background preloader

Chiffrement LUKS

Facebook Twitter

Tutoriel vidéo expliquant comment chiffrer une partition avec LUKS. Créer un coffre-fort numérique avec cryptsetup. Passage de LUKS1 à LUKS2. Bon alors, les crypto-nerds, vous êtes plus flemmard que moi ? Cryptsetup 2 est sorti Euh, bon, je met vite fait ce que j'ai vu : Nouveau format LUKS2, que l'on peut (la plupart du temps) mettre à jour depuis LUKS1LUKS1 sera supporté pour toujoursLUKS2 sait faire de l'intégrité. Attention, c'est encore expérimentalSupport de chiffrement de mot passe plus résistant à la force brute (genre coûteux en mémoire) avec PBKDF et Argon2Options de montage persistantes dans les en-têtes. Bonus Y a du JSON dedans. Voilà, c'est très résumé. Intégration avec TPM2 et FIDO2. Sommaire Contexte À mon taf actuel, on nous demande que les disques durs de données de nos serveurs soient chiffrés. L'objectif est avant tout de se protéger d'un vol d'un disque par un technicien de l'opérateur qui nous héberge, ou d'un mauvais effaçage après recyclage du disque en cas d'incident.

Mais du coup, comment conjuguer ça avec la volonté d'avoir un serveur capable de redémarrer "seul" en cas d'incident ? Afin d'avoir une solution où la passphrase ne se retrouve pas dans un fichier en clair sur le serveur ou dans l'initramfs, le plus simple reste d'utiliser un élément qui reste quelque peu honni par ses origines : le TPM. Le TPM est une puce de chiffrement, similaire à une carte à puce, intégrée sur la carte mère des machines (et requis pour Windows), qui permettra de déchiffrer des secrets si l'état d'intégrité de la machine n'est pas altéré.

Utilisation Du coup, étape 1 : activer Secure Boot. . # dmesg | grep secureboot [ 0.000000] secureboot: Secure boot enabled. Vulnérabilités récentes. En 2024, pas moins de 768 vulnérabilités associées à des références CVE ont été exploitées pour la première fois, marquant une augmentation de 20% par rapport à l'année précédente.

Faisons le point sur ce nouveau rapport publié par VulnCheck. Une exploitation des vulnérabilités sur le long terme Ce nouveau rapport signé VulnCheck met en avant les tendances en matière d'exploitation des vulnérabilités. Il s'avère que près d'un quart des vulnérabilités exploitées en 2024 (23,6 %) l'ont été dès la publication de leur CVE, voire même avant en tant que zero-day. Cela illustre la rapidité avec laquelle les cybercriminels opèrent. Néanmoins, il convient de préciser que ce chiffre est en légère baisse par rapport à 2023 (26,8 %). "Malgré le battage médiatique autour de l'exploitation "zero-day", ces résultats indiquent que l'exploitation peut se produire à n'importe quel moment du cycle de vie d'une vulnérabilité.

", précise le rapport de VulnCheck. Source. Intégration dans les distributions récentes. Page mise à jour le 30 avril 2024 LUKS, pour Linux Unified Key Setup, est le standard GNU/Linux pour le chiffrement des disques. Une partition chiffrée est chiffrée via une clé, clé qui est générée lors de la création de la partition chiffrée et qui est protégée par un mot de passe (appelée phrase secrète). LUKS a la particularité de supporter de multiples clés pour un même volume chiffré (ce qui permet de partager un accès sans divulger sa propre clé et/ou son propre mot de passe, de créer une clé/mot de passe de secours, …). Une des utilisations possibles (que je conseille et détaille par la suite) et de laisser LUKS stocker les clés et donc de n’utiliser que le mot de passe lié à une clé pour déverrouiller une partition chiffrée.

La plupart des commandes suivantes sont a exécuter avec les droits root. Pour connaitre les paramètres de chiffrement compilés par défaut sur votre système (dont le type et la taille de la clé) : Repérer le disque (et ses actuelles partitions) Exemple : Attention ! LUKS. Un article de Wikipédia, l'encyclopédie libre. LUKS, pour Linux Unified Key Setup, est le standard associé au noyau Linux pour le chiffrement de disque créé par Clemens Fruhwirth.

LUKS permet de chiffrer l'intégralité d'un disque de telle sorte que celui-ci soit utilisable sur d'autres plates-formes et distributions de Linux (voire d'autres systèmes d'exploitation). Il supporte des mots de passe multiples, afin que plusieurs utilisateurs soient en mesure de déchiffrer le même volume sans partager leur mot de passe. Sous Linux, l'implémentation de référence de LUKS est celle de cryptsetup, utilisant dm-crypt pour le chiffrement des volumes. Il existe un port spécifique pour le système d'exploitation mobile Android. Sous Windows, le logiciel DoxBox, issu de FreeOTFE, implémente le standard LUKS. Foire aux questions sur le chiffrement LUKS.

Chapitre 19. Chiffrement des blocs de données à l'aide de LUKS | Red Hat Product Documentation. Créer et utiliser une partition chiffrée avec LUKS sous Linux | Valérian REITHINGER. Linux : chiffrer une clé USB avec LUKS et cryptsetup. I. Présentation Chiffrer une clé USB est une bonne pratique pour protéger vos données sensibles. Dans ce tutoriel, nous allons voir comment utiliser LUKS (Linux Unified Key Setup) avec cryptsetup pour chiffrer une clé USB sur un système Linux. Cette méthode vous permettra de sécuriser vos données, notamment en cas de perte ou de vol de votre clé USB. LUKS (Linux Unified Key Setup) est une norme de chiffrement de disque utilisée principalement sur les systèmes Linux.

Il permet de sécuriser les données en chiffrant les partitions de disque avec des algorithmes robustes. Sa prise en charge sur les systèmes Linux facilite la gestion des clés de chiffrement et des mots de passe, offrant une interface standardisée et une compatibilité avec divers outils de gestion. Pour suivre ce tutoriel, vous aurez besoin : d'une clé USB ; d'un système Linux avec "cryptsetup" installé (souvent disponible par défaut, sinon nous allons voir comment l'obtenir).

Version originale de l'article : 7 octobre 2015. II. Cryptsetup [Wiki ubuntu-fr] Cette page contient des références à Ubuntu 6.04 Dapper Drake. Son contenu est par conséquent probablement très obsolète et les bonnes pratiques en matière de cryptographie ont certainement changé depuis. Ce paquet est automatiquement installé lors d’une installation expérimentale du logiciel ZFS chiffré en version 24.04 (noble) Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur.

En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier de votre système. Installer cryptsetup Si nécessaire charger les modules « aes-i586 », « dm_mod » et « dm_crypt ». Chiffrer une partition Créer un conteneur pour vos données : une partition ou un fichier contenant votre système de fichier. Les données sont chiffrées à la volée, tout est transparent pour l'utilisateur, mais cependant il y a un coût machine pour le chiffrement. . #! 1. Chiffrer son système avec Luks — Documentation Fedora-Fr. Pourquoi chiffrer ? A l'heure du nomadisme informatique, vous êtes de plus en plus nombreux à posséder un PC portable. En cas de perte ou de vol de ce dernier, toutes vos données sont à la merci du nouveau possesseur de votre ordinateur.

En effet, même en ayant mis le meilleur mot de passe à votre session, il suffit de démarrer votre PC sur un Live CD/USB pour avoir accès à toutes vos données. C'est là qu'intervient le chiffrage. En effet, même avec un Live CD/USB, il est impossible de lire une partition chiffrée sans le mot de passe.

Vous n'avez plus votre PC, mais vous pouvez considérer que vos données ne sont pas compromises. Concrètement, qu'est ce que ça change dans mon utilisation ? La seule différence sera que lors du démarrage de votre ordinateur, il vous sera demandé votre mot de passe Luks pour accéder à vos disques chiffrés. Chiffrer son système lors de l'installation de Fedora Depuis Fedora 9, il est possible de chiffrer son système simplement lors de l'installation. Pour rappel :