Pages : 1
#1 Le 24/07/2023, à 21:42
- yann2000
ZFS et chiffrement
Bonsoir à tous,
Je me suis réinstallé Ubuntu 22.04. J'ai choisi la partition système en ZFS avec chiffrement LUKS.
Une fois installé, je ne suis pas sûr que ma partition sois chiffrée.
Voici ce que Disque me dit:
Unknown (zfs_member 5000) — Non monté
/dev/nvme0n1p4
Solaris Root
Il y a t'il un moyen de vérifier le chiffrement svp ?
Merci d'avance!
Hors ligne
#2 Le 24/07/2023, à 23:09
- geole
Re : ZFS et chiffrement
Bonsoir.
Je ne comprends ton problème.
A) Soit tu as installé le logiciel ubuntu dans une partition ZFS chiffrée.
et dans ce cas, la partition est montée si tu as démarré ubuntu et au démarrage, il t'as demandé la clé de déchiffrement.
B) Soit dans un ubuntu standard, tu as fais une partition zfs chiffrée et tu verras bien lorsque tu la monteras si la clé de chiffrement est demandée.
Nota. Je ne sais pas si disque sait monter une telle partition. Il te suffit d'essayer, tu verras bien si la phrase de chiffrement est demandée,
Dernière modification par geole (Le 24/07/2023, à 23:12)
Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit, utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248
Hors ligne
#3 Le 25/07/2023, à 07:52
- yann2000
Re : ZFS et chiffrement
J'ai fait cette commande;
zfs get keylocation,encryption,keyformat rpool
NAME PROPERTY VALUE SOURCE
rpool keylocation file:///run/keystore/rpool/system.key local
rpool encryption aes-256-gcm -
rpool keyformat raw
Et oui, je rentre un mot de passe au démarrage du PC.
Par contre, j'aimerais savoir si le hash est de l'argon2id. Sur une partition luks, c'est facile de savoir
mais sur une partion zfs, comment on fait?
Dernière modification par yann2000 (Le 25/07/2023, à 07:53)
Hors ligne
#4 Le 25/07/2023, à 09:05
- Nuliel
Re : ZFS et chiffrement
Bonjour,
On parle de conteneur LUKS, pas de partition. Si tu fais
lsblk
je pense que tu verras que ton conteneur LUKS contient ta partition ZFS. Il y a peut-être du chiffrement dans la partition ZFS, mais je ne sais pas comment cela fonctionne.
Supposons que ton conteneur LUKS s'appelle /dev/sdaX, alors tu peux faire
sudo cryptsetup luksDump /dev/sdaX
pour savoir si c'est du argon2i qui est utilisé ou du pbkdf2 (ne donne pas le retour de cette dernière commande).
Edit: en relisant, je commence à douter que tu aies LUKS sur ton disque.
Dernière modification par Nuliel (Le 25/07/2023, à 09:11)
Hors ligne
#5 Le 25/07/2023, à 10:21
- yann2000
Re : ZFS et chiffrement
Merci mais ca me dit que le disque n'existe pas.
Je pense que je vais refaire l'installation avec ext4. J'aurais ainsi l'argon2id.
Hors ligne
#6 Le 25/07/2023, à 10:23
- Nuliel
Re : ZFS et chiffrement
Si tu as laissé /dev/sdaX, oui c'est normal...
Tu peux donner le retour de
lsblk
?
Par curiosité, pourquoi tiens tu tellement à argon2i?
Dernière modification par Nuliel (Le 25/07/2023, à 10:23)
Hors ligne
#7 Le 25/07/2023, à 10:27
- yann2000
Re : ZFS et chiffrement
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
loop0 7:0 0 4K 1 loop /snap/bare/5
loop1 7:1 0 2,5M 1 loop /snap/colorwall/16
loop2 7:2 0 118,2M 1 loop /snap/core/15511
loop3 7:3 0 55,7M 1 loop /snap/core18/2785
loop4 7:4 0 63,4M 1 loop /snap/core20/1974
loop5 7:5 0 73,9M 1 loop /snap/core22/817
loop6 7:6 0 164,8M 1 loop /snap/gnome-3-28-1804/198
loop7 7:7 0 349,7M 1 loop /snap/gnome-3-38-2004/143
loop8 7:8 0 485,5M 1 loop /snap/gnome-42-2204/120
loop9 7:9 0 91,7M 1 loop /snap/gtk-common-themes/1535
loop10 7:10 0 78,4M 1 loop /snap/office365webdesktop/5
loop11 7:11 0 80,8M 1 loop /snap/plexmediaserver/403
loop12 7:12 0 217,7M 1 loop /snap/qt5-core22/12
loop13 7:13 0 146,5M 1 loop /snap/qbittorrent-arnatious/86
loop14 7:14 0 301,4M 1 loop /snap/qt5-core20/15
loop15 7:15 0 12,3M 1 loop /snap/snap-store/959
loop16 7:16 0 53,3M 1 loop /snap/snapd/19457
loop17 7:17 0 1,8M 1 loop /snap/torrhunt/19
loop18 7:18 0 864K 1 loop /snap/zerotier/192
sda 8:0 0 3,6T 0 disk
└─sda1 8:1 0 3,6T 0 part
└─bitlk-2049 253:3 0 3,6T 0 crypt /media/yann/Plex_Windows
sdb 8:16 0 489G 0 disk
└─sdb1 8:17 0 489G 0 part
sdc 8:32 0 931,5G 0 disk
├─sdc1 8:33 0 1K 0 part
└─sdc5 8:37 0 931,5G 0 part /media/yann/HD EXTERNE
sdd 8:48 0 3,6T 0 disk
└─sdd1 8:49 0 3,6T 0 part
└─luks-01144b12-2b13-4e72-99e9-fb3c4dd0f07c 253:2 0 3,6T 0 crypt /mnt/Plex_Linux
zd0 230:0 0 500M 0 disk
└─keystore-rpool 253:0 0 484M 0 crypt /run/keystore/rpool
nvme0n1 259:0 0 931,5G 0 disk
├─nvme0n1p1 259:1 0 512M 0 part /boot/grub
│ /boot/efi
├─nvme0n1p2 259:2 0 2G 0 part
│ └─cryptoswap 253:1 0 2G 0 crypt [SWAP]
├─nvme0n1p3 259:3 0 2G 0 part
└─nvme0n1p4 259:4 0 927G 0 part
Hors ligne
#8 Le 25/07/2023, à 10:32
- Nuliel
Re : ZFS et chiffrement
J'ai pas l'habitude de voir ce genre de structure.
Effectivement, il y a du LUKS mais pas sur le disque principal j'ai l'impression. Donc tu utilises le chiffrement de ZFS aussi. Bref tu utilises les deux chiffrements, mais de manière indépendante.
Par contre ça me surprend d'avoir /boot/efi et /boot/grub dans la même partition
À noter qu'il n'y a pas d'argon2id dans LUKS par défaut mais argon2i, mais ça peut se changer
Dernière modification par Nuliel (Le 25/07/2023, à 10:34)
Hors ligne
#9 Le 25/07/2023, à 10:34
- yann2000
Re : ZFS et chiffrement
Apparemment, c'est du PBKDF2 pour le zfs.
Je vais refaire l'installation.
Hors ligne
#10 Le 25/07/2023, à 10:36
- Nuliel
Re : ZFS et chiffrement
Ah, pas incroyable effectivement.
Sur LUKS, je sais qu'on peut changer le KDF sans problème (la clé de déchiffrement est indépendante de la passphrase dans le sens où la clé est générée aléatoirement), j'imagine que sur ZFS c'est pareil.
Donc possiblement pas besoin de réinstaller
Edit: pour expliquer, les KDF (pour key derivation function) sont des fonctions qui prennent par exemple un mot de passe et vont dériver une clé. Les KDF sont généralement lents pour ralentir un potentiel attaquant voulant tester plein de mots de passe.
PBKDF2 en gros c'est une opération répétée beaucoup de fois (comme HMAC-SHA256).
Le problème de PBKDF2, c'est qu'il est possible de tester plusieurs mots de passe en même temps (il suffit de lancer les PBKDF2 en parallèle), et un GPU est adapté pour ça, contrairement à argon2i (qu'on appelle fonction memory-hard) qui consomme beaucoup de RAM aussi, ce qui limite bien l'utilisation de GPU et réduit drastiquement le nombre de tentatives de mot de passe par seconde.
Dernière modification par Nuliel (Le 25/07/2023, à 10:46)
Hors ligne
#11 Le 25/07/2023, à 10:59
- yann2000
Re : ZFS et chiffrement
C'est pour ça que je veux argon2id.
Merci pour ton aide.
Hors ligne
#12 Le 25/07/2023, à 12:00
- geole
Re : ZFS et chiffrement
J'ai fait cette commande
rpool encryption aes-256-gcm -
Et oui, je rentre un mot de passe au démarrage du PC.
Par contre, j'aimerais savoir si le hash est de l'argon2id. Sur une partition luks, c'est facile de savoir
mais sur une partion zfs, comment on fait?
Je n'ai compris avec l'explication anglaise de cette technique.
Normalement le logiciel en version 22.04 s'installe dans une structure LUKS.
ATTENTION: Il ne me semble absolument pas garanti que ce type d'installation soit encore possible avec la future version 24.04 car ce n'est plus possible en 23.04 et 23.10. Cependant, mettre une partition de données ZFS devrait continuer à l'être.
lsblk -fe7 | grep MesDonneesPersonnelles
└─sdb6 zfs_member 5000 MesDonneesPersonnelles 16115389389312419455
└─sdc11 zfs_member 5000 MesDonneesPersonnelles 16115389389312419455
df -htzfs
Sys. de fichiers Taille Utilisé Dispo Uti% Monté sur
MesDonneesPersonnelles 148G 51G 97G 35% /home/a/data
De mémoire, le disque que tu as utilisé pour installer le logiciel serait
nvme0n1 259:0 0 931,5G 0 disk
├─nvme0n1p1 259:1 0 512M 0 part /boot/grub
│ /boot/efi
├─nvme0n1p2 259:2 0 2G 0 part
│ └─cryptoswap 253:1 0 2G 0 crypt [SWAP]
├─nvme0n1p3 259:3 0 2G 0 part
└─nvme0n1p4 259:4 0 927G 0 part
'
et le logiciel serait dans nvme0n1p4. Mais j'ai l'impression que tu n'as pas booté avec l'instance ZFS.
Dernière modification par geole (Le 25/07/2023, à 12:08)
Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit, utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248
Hors ligne
#13 Le 25/07/2023, à 12:08
- Nuliel
Re : ZFS et chiffrement
@geole: le lien que tu donnes parle de IPsec avec GCM, mais ici il n'est pas question de IPsec.
En gros, AES c'est le chiffrement. Le truc c'est que AES ne chiffre que des blocs de 128 bits, donc il faut ajouter un mode pour pouvoir chiffrer plus d'un bloc (et du padding pour avoir un multiple de 128 bits accessoirement). Ici, le mode est GCM (en gros un mode CTR avec un morceau supplémentaire). AES-GCM est recommandé vu qu'il permet de faire ce qu'on appelle du chiffrement authentifié.
Le problème que souligne yann2000, ce n'est pas le chiffrement mais la méthode pour retrouver la clé de déchiffrement à partir du mot de passe (ici PBKDF2)
Hors ligne
#14 Le 25/07/2023, à 12:27
- geole
Re : ZFS et chiffrement
Le problème que souligne yann2000, ce n'est pas le chiffrement mais la méthode pour retrouver la clé de déchiffrement à partir du mot de passe (ici PBKDF2)
Je ne suis pas certain qu'il y ait un lien de la clé de chiffrement ZFS avec le mot de passe.. L'enveloppe est chiffrées luks donc en lien avec le mot de passe. Mais à l'intérieur, il y a très probablement un autre chiffrement qui ne dépend pas du mot de passe. Car si on chiffre une partition ZFS de façon normale, elle n'est pas LUKS d'après mon expérience et l'application LUKS n'a pas besoin d'être installée pour y accèder.
sudo zpool import -a -f -d /dev/sdc11 -d /dev/sdb6
sudo zfs mount -vl MesDonneesPersonnelles
Enter passphrase for 'MesDonneesPersonnelles':
a@a:~$ sudo cryptsetup luksDump /dev/sdc11
sudo: cryptsetup : commande introuvable.
....... Installation de luks
sudo cryptsetup luksDump /dev/sdb6
/dev/sdb6 n'est pas un périphérique LUKS valide.
sudo cryptsetup luksDump MesDonneesPersonnelles
Le périphérique MesDonneesPersonnelles n'existe pas ou l'accès y est interdit.
sudo cryptsetup luksDump /home/a/data
Le périphérique /home/a/data n'est pas compatible.
Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit, utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248
Hors ligne
#15 Le 25/07/2023, à 12:37
- Nuliel
Re : ZFS et chiffrement
Sur LUKS la clé est générée aléatoirement et est indépendant du mot de passe, j'imagine que c'est la même chose sur ZFS. Au démarrage, tu tapes ton mot de passe, il est dérivé avec un algorithme comme PBKDF2 ou argon2i ce qui permet de déchiffrer la clé de déchiffrement du disque, et ainsi pouvoir déchiffrer et finir le démarrage.
LUKS et chiffrement ZFS sont totalement indépendants. Là où ext4 n'a pas de chiffrement et a besoin d'une couche supplémentaire (LUKS) pour avoir du chiffrement, ZFS n'en a pas besoin car intègre ce qu'il faut par défaut.
Hors ligne
Pages : 1