Chiffrage partitions

Mise à jour : Debian 10.8 Buster

• Le chiffrage d'une partition a pour effet de rendre illisible son contenu pour celui qui ne possède pas la clé de chiffrage. Une fois la partition "ouverte" avec la clé, son contenu est utilisable et lisible, comme celui de n'importe quelle partition. Une application typique est le chiffrage d'un support amovible (clé amovible ou disque dur) contenant une sauvegarde ou des fichiers sensibles.La méthode de chiffrage utilisée ici est LUKS (Linux Unified Key Setup) qui repose sur le module dm-crypt.
  

• La gestion des phrases de passe et des en-têtes Luks est décrite dans Gestion des phrases de passe et en-têtes Luks
  
• L'automatisation de l'ouverture des partitions chiffrées est décrite dans Crypttab
• L'utilisation d'un gestionnaire graphique est décrite dans Chiffrage partitions avec interface graphique

1 - Installation

• Installer le paquet cryptsetup qui fournit les commandes de chiffrage de la partition
  

$ sudo aptitude install cryptsetup

2 - Phrase de passe et fichier de phrase de passe

• Le chiffrage et le déverrouillage des partitions repose sur l'utilisation de phrases de passe, celles-ci peuvent se présenter
  
• sous la forme de phrase de passe
• ou de fichier de phrase de passe

2.1 - Phrases de passe

• Les phrases de passe se présentent sous la forme d'une suite de caractères ascii tapées directement dans le terminal, par exemple "Ceci est 1 {phrase de passe*!"

• Attention dans le choix du mot de passe, s'il est saisi sur un clavier QWERTY (par exemple déverrouillage de la partition boot par grub)
  

• Si le mot de passe comprend des caractères composés différemment sur le clavier local (AZERTY) et sur le clavier QWERTY, il faudra en tenir compte.
  

• Les lettres du clavier français qui n'existent pas sur le clavier qwerty (lettres avec accent, ç, ...) ne pourront pas être produites

2.2 - Fichiers de phrase de passe

• Les fichiers de phrase de passe se présentent sous la forme d'un fichier contenant une suite d'octets aléatoires, leurs noms et extensions sont libres
  
• Exemple de fichier de phrases de passe contenant 2MiB octets

$ dd if=/dev/urandom bs=512 count=4 of=/etc/keys/file.key

• Pour limiter l'accès au fichier, il est recommandé de restreindre les droits à son propriétaire

$ sudo chown 600 /etc/keys/file.key

• Les présentations et les syntaxes de prise en compte d'un phrase de passe et d'un fichier de phrase de passe sont différentes, mais une phrase de passe et un fichier de phrase de passe sont équivalents au niveau fonctionnel, seul le contenu (la suite d'octets) les distingue. Pour convertir une phrase de passe en fichier de phrase de passe, utiliser

$ echo -n "Ceci est 1 {phrase de passe*!" |sudo tee /etc/keys/file.key

Noter l’utilisation de l'option -n : "do not output the trailing newline" qui est nécessaire pour que la phrase de passe entrée depuis le terminal et le fichier correspondant soient équivalents

3 - Chiffrage partition

• Dans ce qui suit, la partition à chiffrer est supposée attachée en /dev/sdb1
  

• Il semble nécessaire qu'elle soit de type Linux
  

3.1 - Initialisation

Il est préconisé d'initialiser la partition avec des données aléatoires pour rendre plus difficile la localisation et le déchiffrage des informations.

$ sudo dd if=/dev/urandom of=/dev/sdb1 status=progres conv=fsync

$ sudo dd if=/dev/random of=/dev/sdb1 status=progress conv=fsync

3.2 - Chiffrage (création du conteneur)

• Le chiffrage crée un conteneur qui "dissimulera" le contenu de la partition.
  

• Pour chiffrer la partition
• en interactif, à partir d'une phrase de passe
  

$ sudo cryptsetup luksFormat  -s 512 -h sha512 /dev/sdb1

WARNING!
========
Cette action écrasera définitivement les données sur /dev/sdb1.

Are you sure? (Type uppercase yes): YES
Saisissez la phrase secrète : 
Vérifiez la phrase secrète : 

Réponse YES en majuscule, puis saisir et retaper la phrase de passe

• à partir d'un fichier de phrase de passe
  

$ sudo cryptsetup luksFormat /dev/sdb1 /etc/keys/file.key

WARNING!
========
Cette action écrasera définitivement les données sur /dev/sdb2.

Are you sure? (Type uppercase yes): YES

• à partir d'un fichier de phrase de passe, en mode batch (sans demande de confirmation), utiliser l'option --batch-mode (ou -q)

$ sudo cryptsetup luksFormat -q /dev/sdb1 /etc/keys/file.key

• La partition apparaît désormais comme un système de fichier "crypto_LUKS"

$ lsblk -f /dev/sdb
NAME   FSTYPE      LABEL UUID                                 MOUNTPOINT
sdb                                                           
├─sdb1 crypto_LUKS            e328780d-deb0-46d3-8ca4-c30eb441e14f

3.3 - Formatage luks de type 1 et 2

• A noter que depuis Buster (version 2.1.0 de cryptsetup), le formatage luks par défaut est de type 2, alors qu'il était précédemment de type 1. Ce nouveau type n'est pas (encore?) pris en charge par grub et ne doit donc pas être utilisé pour une partition de boot ou contenant le répertoire de boot.

• Pour forcer un formatage de type 1 utiliser l'option --type luks1

$ sudo cryptsetup luksFormat --type luks1 -s 512 -h sha512 /dev/sdb1

• Pour vérifier le type de formatage

$ sudo cryptsetup luksDump /dev/sdb1 |grep Version
Version:               1

• Pour changer le type de formatage, par exemple de luks2 en luks1 : le container étant fermé et démonté
  

$ sudo cryptsetup convert /dev/sdb1 --type luks1

Il est prudent de faire une sauvegarde de l'entête avant la conversion!!!

4 - Utilisation

4.1 - Ouverture du container

• Ouvrir le conteneur et fournir un nom arbitraire qui permettra d'identifier la partition "dissimulée". Dans l'exemple ci-dessous, le nom est "secret".
  
• En utilisant une phrase de passe : la phrase de chiffrage utilisée pour la création du container sera demandée.
  

$ sudo cryptsetup open /dev/sdb1 secret

• En fournissant un fichier de phrase de passe

$ sudo cryptsetup open /dev/sdb1 secret --key-file=/etc/keys/file.key

• La partition "dissimulée" apparaît désormais dans la partition conteneur sdb1
  

$ lsblk -f /dev/sdb
NAME        FSTYPE      LABEL UUID                                 MOUNTPOINT
sdb                                                                
└─sdb1      crypto_LUKS       e328780d-deb0-46d3-8ca4-c30eb441e14f 
  └─secret                           

• Son point d'attache est le répertoire /dev/mapper

$ ls -l /dev/mapper
total 0
lrwxrwxrwx 1 root root       7 mai   25 01:02 secret -> ../dm-0
crw------- 1 root root 10, 236 mai   25 00:47 control

Il est désormais possible de manipuler (formater, monter, ...) la partition "dissimulée" comme une partition "habituelle", en utilisant comme identifiant /dev/mapper/contenu à la place de /dev/sdb1

4.2 - Vérification de l'état du container

• L'état du conteneur peut-être vérifié avec cryptsetup status. Lorsque le conteneur est ouvert, la première ligne indique "active"
  

$ sudo cryptsetup status secret
/dev/mapper/contenu is active.
  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sdb1
  offset:  4096 sectors
  size:    3899520 sectors
  mode:    read/write

4.3 - Mise en place d'un système de fichier

• Le container étant ouvert, pour formater la partition dissimulée, par exemple en ext4 et avec l'étiquette "BU" :
  

$ sudo mkfs.ext4 -L BU /dev/mapper/secret

• lsblk et blkid permettent de vérifier que le formatage a bien été pris en compte

$ lsblk -f /dev/sdb
NAME        FSTYPE      LABEL UUID                                 MOUNTPOINT
sdb                                                                
└─sdb1      crypto_LUKS       e328780d-deb0-46d3-8ca4-c30eb441e14f 
  └─secret  ext4        BU    60552e12-9a34-4b6d-9b2b-e09c3fddeec2 

$ sudo blkid 
.....
/dev/sdb1: UUID="e328780d-deb0-46d3-8ca4-c30eb441e14f" TYPE="crypto_LUKS" PARTUUID="97876783-01"
/dev/mapper/secret: LABEL="BU" UUID="60552e12-9a34-4b6d-9b2b-e09c3fddeec2" TYPE="ext4"

4.4 - Montage

Le container peut désormais être monté en utilisant comme un périphérique bloc en utilisant /dev/mapper/contenu

• Monter la partition, par exemple en /mnt

$ sudo mount /dev/mapper/secret /mnt

4.5 - Clôture

• Avant de fermer le conteneur, démonter la partition

$ sudo umount /mnt

• Puis fermer le conteneur

$ sudo cryptsetup close secret

L'état du conteneur passe à "inactive"

$ sudo cryptsetup status contenu
/dev/mapper/secret is inactive

• Il est possible d'éjecter la clé

$ sudo eject /dev/sdb