dm-crypt avec LUKS

De ArchwikiFR


LUKS pour Linux Unified Key Setup est une norme de chiffrement de disque. On peut l'utiliser pour chiffrer une ou plusieurs partition et ainsi améliorer la sécurité de son système.

dm-crypt est le système utilisé par le noyau Linux pour la gestion des clefs et des disques. Son utilitaire cryptsetup permet de gérer les disques au format LUKS. L'on parle donc de dm-crypt avec LUKS, habituellement simplifié à juste "LUKS".

Sommaire

Introduction

Évaluer ses besoins

Dm-crypt est très souple et permet de nombreux modes de chiffrement. Les clefs peuvent être stockées de plusieurs façon différentes (mot de passe, fichier binaire, clef USB...) permettant des variations du niveau de sécurité avec plus ou moins de contraintes. Quelle partie du système chiffré est également à prendre en considération.

Si le but est de protéger ses fichiers personnels sur une machine partagée, un chiffrement du dossier home de l'utilisateur via un outil comme eCryptfs est sans doute plus adapté.

Le chiffrement du disque n'apporte aucune protection supplémentaire une fois la machine déchiffrée. Les potentielles failles de vulnérabilité dans les logiciels utilisés seront tout aussi efficace.

En fonction du mode de stockage des clefs et par du fait que le contenu du dossier /boot ne peut être chiffré, il faut envisager la possibilité d'un attaquant de modifier ceux ci pour y installer un keylogger ou logiciel de capture. Une méthode pour diminuer ce risque est expliquée à Vérification des modifications dans /boot.

Préparation des disques

TRIM et SSD

Installation

Partitionnement

LVM

Configuration

Amélioration

Vérification des modifications dans /boot

TODO, tiré du wiki anglophone Securing the unencrypted boot partition

Outils personnels
Autres langues