Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 22/04/2012, à 14:33

vajpaille

[Résolut]Chiffrement file system

Bonjour,

J’aimerais votre aide sur un de mes projets. J’ai déjà réalisé celui-ci il y a deux ans mais j’aimerais l’améliorer.

Je souhaite avoir un portable full chiffré mais avec des paramètres un peu différent.
La première fois j’avais utilisé la version alternate LTS et monter en LVM chiffrer mes montages.
J’aimerais cette fois-ci changer pour quelque chose dans ce style :

LVM :
FULL  : Chiffré en AES 256/SHA256
LGHT : Chiffré en AES 128/SHA128
NONE : Non chiffré.
Ensuite monté comme suit :
/home, /var/log, /DATAS, /root, monté dans FULL
/, /var, /mnt, /media, /tmp, /usr, /swap, /opt, /dev, /bin, /DATAS/DOSSIER monté dans LIGHT
/boot, /home/user/Video, /home/user/Musique, /home/user/Images monté sur dans NONE

Ce que je cherche se sont des avis, des retours d’expériences, des conseils, et savoir si vous avez des informations me permettant de réalisé ce type de configuration du genre tuto ?
Une seule passphrase demandé au démarrage de l'ordinateur (clé maitre je crois).

J’ai lu qu’il était possible d’utiliser un live CD/DVD pour préparer ou alors faire avec le DVD Alternate comme j’avais procédé auparavant pendant l'installation.

Je pense partir sur la version 12.04, mais faire les essais sur la 11.10, si ça a une importance je souhaite le mettre en 64 bits.

Merci par avance.


EDIT :
Et questions subsidiaire : Quand est-il de la gestion ACPI.
Je me rappel avoir rencontré quelques soucis parfois lors de la fermeture du capot.
J'ai fini par retirer la gestion d'alimentation sur mon portable chiffré pour évité la sortie de veille prolongé.

En l’occurrence la fermeture du capot serait plus le midi ou lors de réunion mais bien évidement pas pour le transport sinon le chiffrement possède une faille de taille si l'on considère le vol ciblé... (ce qui sera le cas si la généralisation des postes chiffrés pour les "VIP"(...))

Dernière modification par vajpaille (Le 02/05/2012, à 14:50)


GNU/Linux : Ubuntu, CentOS, Red Hat
BSD : OpenBSD, GhostBSD, PC-BSD

Hors ligne

#2 Le 30/04/2012, à 16:37

vajpaille

Re : [Résolut]Chiffrement file system

Bonjour,

Petit up.

J'ai profité de la sortie de la 12.04 alternate de créer plusieurs LV dont ceux souhaités chiffrés. mais voila un MDP par LV chiffré c'est un peu embêtant...
Je ne peux pas, avec le CD d'install d'ubuntu je ne peux pas découper mes LV pour y mettre mes points de montages.

Avez-vous une idée pour effectuer ceci :
3 LV
- 1 non chiffré
- 1 chiffré "faiblement"
- 1 chiffré "fortement"

Et découper chacun d'eux en partitions puis indiquer mes point de montage lors de l'install ?
Et donc seulement 2 passwords pour déchiffré mon system.

Have fun et merci.

Dernière modification par vajpaille (Le 30/04/2012, à 16:38)


GNU/Linux : Ubuntu, CentOS, Red Hat
BSD : OpenBSD, GhostBSD, PC-BSD

Hors ligne

#3 Le 02/05/2012, à 14:50

vajpaille

Re : [Résolut]Chiffrement file system

Bonjour,

Dans un premier temps désolé pour le triple posts, mais ceci est une mise à jour faisant suite à l'idée d'un ami.

J'ai trouvé la solution pour n'avoir que deux mots de passe qui seront pour chacun de mes deux niveaux de chiffrements.

Pour se faire j'ai simplement créé trois partitions que j'utilise pour faire des PV j'en chiffre deux avec les paramètres qui leurs sont propres.

Mes VG avec un nom bien explicite puis ensuite je crée mes LV en fonction de mes points de montages.


Et  voilà je ne suis pas sûr d'avoir été clair mais un tuto suivra un jour ou l'autre.

Bonne journée.


GNU/Linux : Ubuntu, CentOS, Red Hat
BSD : OpenBSD, GhostBSD, PC-BSD

Hors ligne

#4 Le 10/05/2012, à 18:29

lildadou

Re : [Résolut]Chiffrement file system

Hello, perso j'ai 4 partitions chiffrées dont 3 qui servent au swap. Moi non plus je n'avais pas envie d'avoir à saisir 4 mots de passe, j'ai donc généré 3 clefs pour les partoches de swap que je stocke sur la 4ème partition chiffrée (qui contient mon FS sur LVM,  je chiffre pas les LV mais directement les Physical Unit).

Dans mon crypttab, ma première entrée me permet de déverrouiller la 4ème partition, les 3 autres entrées indique le fichiers où se situe la clef. Lien vers un tuto plus détaillé

Résultat : 1 mot de passe, 4 conteneurs LUKS déverrouillés et pas de clefs qui trainent en clair.

Pour finir, le choix de la fonction de hachage n'a pas d'impact significatif sur la robustesse cryptographique:

arno.wagner,Commiter pour cryptsetup, mail perso a écrit :

[...]

As to the hash-spec, that is what is used in the crypto-part,
e.g. if you have essiv, the hash-spec in the cipher
(e.g. sha256 in aes-cbc-essiv:sha256) is used in essiv.
Password hasing is separate, default seems to be ripemend160
for dm-crypt and sha1 for LUKS and can be changed with 
--hash=STRING.

However the hashes are not crtitical in dm-crypt/LUKS.
All the published attacks I am aware of, do not really apply.
For example, the possibility of creating collisions is a
huge problem for digital signatures, especially in certificates,
but does not matter at all for dm-crypt or LUKS.

Par contre, le mode opératoire et le vecteur d'initialisation sont très importants! Je te conseille aes-xts-plain64 pensé pour le chiffrement de disque et moins couteux que l'aes-cbc-essiv.

Hors ligne

#5 Le 10/05/2012, à 22:04

vajpaille

Re : [Résolut]Chiffrement file system

Salut,

merci pour cette réponse très intéressante, effectivement taper 2 passpharse ça passe mais je confonds les deux de façon régulière...

je vais m'intéresser à la solution que tu propose et voir ce que je peux faire avec ce tuto.

Merci encore wink.

Dernière modification par vajpaille (Le 10/05/2012, à 22:04)


GNU/Linux : Ubuntu, CentOS, Red Hat
BSD : OpenBSD, GhostBSD, PC-BSD

Hors ligne