Ashram de Swâmi Petaramesh - Une clé de contact pour votre portable chiffré - Commentaires

Une clé de contact pour votre portable chiffré - FreeSpectrum

FreeSpectrum — Wed, 17 Sep 2008 22:24:36 +0200

Petit Up ^

Une clé de contact pour votre portable chiffré - FreeSpectrum

FreeSpectrum — Mon, 15 Sep 2008 18:27:01 +0200

Bonjour,

Je suis très intéressé par cette méthode d'identification.
J'utilise moi même cryptsetup pour mes données mais pas pour l'intégralité de mon disque dur.
J'ai uniquement crypté ma swap, mon tmp et mon home.

Le problème c'est que le script ne fonctionne pas pour ouvrir uniquement le home.
J'ai fait divers tests sur mon autre pc mais j'ai uniquement réussi a faire fonctionner cette méthode que quand le disque dur était entièrement chiffré.

Y a-t-il un moyen de le faire marcher ?
Dois-je modifier quelque chose d'autre ?
Pouvez vous m'aider ?

Merci d'avance.
Amicalement.

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 10 Sep 2008 07:31:58 +0200

@Antoine : Non, on ne peut pas "tagguer" une partition elle-même pour lui dire "pas de montage automatique", et le ''bootkeyscript" ne prend pas en charge de systèmes de fichiers "exotiques" pour cet usage.

Par contre, si tu chiffres ta "petite partition" avec LUKS pour obtenir la double authentification (clé physique + mot de passe) alors ta petite partition ne sera simplement pas automatiquement montable... sans le mot de passe de déchiffrement ;-)

Une clé de contact pour votre portable chiffré - Antoine

Antoine — Tue, 09 Sep 2008 14:08:21 +0200

Merci beaucoup pour ce script.

Donc personnellement j'ai opté pour une clé USB avec 2 partitions, un principale et une petite de 8Mo (à priori on peut pas faire plus petit) dans laquelle j'ai la clé.

J'ai juste une question: Est-il possible de faire que la petite partition ne soit pas automatiquement monté sous linux ? (et pas seulement avec mon pc en modifiant le fstab). Je ne sais pas si on peut "tagger" une partition pour lui dire : "A pas monter automatiquement" ou alors utiliser un système de fichier exotique. Des suggestions?

Merci beaucoup.

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 12 Jun 2008 07:43:45 +0200

@Julon : Donc, tu nous expliques en substance que tu as essayé d'utiliser un script conçu uniquement pour fonctionner depuis l'initramfs pour monter une racine sur LVM chiffrée, sur une machine dont la racine n'est pas chiffrée et qui n'utilise pas de LVM... Non, rien :-D

Cela dit, il n'est pas bien compliqué de copier l'intégralité de ton système sur un disque externe puis de créer une LVM chiffrée et tout retransférer dessus ;-)

Une clé de contact pour votre portable chiffré - julon

julon — Wed, 11 Jun 2008 22:19:27 +0200

Tout d'abord, merci pour ta réponse rapide!

Pour une raison qui m'échappe, ton bootkeyscript ne fonctionne pas sur ma config - peut-être parce que mes disques cryptés n'ont pas été créés de la même manière que les tiens vu qu'ils sont hérités d'un Fedora 6, sans lvm (le root n'est pas crypté, donc).

Toujours est-il que j'ai résolu le problème en créant un tout petit script taillé pour mes besoins uniquement, en m'inspirant de ton bootkeyscript.

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Tue, 10 Jun 2008 23:17:26 +0200

@Julon : Pas bien précise ta description, mais je parie sur un /etc/crypttab foireux, genre double entrée pour la LVM racine...

Une clé de contact pour votre portable chiffré - julon

julon — Tue, 10 Jun 2008 22:53:50 +0200

Bonjour,

Ca l'a été dit plusieurs fois, mais j'imagine que ça n'est jamais superflu: cet article est très intéressant, d'autant plus qu'il correspond exactement à ce que je cherche à faire, et en nettement plus propre que mes propres bidouillages (changement des scripts init etc..).

Cependant, j'ai un petit soucis avec le script bootkeyscript: en effet, j'ai de belles lignes d'erreur au moment du boot me disant qu'il ne trouve pas le fichier /scripts/functions. Après avoir jeté un oeil à bootkeyscript, il y a un appel à ce fichier au tout début - c'est même la première ligne de code.

Je me débrouille un peu sous linux, suffisamment pour avoir une idée de comment tout ça fonctionne, mais les fonctions des scripts d'initialisation, c'est bien au-delà de mes connaissances.

Une idée d'où est le problème? Ma config est un Ubuntu Hardy Heron tout frais.

En espérant que ce billet n'est pas encore dans le cimetierre des blogs, d'avance merci!

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 06 Feb 2008 23:41:50 +0100

@Blip : Dans la note n°2, tu précises que mettre le /boot sur une clé USB (ne laissant ainsi aucune donnée non chiffrée sur le système) n'est pas compliqué à faire ; pourrais-tu donner en quelques mots la démarche à suivre ?

Ça n'a rien de particulièrement difficile : Mettre le contenu du /boot sur une clé USB, installer grub dessus comme on le ferait sur un disque dur, s'assurer que le BIOS de la machine est capable de booter depuis la clé USB et la mettre en premier dans l'ordre des périphériques de boot.

On peut dans ce cas ne mettre sur le disque dur qu'une LVM chiffrée, sans aucun noyau bootable, aucun /boot, et aucun bootloader installé...

@Mitch : C'est une technique simple du genre de celle que tu proposes que j'utilise sur mon EeePC pour avoir une carte SD chiffrée LUKS (qui équivaut conceptuellement à un second disque dur) inutilisable sans la machine, puisqu'elle n'est déchiffrable que par un fichier-clé (aléatoirement généré au départ) présent sur le portable, dans sa LVM elle-même chiffrée.
Ainsi au boot, le portable commence par faire saisir la phrase secrète de sa LVM, boote, puis déchiffre et monte automatiquement la carte SD grâce à la clé qu'il possède. Sans le portable, je suis moi-même incapable d'accéder au contenu de la carte SD.

Par ailleurs, tu exagères sur la complexité d'utilisation d'une machine entièrement chiffrée : Si tu es le seul utilisateur de la machine et que tu as tout dans une LVM chiffrée, tu peux très bien mettre un autologin utlisateur et aucun autre mot de passe à l'intérieur. Dans ce cas, tu as besoin de taper une phrase secrète pour le boot, et basta (attention quand même dans ce cas à se protéger de toute attaque via le réseau, et notamment toute tentative de passer root... Tu peux mettre un mot de passe à root le cas échéant ;-)

Une clé de contact pour votre portable chiffré - mitch

mitch — Wed, 06 Feb 2008 21:34:16 +0100

oups javais oublié de noter : sudo mkfs.ext3 /dev/mapper/openedusb pour avoir une clé usb en ex3.
Ca m'apprendra à pas assez me relire.

Une clé de contact pour votre portable chiffré - mitch

mitch — Wed, 06 Feb 2008 21:27:18 +0100

Ok, ça c'est pour sécuriser le disque dur de la machine ou la flash du eeepc ;).
Maintenant l'exercice inverse est-il jouable? c'est à dire des pc de contact pour monter et utiliser les médias amovible. Ca serait moins fastidieux à l'usage car une fois le pc démarré on peut utiliser sans taper trop de trucs ses clés.

En fait je pars d'un constat : pour démarrer la machine, il faut déverrouiller la lvm après on rentre son login et son mot de passe. Cela représente beaucoup de manipulations et ces quelques contraintes peuvent gêner un usage quotidien. Pour les périphériques amovibles en les chiffrant intégralement ça implique soit de taper des lignes de commande, soit de rentrer une phrase de passe et donc ça alourdit encore le démarrage de sa machine avec ses clés ou disques usb.

Afin que ça soit pratique, assez sûr et sans avoir à retenir 25 autres mots de passe j'ai pensé à ça :

1°étape : préparation du média amovible :

On bourre de données pseudo aléatoires
dd if=/dev/urandom of=/dev/sdc bs=1M (nom du périphérique à adapter)

On crée le volume avec une phrase de passe longue la plus sûre possible ou un mot de passe bidon si on veut la supprimer après pour remplacer par usbkey :

cryptsetup luksFormat /dev/sdc
cryptsetup luksOpen /dev/sdc openedusb

On crée la clé de chiffrement qui déverrouillera un ou un ensemble de médias amovibles donc 256 bits avec /dev/random :

dd if=/dev/random of=/home/user/usbkey bs=32 count=1

On l'ajoute au volume chiffré comme étant une clé valable :

cryptsetup luksAddKey /dev/sdc /home/user/usbkey

éventuellement on supprime le mot de passe (possibilité de bimodal voire trimodal)

cryptsetup luksDelKey --key-file=/home/user/usbkey /dev/sdc 0
cryptsetup luksClose openedusb

Voilà donc là on se retrouve avec un volume chiffré avec une clé qui se trouve dans son home.

2° étape en chantier : faire en sorte que ça se monte directement à l'insertion du média.

C'est à dire reconnaissance du uuid du volume + /home/user/usbkey , ouvre le volume et le monte avec un nom explicite préalablement défini en fonction de l'uuid afin de ne pas confondre deux clés entre elles et de ne pas faire de mélange si on monte plusieurs clés en même temps. on clique sur démonter le volume : hop ça démonte et ça referme le volume (avec l'icône idoine mais ça j'ai pas trop le niveau encore ...)

Ainsi on obtient sans avoir à taper de mot de passe des clés autorisées à n'être montées que sur les machines où usbkey est présente. En recopiant cette clé sur toutes les machines que l'on possède on crée de facto des copies de sauvegarde afin de ne pas perdre le contenu de tous les médias amovibles en cas de décès d'une machine.
L'obtention du fichier usbkey permet à Mallory de lire l'ensemble des médias amovibles ainsi configurés. Il est donc indispensable que le home ou le dossier où se trouve usbkey soit chiffré (pas de souci donc avec le chiffrement intégral du disque dur)

Bon pour faire ça. je me suis dit qu'il pourrait être utile de rajouter ces deux lignes là (à voir ..) :

Une entrée dans /etc/crypttab :
nom_souhaite_de_la_cle_usb /dev/disk/by-uuid/uuid_du_volume /home/user/usbkey luks

Une autre entrée dans /etc/fstab :
/dev/mapper/nom_souhaite_de_la_cle_usb /media/nom_souhaite_de_la_cle_usb ext3 defaults 0 2
(je suis pas trop sûr des options car j'ai pas droit en écriture sur ma clé après un mount -a).

Bon et là ça bloque. à l'insertion du média dans l'usb on me propose de rentrer le mot de passe du volume luks (ubuntu 7.10) mais pas d'aller chercher le fichier clé (j'ai bien l'impression que mes modifs de /crypttab et /fstab ont servi à rien.)
De plus apparemment il y a un bug pour automounter des volumes chiffrés https://bugs.launchpad.net/gnome-mo... et avec le script qu'ils proposent je m'en sors pas trop j'ai toujours le même message d'erreur.

A suivre :)

PS : il sera facile de changer la clé qui déverrouille les médias en cas de soupçon de corruption vu qu'on passe par cryptsetup.

Une clé de contact pour votre portable chiffré - Blip

Blip — Sat, 02 Feb 2008 23:34:00 +0100

Bonjour,

Article très intéressant !
Dans la note n°2, tu précises que mettre le /boot sur une clé USB (ne laissant ainsi aucune donnée non chiffrée sur le système) n'est pas compliqué à faire ; pourrais-tu donner en quelques mots la démarche à suivre ?

Merci.

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Sat, 26 Jan 2008 17:37:44 +0100

@Mitch : Oops. Lire : luksFormat et non pas luksCreate.

Je vais corriger dans le billet.

> Je me suis dit qu'il fallait installer le paquet cryptsetup-luks mais il est introuvable

LUKS est maintenant intégré dans le cryptsetup "standard", c'ets pourquoi il n'y a plus de paquet spécifique.

Une clé de contact pour votre portable chiffré - mitch

mitch — Sat, 26 Jan 2008 16:44:55 +0100

luksCreate ? ça me renvoie un magnifique "cryptsetup: Unknown action." je n'ai pas trouvé luksCreate dans le man.
Je me suis dit qu'il fallait installer le paquet cryptsetup-luks mais il est introuvable avec les dépôts standards d'ubuntu et apt-get me conseille de garder cryptsetup ...

Une petite piste ?

Une clé de contact pour votre portable chiffré - Space

Space — Sat, 01 Dec 2007 15:31:20 +0100

J'ai commencé à lire le billet en pensant qu'il s'agissait de "téléphone portable" (ou "mobile") ... mais non, il s'agit d'un billet pour un "ordinateur portable".

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Sat, 01 Dec 2007 11:31:36 +0100

@cflam69 : es-tu contre le fait que je publie un howto en français sur Ubuntu-fr si je trouve le temps ?

Absolument aucun, bien au contraire ! L'information et la connaissance sont faites pour circuler !

Je rappelle d'ailleurs que sauf mention explicitement contraire, tous les articles publiés ici le sont sous licence CreativeCommons By-nc-saet que donc, la reproduction de tout ou partie de ces articles est autorisée aux conditions prévues par cette licence.

Une clé de contact pour votre portable chiffré - cflam69

cflam69 — Sat, 01 Dec 2007 11:22:58 +0100

Pour la réinstallation ... ben c'est juste l'occasion qui fais le laron puisque depuis la Warty, je n'ai fais que des upgrades. Et une petite réinstall' ne lui fera aucun mal.
De plus, je pourrais revoir la taille de mes partitions et refaire un partionnement plus propre. Bref, j'avais compris que cela n'était pas nécessaire avec ta méthode ... mais je voulais savoir si je pouvais concilier l'un et l'autre.

À toi de savoir si tu trouves ça compliqué ;-)
Pas tant que cela, mais c'est pas trop user-friendly ... je veux dire le côté rassurant et eye-candy du chiffrement tel que le fait Mac manque un peu à Linux je trouve.
Mais je pense que je vais me lancer sous peu.

Merci pour toutes les indications et conseils.

PS : si j'arrive à faire tout ces manip', es-tu contre le fait que je publie un howto en français sur Ubuntu-fr si je trouve le temps ? Tu seras bien entendu cité et les honneurs (sans la gloire) te seront rendus.

PS bis : j'ai trouvé un autre blog traitant de la question ... et avec un p'tit schéma qui aide à la compréhension et qui est destiné aux pauvres noob comme moi. Si cela intéresse, c'est par ici

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Sat, 01 Dec 2007 07:51:22 +0100

@clamf69 : Si je réinstalle ma bubuntu Gutsy en mode chiffrement (dans l'alternate), celui-ci utilise LUKS.

Oui. Note que tu n'es pas obligé de "réinstaller" (ni donc de perdre quoi que ce soit de ta config ou de tes fichiers). Tu peux très bien déménager ton installation sur un disque externe, puis chiffrer le disque interne de ta machine et remettre ton installation dessus. C'est ce que je montrais dans cet article.

> Donc, je dois pouvoir lui dire de booter s'il y'a tel passphrase ou si une clef est inséré dans la femelle du mâle comme ton "système" le suggère. J'ai faux ?

C'est juste.

> Mais si c'est possible, j'imagine que c'est aussi compliqué que ce que tu as mis au-dessus à quelques manip' près ?

Une fois que tu as une installation entièrement chiffrée LUKS, si tu veux passer à l'utilisation d'une "clé de contact", il te suffit de procéder comme indiqué dans mon dernier article à ce propos. Tu peux ensuite choisir de désactiver la passphrase, ou de garder les deux modes, puisque le script que je propose gère les deux de manière automagique...

À toi de savoir si tu trouves ça compliqué ;-)

Une clé de contact pour votre portable chiffré - cflam69

cflam69 — Sat, 01 Dec 2007 00:17:33 +0100

Ok, merci.

Mais je continue mes réflexions parano-geekesque :
Si je réinstalle ma bubuntu Gutsy en mode chiffrement (dans l'alternate), celui-ci utilise LUKS. Donc, je dois pouvoir lui dire de booter s'il y'a tel passphrase ou si une clef est inséré dans la femelle du mâle comme ton "système" le suggère. J'ai faux ?
Mais si c'est possible, j'imagine que c'est aussi compliqué que ce que tu as mis au-dessus à quelques manip' près ?

Merci pour tes réponses.

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 29 Nov 2007 23:09:04 +0100

@cflam69 : Avec ceci, à toi la gloire ....

La gloire, c'est fatiguant. Déjà que je ne peux pas sortir sans que des hordes de filles nues se jettent sur moi...

> est-il simple de déchiffré une partition chiffré après un plantage

Un plantage affecte un filesystem chiffré ni plus ni moins qu'un filesystem non chiffré. Le journal ext3 ou au pire un coup de fsck remettent les choses dans l'ordre ni mieux ni pire que d'habitude :-}

Une clé de contact pour votre portable chiffré - cflam69

cflam69 — Thu, 29 Nov 2007 21:56:20 +0100

http://planet.ubuntu-fr.org/

Avec ceci, à toi la gloire ....

Et pour en revenir au chiffrement : est-il simple de déchiffré une partition chiffré après un plantage (et avec le mot de passe évidemment) ;-) ?

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 29 Nov 2007 21:34:20 +0100

@cflam69 : la swap crypté sous mandrake/mandriva

Ah ouais... Je euh... connais bien... le type qui a signé le bout de code qui faisait ça dans le rc.sysinit de Mandrake ;-)))

> ce type de chiffrement est-il "fragile" devant les mises à jour régulières de ma distribution ?

Je dirais, probablement non, avec 95% de certitude ;-)

> Pourquoi n'es-tu pas dans le planet d'Ubuntu-fr ? Volonté ?

Parce que je ne sais pas que cela existe :-}

Une clé de contact pour votre portable chiffré - cflam69

cflam69 — Thu, 29 Nov 2007 21:27:06 +0100

Quel réponse ! En fait, je ne doute pas de la pérennité de "ton" installation ou de ce type de chiffrement.
J'ai utilisé moi-même des containers lopp-aes et la swap crypté sous mandrake/mandriva.
Et sous Ubuntu, j'utilise plutôt Cryptkeeper car il est simple (tu vois le niveau).
Quand je parle de pérennité, c'est plus par rapport à l'utilisateur lambda comme moi.
J'upgrade, ça foire ... je pleure car j'ai un disque chiffré et que je ne suis pas sûr de récupérer les données depuis un live-CD par ex. (manip' difficile pour un "noob").

Ma question était donc plutôt (et je m'excuse de t'avoir égarer) : ce type de chiffrement est-il "fragile" devant les mises à jour régulières de ma distribution ?
Si oui, je pense que je continuerai mes p'tits containers fait par cryptkeeper. Sinon, cela me tente...

En tout cas, tout cela est super instructif. Pourquoi n'es-tu pas dans le planet d'Ubuntu-fr ? Volonté ?

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 29 Nov 2007 21:11:56 +0100

@cflam69 : Justement, ce qui est "personnalisé", c'est le moyen de le faire, mais en s'écartant le moins possible des fonctions standard de la cryptoapi du noyau, qui est très stable et peu susceptible de changements imprévus brisant la compatibilité.

J'utilisais jusqu'ici des containers loop-aes que je traîne depuis bien oh, 6 ou 7 ans, et qui ont survécu (sont restés directement exploitables) à 7 ou 8 upgrades de Mandrake/Mandriva puis au passage sous Ubuntu.

Dans les solutions que je propose, il n'y a justement qu'une paire de scripts "facilitateurs" autour des fonctions standard du noyau et de packages standard très éprouvés (cryptsetup, etc.).

Donc, je n'ai pas d'inquiétude sérieuse quant à la pérennité du système, à part peut-être la nécessité de changer trois points-virgules dans un script un jour ou l'autre... Si d'aventure un nouveau modèle de chiffrement devait devenir "le standard", il resterait certainement possible d'accéder aux anciens volumes le temps de faire la conversion - exactement comme il est toujours possible d'accéder à de vieux volumes loop-aes le temps de les convertir vers le plus riche et plus efficace dm-crypt.

Le device-mapper est à la base de fonctions essentielles du système : la LVM2 repose dessus, par exemple. Il n'est à mon avis pas près de disparaître, et comme tu le vois dans l'exemple de ce billet, je ne procède que par adjonction à un existant que je m'abstiens de toucher autant que faire se peut, limitant ainsi les problèmes d'upgrade, alors que par exemple la solution proposée dans le Two Form Factor Authentication and LUKS Whole Disk Encryption with Feisty Fawn HowTo exige la modification de pas mal de scripts standard, et est donc davantage susceptible d'être (au moins temporairement) cassée par un upgrade, le temps de remodifier les scripts (ce qui peut être un poil compliqué si la machine ne boote pas...)

Mais ici, j'utilise au maximum ce que la machine sait déjà faire en y ajoutant simplement le peu qui me manque :-}

Et je transmets toujours mes bidouilles aux développeurs concernés dans l'espoir qu'is les intègrent au standard si ça leur plaît - ce qui s'est déjà vu par le passé...

Après, la durabilité prévisible d'une solution est à mettre au regard de la nécessité de protection des données et de la durée de vie prévisible de l'installation avant un upgrade matériel ou logiciel d'envergure...

Une clé de contact pour votre portable chiffré - cflam69

cflam69 — Thu, 29 Nov 2007 20:18:50 +0100

Bonjour Ô Grand Swâmi Petaramesh,
je lis ton blog depuis quelque temps... et tes billets geekesque sur le chiffrement m'intéressent fortement.
Sauf que je ne suis pas expert comme toi et qu'il me vient une question : ce type de chiffrement est-il pérenne ?
Eh oui, les mises à jour de ma distribution, qui font déjà voler en éclat mon Xorg régulièrement, ne feront-t-elles pas une jaunisse devant un système chiffré et "personnalisé" comme cela ?

En tout cas, merci pour tes billets.

Une clé de contact pour votre portable chiffré - Amazone

Amazone — Thu, 29 Nov 2007 19:32:20 +0100

Tout va bien alors, tant mieux !

Une clé de contact pour votre portable chiffré - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 29 Nov 2007 17:52:58 +0100

@Amazone : Euh, ça ne fait qu'un seul (gros) billet pour aujourd'hui, si je compte qu'hier soir après minuit n'est pas vraiment "aujourd'hui ;-)

Une clé de contact pour votre portable chiffré - Amazone

Amazone — Thu, 29 Nov 2007 17:26:29 +0100

Serais-tu malade à nous pondre autant de billets dans une même journée ?