AccueilFAQStatistiquesDiversContact

 English version

Auteur : Jérôme Bruandet
spamcleaner.org
Date : 15/09/2007

Linux : encrypter sa clé USB

Après avoir transformé une clé USB en couteau-suisse en utilisant à peine 100Mo, nous pouvons aussi transformer tout le reste de l'espace disque disponible en Fort Knox. Depuis le kernel 2.6 on peut tout encrypter sous Linux sans aucun logiciel grace à dm-crypt. Une clé USB étant si vite perdue (ainsi que toutes les données personelles qu'elle contient), il serait dommage de s'en priver.

Avec la nouvelle cryptoapi du kernel qui maintenant élimine les lacunes de cryptoloop, nous allons utiliser cryptsetup et l'extension LUKS (Linux Unified Key Setup). Son avantage principal étant de pouvoir utiliser dm-crypt (Device Mapper) avec une étonnante simplicité.
Aucun logiciel à installer et de plus, à chaque fois que la clé USB sera insérée, gnome-mount ouvrira une petite fenêtre pour nous demander le mot de passe. Il va de soit que si vous avez besoin de partager vos données encryptées entre Linux et Windows, il vous faudra plutôt envisager des solutions logicielles (truecrypt, ScramDisk)

Installation

Nous avions créé une partition pour Damn Small Linux dans l'article précédant, nous allons créer maintenant la deuxième qui occupera la totalité de l'espace libre sur la clé. Nous assumerons que la clé est /dev/sdX et la partition à créer /dev/sdX2.
Insérez la clé USB et créez la partition avec fdisk : 

   # fdisk /dev/sdX

   - Tapez n pour créer une nouvelle partition
   - Tapez p pour qu'elle soit primaire
   - Tapez 2 pour que ce soit la deuxième partition
   - Appuyez sur Entrée pour la valeur par défaut (1er cylindre)
   - Appuyez sur Entrée pour la valeur par défaut (dernier cylindre)
   - Tapez w pour enregistrer ces modifications

Installez cryptsetup : 

   # apt-get install cryptsetup

Vérifiez que vous avez bien les modules aes et sha256 : 

   # cat /proc/crypto

   ...
   name         : sha256
   driver       : sha256-generic
   module       : sha256
   ...
   name         : aes
   driver       : aes-generic
   module       : aes
   ...

S'ils sont absents de la liste, chargez-les : 

   # modprobe aes
   # modprobe sha256

Il suffit d'encrypter la partition avec cryptsetup qui vous demandera une confirmation avant de continuer (à taper en majuscule), puis vous devrez entrer à deux reprises le mot de passe que vous souhaitez utiliser pour protéger vos données.
ATTENTION : ne vous trompez pas de partition, car en cas d'erreur toutes les données seraient perdues ! 

   # cryptsetup luksFormat --cipher "aes-cbc-essiv:sha256" --key-size 256 /dev/sdX2

Si jamais une erreur concernant dm-crypt se produisait, utilisez la commande # modprobe dm_crypt puis relancez la ligne de commande ci-dessus.

Ouvrez le volume en lui donnant par exemple le nom provisoire de 'usbmapper'. Votre mot de passe vous sera demandé :

   # cryptsetup luksOpen /dev/sdX2 usbmapper

Si tout c'est bien passé vous pouver voir votre volume dans /dev/mapper : 

   # ls /dev/mapper

   control  usbmapper

Il ne reste plus qu'à formatter le volume : 

   # mkfs.reiserfs /dev/mapper/usbmapper

Fermez le volume : 

   # cryptsetup luksClose usbmapper
Retirez la clé USB (pensez à démonter toute autre partition qui pourrait être montée), puis réinsérez-la. Normalement vous devriez avoir la fenêtre de gnome-mount vous demandant votre mot de passe, puis votre partition sera automatiquement décryptée et montée, prête à l'emploi :

Bien que dans le cas d'une clé USB toute la procédure soit automatique avec gnome-mount, voici tout de même quelques commandes qui peuvent toujours être utiles :

Connaitre le nom du volume : 

   # ls /dev/mapper
   control  luks_crypto

Avoir des informations sur ce volume : 

   # cryptsetup status luks_crypto

Démonter puis fermer le volume : 

  # umount /point_de_montage

  # cryptsetup luksClose luks_crypto

Ouvrir un volume et le monter : 

   # cryptsetup luksOpen /dev/sdXX luks_crypto

   # mount /dev/mapper/luks_crypto /point_de_montage





Autres articles :

  • Anti-spam : les services abuse des hébergeurs enfin soulagés
  • Anti-spam : comment se débarasser des spams de referer
  • Anti-spam : comment plomber les spambots
  • Anti-spam : comment protéger son blog des spams de commentaires
  • Sécurité : Linux : blinder les ports de son serveur
  • Sécurité : Linux : mise à jour de son serveur
  • Sécurité : Linux : créer une clé USB bootable
  • Sécurité : Linux : utiliser iptables pour bloquer les chaines de caractères
  • Sécurité : Windows : détectez si votre PC envoie des spams

    • Commentaires (5)

    De : n0b0dy
    Le : 19-Sept-2007 à 14:38:00

    on peut utiliser la même technique pour encrypter son DD?

    De : spamCle@ner
    Le : 20-Sept-2007 à 03:11:37

    Oui c'est possible, une ou toutes les partitions sauf /boot, ainsi que de demander la pass au démarrage.
    Je mettrai un article là-dessus la semaine prochaine si j'en ai le temps entre 2 spams

    De : Courageux Anonyme
    Le : 22-Sept-2007 à 07:37:49

    sympa le plug'n play

    De : Courageux Anonyme
    Le : 26-Sept-2007 à 10:25:00

    au début de l'article les liens de Truecrypt et Scramdisk sont inversés!

    De : spamCle@ner
    Le : 28-Sept-2007 à 14:17:57

    Je viens de corriger les liens.


    Poster un commentaire

    Nom :

    *Message (4 Ko maxi) :

    smileys