5. Configurer le périphérique de boucle
Précédent   Suivant

5. Configurer le périphérique de boucle

Cryptoloop peut aussi bien être utilisé sur un fichier que sur un système de fichiers entier. La suite décrit la façon de le configurer sur une partition particulière. cette partition peut être n'importe quelle partition que vous désirez, l'exemple utilisé dans la suite est /dev/sda1. J'ai choisit d'utiliser l'algorithme de chiffrement AES, mais vous pouvez le remplacer par n'importe quel autre algorithme activé dans votre noyau. Vous pouvez obtenir une liste de tous les algorithmes gérés par votre noyau actuel en éditant le fichier /proc/crypto. Le livre de Bruce Scheier, Applied Cryptography and Practical Cryptography, est un excellent ouvrage présentant les différents algorithmes de chiffrement. Les algorithmes AES et Serpent sont probablement le choix le plus raisonnable. AES a été beaucoup utilisé pour le chiffrement et aucune vulnérabilité sérieuse n'a été trouvée depuis longtemps. Serpent n'a pas encore été beaucoup analysé, mais il est considéré être un peu plus sécurisé que AES. Cependant, Serpent est par contre plus lent que AES. N'utilisez pas DES, il est le plus lent et le moins sécurisé. Triple-Des peut aussi être une possibilité, mais AES est probablement plus sécurisé et plus rapide, donc il n'existe pas réellement de raison d'utiliser triple-DES.

  1. Il est recommandé de formater la partition et de la remplir avec des données aléatoires avant de créer le système de fichiers chiffré dessus. Ce qui rendra plus difficile à un pirate la détection des signatures dans votre partition chiffrée.

    [Avertissement]Attention !

    Faite très attention au nom de la partition que vous inscrivez. Si vous faites une erreur, vous pouvez facilement écraser une autre partition avec des données aléatoires.

    Une partition remplie avec des données aléatoires peut être obtenue grâce à la commande suivante : 

    dd if=/dev/urandom of=/dev/sda1 bs=1M

    Vous pouvez avoir un message d'erreur indiquant que le périphérique est plein. Vous pouvez l'ignorer.

  2. Sélectionnez un algorithme et une taille de clef. Une liste d'algorithmes gérée par votre noyau peut être obtenu depuis le fichier /proc/crypto. Je recommande l'utilisation de AES avec une clef de 256 bits.

  3. Configurez le périphérique de boucle. Vous pouvez utiliser la commande losetup provenant du paquet util-linux. La commande suivante crée un système de fichiers chiffré sur le périphérique de boucle 0 en utilisant l'algorithme de chiffrage AES avec une clef de 256 bits sur le périphérique /dev/sda1 : 

    losetup -e aes-256 /dev/loop0 /dev/sda1

    La commande vous demandera un mot de passe. Choisissez un mot de passe robuste et essayez de vous en souvenir sans utiliser un post-it collé à votre moniteur. C'est le mauvais côté de l'utilisation de cryptoloop. Puisque le mot de passe est haché pour créer la clef de chiffrement, il n'est pas facile après de changer de mot de passe. La meilleur manière de changer un mot de passe est de créer une nouvelle partition ou un nouveau fichier chiffré et de déplacer toute les données dessus. Pour cette raison, soyez sûr de choisir un mot de passe robuste dès le début. AES peut être un algorithme de chiffrement très robuste, mais si vous choisissez un mauvais mot de passe, alors la sécurité ne sera pas bonne.

    Si la commande losetup échoue avec le message d'erreur INVALID ARGUMENT, le problème vient du paquet util-linux. Assurez-vous d'avoir suivi les instructions précédentes sur la façon d'installer le correctif pour util-linux. Les anciennes versions ainsi que les versions non corrigés utilisent une méthode différente pour passer la taille de la clef et ne fonctionnent pas avec l'API Crypto 2.6.

  4. Créez un système de fichier. Vous pouvez choisir le type de système de fichier que vous souhaitez. L'exemple suivant crée un système de fichiers ext3 sur le périphérique de boucle : 

    mkfs.ext3 /dev/loop0

  5. Montez le système de fichiers chiffré. Premièrement vous devez créer un point de montage, par exemple /mnt/crypto : 

    mkdir /mnt/crypto

    Ensuite vous devez monter le système de fichiers. À ce niveau, vous devez indiquer explicitement à la commande mount le périphérique de boucle utilisé : 

    mount -t ext3 /dev/loop0 /mnt/crypto

  6. Vous pouvez maintenant jouer avec votre fichier chiffré jusqu'à l'ennui.

  7. Démontez le système de fichiers. Après avoir suffisamment joué avec, démontez le système de fichiers : 

    umount /mnt/crypto

  8. Détachez le périphérique de boucle. Le périphérique de boucle est encore attaché à votre partition, détachez le avec la commande : 

    losetup -d /dev/loop0
Précédent   Suivant
4.  Obtenir les outils utilisateurs  Sommaire 6.  Monter le système de fichiers chiffré

Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:26