

Tu as aussi le droit de changer les mots de passe de qui tu veux.

Arbiel

kamaris · Le 14/05/2019, à 08:50

hmhm a écrit :

Si l'un de vous peut m'indiquer la marche à suivre pour changer la clé de chiffrement... Merci !

Pour ajouter un mot de passe au support chiffré /dev/sdX ou en supprimer un :

sudo cryptsetup luksAddKey /dev/sdX
sudo cryptsetup luksRemoveKey /dev/sdX

hmhm a écrit :

j'aimerais également changer mon MDP root. Quelqu'un peut m'aider ?

À faire avec le compte root :

passwd

hmhm · Le 14/05/2019, à 18:27

J'ai commencé Linux avec debian et donc su. C'était trop compliqué pour moi alors je suis passé sous ubuntu, mais en faisant quelques manip trouvée ici j'ai pu ajouter un utilisateur root et j'aime bien car je m'étais habitué à ça sur debian.

La raison pour laquelle je veux changer ma clé de chiffrement du disque dur est simple : elle est compromise. Ça fait 1 an presque que je l'utilisais donc ça me chagrine mais bon.

En tapant les 2 commandes de @Kamaris à chaque fois j'ai le même retour :

Le périphérique /dev/sdX n'existe pas ou l'accès y est interdit.

Quand je déverrouille le disque après le démarage du PC, j'ai ce message : "cryptsetup (sda5_crypt): set up successfully"
Donc je suppose que le disque s'appelle sda5_crypt ?

Désolé pour mon amateurisme, merci à vous d'avance pour votre aide

EDIT :

Après 2-3 recherches sur des forums anglais j'ai tapé ça :

sudo cryptsetup luksRemoveKey /dev/sda5

Retour :

Entrez la phrase secrète à effacer :

*J'entre ma clé de chiffrement actuelle*

Retour :

WARNING!
========
Ceci est le dernier emplacement de clé. Le périphérique sera inutilisable après la suppression de cette clé.

Are you sure? (Type uppercase yes):

J'ai l'impression que c'est pas la bonne méthode donc j'ai abandonné avant de confirmer.

Dernière modification par hmhm (Le 14/05/2019, à 18:37)

kamaris · Le 14/05/2019, à 18:45

Le « X » est une lettre générique à remplacer par la terminaison qui correspond à ton cas. En l'occurrence, c'est donc /dev/sda5.
sda5_crypt n'est pas le nom du conteneur chiffré, mais de la partition qu'il contient. Elle doit se trouver en /dev/mapper/sda5_crypt.
Pour changer le mot de passe de chiffrement, il te faut d'abord ajouter un nouveau mot de passe par sudo cryptsetup luksAddKey /dev/sda5, avant d'enlever l'ancien par sudo cryptsetup luksRemoveKey /dev/sda5.

Dernière modification par kamaris (Le 14/05/2019, à 18:48)

Arbiel · Le 14/05/2019, à 18:50

NON, ce n'était effectivement pas la bonne méthode.

Dans les commandes indiquées par kamaris, il faut remplacer /dev/sdaX par quelque chose comme /dev/sda5.

Mais pour être certains, il faudrait que tu donnes le retour des commandes

sudo blkid
sudo vgdisplay
sudo lvdisplay

Quand tu auras introduit une nouvelle clé de chiffrement, tu pourras alors supprimée ta clé compromise

Mais comment sais-tu qu'elle est compromise ?

Arbiel

hmhm · Le 14/05/2019, à 18:51

Désolé je m'était même pas rendu compte que ce que j'ai trouvé c'était littéralement ce que tu m'avais écris @Kamaris. J'ai fait un copier coller de la commande sans vraiment regarder ce qu'il y avait dedans. Du coup avant ton message j'ai déjà ajouté un nouveau mot de passe avec :

sudo cryptsetup luksAddKey /dev/sda5

J'ai éteint et redémarré 2 fois, la première fois j'ai rentré mon ancienne clé, et la seconde fois j'ai rentré ma clé crée juste avant avec la commande ci-dessus. Les 2 fonctionnent.
Je peux donc maintenant utiliser...

sudo cryptsetup luksRemoveKey /dev/sda5

... et taper la 1ère clé de chiffrement, celle que je veux supprimer, et ensuite j'utilserais ma nouvelle clé de chiffrement pour dévérouiller mon disque à chaque démarage, c'est cela ?

EDIT : Merci de ta réponse @Arbiel, en effet ce n'était pas la bonne méthode, enfin si mais pas dans le bon ordre apparement ^^.
En faite pour faire simple, ma clé est notée en clair sur une clé USB (en cas d'urgence si je perdais la mémoire ou autre ^^) et j'ai laissé cette clé dans un endroit publique, la clé n'est pas chiffré, rien. Donc quitte à chiffrer son disque dur, autant que le mot de passe pour le dévérrouiller ne traîne pas dans la nature.

Le retour des 3 commandes que tu m'as donné @Arbiel :

sudo blkid

donne :

/dev/mapper/sda5_crypt: UUID="dVJLt4-1uwl-EUSI-OpUK-yOp0-lf0Z-HZ10QQ" TYPE="LVM2_member"
/dev/mapper/ubuntu--vg-root: UUID="33a35335-fedb-4ee4-bb32-ea0f1943366c" TYPE="ext4"
/dev/loop0: TYPE="squashfs"
/dev/loop1: TYPE="squashfs"
/dev/loop2: TYPE="squashfs"
/dev/loop3: TYPE="squashfs"
/dev/loop4: TYPE="squashfs"
/dev/loop5: TYPE="squashfs"
/dev/loop6: TYPE="squashfs"
/dev/loop7: TYPE="squashfs"
/dev/sda1: UUID="8253eed2-e178-485e-8ebe-502ac6f6407e" TYPE="ext4" PARTUUID="1ea6895d-01"
/dev/sda5: UUID="e40c477f-93e2-4794-9187-b4e523d34016" TYPE="crypto_LUKS" PARTUUID="1ea6895d-05"
/dev/mapper/ubuntu--vg-swap_1: UUID="6e62477a-4e4c-43d4-9555-7c2951a62c1c" TYPE="swap"
/dev/loop8: TYPE="squashfs"
/dev/loop9: TYPE="squashfs"
/dev/loop10: TYPE="squashfs"
/dev/loop11: TYPE="squashfs"
/dev/loop12: TYPE="squashfs"
/dev/loop13: TYPE="squashfs"
/dev/loop14: TYPE="squashfs"
/dev/loop15: TYPE="squashfs"
/dev/loop16: TYPE="squashfs"
/dev/loop17: TYPE="squashfs"
/dev/loop18: TYPE="squashfs"
/dev/loop19: TYPE="squashfs"
/dev/loop20: TYPE="squashfs"
/dev/loop21: TYPE="squashfs"
/dev/loop22: TYPE="squashfs"
/dev/loop23: TYPE="squashfs"
/dev/loop24: TYPE="squashfs"
/dev/loop25: TYPE="squashfs"
/dev/loop26: TYPE="squashfs"
/dev/loop27: TYPE="squashfs"
/dev/loop28: TYPE="squashfs"

sudo vgdisplay

Donne :

--- Volume group ---
  VG Name               ubuntu-vg
  System ID             
  Format                lvm2
  Metadata Areas        1
  Metadata Sequence No  3
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                2
  Open LV               2
  Max PV                0
  Cur PV                1
  Act PV                1
  VG Size               <465,04 GiB
  PE Size               4,00 MiB
  Total PE              119050
  Alloc PE / Size       119042 / <465,01 GiB
  Free  PE / Size       8 / 32,00 MiB
  VG UUID               Lcq2bB-BHfp-uSEo-LXVG-hevi-MW3B-7awqve

Et enfin,

sudo lvdisplay

Donne:

  --- Logical volume ---
  LV Path                /dev/ubuntu-vg/root
  LV Name                root
  VG Name                ubuntu-vg
  LV UUID                Y9YSzM-Jr3f-auDu-6tSt-kHtk-pwhO-siMM17
  LV Write Access        read/write
  LV Creation host, time ubuntu, 2018-08-21 18:14:23 +0200
  LV Status              available
  # open                 1
  LV Size                464,05 GiB
  Current LE             118798
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:1
   
  --- Logical volume ---
  LV Path                /dev/ubuntu-vg/swap_1
  LV Name                swap_1
  VG Name                ubuntu-vg
  LV UUID                d6LNTE-Ee1i-mmSm-N59p-2Yhs-Pc56-hBCLjZ
  LV Write Access        read/write
  LV Creation host, time ubuntu, 2018-08-21 18:14:23 +0200
  LV Status              available
  # open                 2
  LV Size                976,00 MiB
  Current LE             244
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:2

Qu'est-ce que "UUID" ? C'est pas sensible de transmettre ça sur le net ? Je demande juste, je ne sais pas.

Merci

Dernière modification par hmhm (Le 14/05/2019, à 19:05)

kamaris · Le 14/05/2019, à 18:54

hmhm a écrit :

Désolé je m'était même pas rendu compte que ce que j'ai trouvé c'était littéralement ce que tu m'avais écris @Kamaris. J'ai fait un copier coller de la commande sans vraiment regarder ce qu'il y avait dedans. Du coup avant ton message j'ai déjà ajouté un nouveau mot de passe avec :
sudo cryptsetup luksAddKey /dev/sda5
J'ai éteint et redémarré 2 fois, la première fois j'ai rentré mon ancienne clé, et la seconde fois j'ai rentré ma clé crée juste avant avec la commande ci-dessus. Les 2 fonctionnent.
Je peux donc maintenant utiliser...
sudo cryptsetup luksRemoveKey /dev/sda5
... et taper la 1ère clé de chiffrement, celle que je veux supprimer, et ensuite j'utilserais ma nouvelle clé de chiffrement pour dévérouiller mon disque à chaque démarage, c'est cela ?

C'est cela.

Dernière modification par kamaris (Le 14/05/2019, à 19:04)

moko138 · Le 14/05/2019, à 19:00

/!\ Faire l'état des lieux avant de proposer un "remède" !

1) Qu'est-ce qui est chiffré ?

hmhm a écrit :

mon disque dur est entièrement chiffré,

Apparemment - mais à vérifier - le chiffrement ne concerne pas que sda5.

2) Avec quel logiciel le chiffrement a-t-il été fait ?

3) À vérifier aussi :
s'agit-il vraiment de chiffrement ? Ou de mot de passe de disque dur ? Voire de mot de passe de bios ?

hmhm · Le 14/05/2019, à 19:01

Merci @Kamaris. Je vais attendre la confirmation de @Arbiel après avoir édité mon premier message avec le retour des commandes qu'il ma donné car apparement il fallait vérifier ça avant...

@Moko138 de mémoire, c'est quand j'ai installé Ubuntu 18.04 sur mon disque (qui comportait avant Debian) que j'ai, pendant le processus d'installation, coché une case pour chiffré le disque dure. (de mémoire il y avait quelque chose en rapport avec une partition LVM, je ne sais plus vraiment.)

Je précise que mon disque dur est entièrement occupé par ubuntu, je ne l'utilise pas en VM, et je n'ai pas du dualboot.

Comment vérifier alors qu'il s'agit bien d'un chiffrement complet du disque et non pas un mot de passe disque ou bios ?

Dernière modification par hmhm (Le 14/05/2019, à 19:06)

kamaris · Le 14/05/2019, à 19:19

T'inquiète pas, ton disque a été correctement configuré par l'installeur Ubuntu : une partition /boot non chiffrée en /dev/sda1 qui contient le minimum requis pour booter, puis tout le reste est caché dans le conteneur chiffré en /dev/sda5, sous la forme d'un groupe de volumes ubuntu-vg qui contient une partition racine (/dev/ubuntu-vg/root) et une partition de swap (/dev/ubuntu-vg/swap_1).

Dernière modification par kamaris (Le 14/05/2019, à 19:21)

hmhm · Le 14/05/2019, à 19:39

J'ai effectué la manip, j'ai donc supprimer la première clée après avoir crée la 2ème. J'ai redémarrer le PC, et tout fonctionne comme prévu, la 1ère clée ne déverrouille pas le disque mais la 2ème le fait. Tout à l'air ok !
Merci. Donc mon disque dur est bien chiffré ? Ce n'est pas simplement un mot de passe disque dur ?
D'ailleurs quelle est la différence entre les 2 ?

moko138 · Le 14/05/2019, à 19:47

hmhm a écrit :

@Moko138 de mémoire, c'est quand j'ai installé Ubuntu 18.04 sur mon disque (qui comportait avant Debian) que j'ai, pendant le processus d'installation, coché une case pour chiffré le disque dure. (de mémoire il y avait quelque chose en rapport avec une partition LVM, je ne sais plus vraiment.)
(...)
Comment vérifier alors qu'il s'agit bien d'un chiffrement complet du disque et non pas un mot

Ouf !
Ta description est bien celle d'un chiffrement du système par l'installateur d'Ubuntu, avec usage de LVM (Logical Volume Manager, ou gestionnaire de volumes logiques en français), cf. la Doc lvm.

Bonne soirée à tous !

hmhm · Le 14/05/2019, à 19:48

Super, sujet résolu, merci de votre aide à tous !

kamaris · Le 14/05/2019, à 20:17

Un peu de lecture complémentaire concernant le chiffrement :
* https://doc.ubuntu-fr.org/tutoriel/chiffrer_son_disque : te permettra de mieux comprendre ce qu'a fait l'installeur Ubuntu quand il a chiffré ton disque, avec au chapitre 5 les commandes évoquées ici, plus d'autres pour sauvegarder/restaurer l'entête de ton conteneur chiffré ;
* https://doc.ubuntu-fr.org/cryptsetup : un peu plus de doc sur Cryptsetup et comment l'utiliser ;
* https://www.howtogeek.com/186881/hard-d … our-files/ : (en anglais) pour répondre à ta question concernant la différence entre mot de passe de disque dur et chiffrement.

Arbiel · Le 14/05/2019, à 21:37

Visiblement, tu as résolu ton problème. Mais à mon avis, tu es tombé dans un panneau que t'as tendu l'installateur. Tu as coché une case, en voulant bien faire, ordonnant à l'installateur de chiffrer non pas ton disque, mais une partition, en l'occurrence /dev/sda5, que l'installateur a chiffrée puis décomposée en deux parties, ta partition système et ta partition swap. Cette option est trop délicate pour la proposer sans plus d'informations, mais c'est ainsi. Ce faisant, tu passes à côté d'une opération indispensable, celle que karamis t'a indiquée, cependant en n'insistant pas suffisamment :

kamaris a écrit :

sauvegarder … l'entête de ton conteneur chiffré

La moindre altération de cette entête rendrait ta partition /dev/sda5 complètement illisible, ce que tu as failli faire en voulant supprimer ce qui était alors ta seule clé de chiffrement.

Je dis que tu es tombé dans le panneau car chiffrer une partition ne doit pas être fait à la légère. Il faut avoir de bonnes raisons pour le faire, car sans ces bonnes raisons, tu compliques inutilement ton système, et d'une certaine manière, tu le fragilises.

En général, on chiffre des informations confidentielles, et il en est bien peu dans la racine, sauf à laisser /home dans la racine, ce que l'installateur a fait pour toi, et ce n'est pas un choix très judicieux. Mais tu n'y es pour rien. Les responsables sont ceux qui ont décidé de laisser tout un chacun chiffrer son «disque» sans avoir au préalable pris connaissance des informations nécessaires. Il est de bon ton, lorsque l'on veut protéger ses informations des regards indiscrets en les chiffrant, d'analyser ses besoins et d'étudier les outils de chiffrement. On peut alors organiser son système en conséquence, et se lancer dans l'opération.

Mais, rassure-toi. Rien de catastrophique ne t'arrivera si tu prends soin de suivre les conseils de kamaris sur la sécurité et de moko138 sur LVM. Te voilà avec du pain sur la planche.

Je finirai en disant que je suis parfaitement d'accord avec ce que moko138 a écrit au #9 et que j'ai trouvé l'intervention de kamaris au point #3 quelque peu prématurée car il ne savait alors absolument pas de quoi il ressortait, même si la probabilité que la situation dans laquelle tu te trouvais avait de fortes chances de découler de cette maudite option de chiffrement proposée par l'installateur.

Arbiel

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 14/05/2019, à 01:16

[Résolu] Comment changer sa clé de chiffrement du disque dur

#2 Le 14/05/2019, à 08:27

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#3 Le 14/05/2019, à 08:50

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#4 Le 14/05/2019, à 18:27

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#5 Le 14/05/2019, à 18:45

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#6 Le 14/05/2019, à 18:50

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#7 Le 14/05/2019, à 18:51

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#8 Le 14/05/2019, à 18:54

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#9 Le 14/05/2019, à 19:00

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#10 Le 14/05/2019, à 19:01

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#11 Le 14/05/2019, à 19:19

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#12 Le 14/05/2019, à 19:39

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#13 Le 14/05/2019, à 19:47

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#14 Le 14/05/2019, à 19:48

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#15 Le 14/05/2019, à 20:17

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

#16 Le 14/05/2019, à 21:37

Re : [Résolu] Comment changer sa clé de chiffrement du disque dur

Pied de page des forums