dm-crypt avec LUKS
LUKS pour Linux Unified Key Setup est une norme de chiffrement de disque. On peut l'utiliser pour chiffrer une ou plusieurs partition et ainsi améliorer la sécurité de son système.
dm-crypt est le système utilisé par le noyau Linux pour la gestion des clefs et des disques. Son utilitaire cryptsetup permet de gérer les disques au format LUKS. L'on parle donc de dm-crypt avec LUKS, habituellement simplifié à juste "LUKS".
Sommaire |
Introduction
Évaluer ses besoins
Dm-crypt est très souple et permet de nombreux modes de chiffrement. Les clefs peuvent être stockées de plusieurs façon différentes (mot de passe, fichier binaire, clef USB...) permettant des variations du niveau de sécurité avec plus ou moins de contraintes. Quelle partie du système chiffré est également à prendre en considération.
Si le but est de protéger ses fichiers personnels sur une machine partagée, un chiffrement du dossier home de l'utilisateur via un outil comme eCryptfs est sans doute plus adapté.
Le chiffrement du disque n'apporte aucune protection supplémentaire une fois la machine déchiffrée. Les potentielles failles de vulnérabilité dans les logiciels utilisés seront tout aussi efficace.
En fonction du mode de stockage des clefs et par du fait que le contenu du dossier /boot ne peut être chiffré, il faut envisager la possibilité d'un attaquant de modifier ceux ci pour y installer un keylogger ou logiciel de capture. Une méthode pour diminuer ce risque est expliquée à Vérification des modifications dans /boot.
Préparation des disques
TRIM et SSD
Installation
Partitionnement
LVM
Configuration
Amélioration
Vérification des modifications dans /boot
TODO, tiré du wiki anglophone Securing the unencrypted boot partition
