Important :

Le présent wiki a été migré vers wiki.archlinux.org.

Ce Wiki a été archivé. Toute contribution doit donc désormais se faire là-bas. Cette page de Wiki possède donc potentiellement des informations qui ne sont plus à jour !

Accueil wiki FR sur .org

LUKS : Différence entre versions

De ArchwikiFR
(Évaluer ses besoins)
m (changement de mise en page)
Ligne 7 : Ligne 7 :
  
 
[http://code.google.com/p/cryptsetup/wiki/DMCrypt '''dm-crypt'''] est le système utilisé par le noyau Linux pour la gestion des clefs et des disques. Son utilitaire '''cryptsetup''' permet de gérer les disques au format LUKS. L'on parle donc de '''dm-crypt avec LUKS''', habituellement simplifié à juste "LUKS".
 
[http://code.google.com/p/cryptsetup/wiki/DMCrypt '''dm-crypt'''] est le système utilisé par le noyau Linux pour la gestion des clefs et des disques. Son utilitaire '''cryptsetup''' permet de gérer les disques au format LUKS. L'on parle donc de '''dm-crypt avec LUKS''', habituellement simplifié à juste "LUKS".
 
= Introduction =
 
 
== Évaluer ses besoins ==
 
  
 
Dm-crypt est très souple et permet de nombreux modes de chiffrement. Les clefs peuvent être stockées de plusieurs façon différentes (mot de passe, fichier binaire, clef USB...) permettant des variations du niveau de sécurité avec plus ou moins de contraintes. Quelle partie du système chiffré est également à prendre en considération.
 
Dm-crypt est très souple et permet de nombreux modes de chiffrement. Les clefs peuvent être stockées de plusieurs façon différentes (mot de passe, fichier binaire, clef USB...) permettant des variations du niveau de sécurité avec plus ou moins de contraintes. Quelle partie du système chiffré est également à prendre en considération.
Ligne 19 : Ligne 15 :
  
 
En fonction du mode de stockage des clefs et par du fait que le contenu du dossier /boot ne peut être chiffré, il faut envisager la possibilité d'un attaquant de modifier ceux ci pour y installer un [https://fr.wikipedia.org/wiki/Keylogger keylogger] ou logiciel de capture. Une méthode pour diminuer ce risque est expliquée à [[#V.C3.A9rification_des_modifications_dans_.2Fboot|Vérification des modifications dans /boot]].
 
En fonction du mode de stockage des clefs et par du fait que le contenu du dossier /boot ne peut être chiffré, il faut envisager la possibilité d'un attaquant de modifier ceux ci pour y installer un [https://fr.wikipedia.org/wiki/Keylogger keylogger] ou logiciel de capture. Une méthode pour diminuer ce risque est expliquée à [[#V.C3.A9rification_des_modifications_dans_.2Fboot|Vérification des modifications dans /boot]].
 
== Préparation des disques ==
 
 
 
 
== TRIM et SSD ==
 
 
= Installation =
 
 
== Partitionnement ==
 
 
=== LVM ===
 
 
= Configuration =
 
 
= Amélioration =
 
 
== Vérification des modifications dans /boot ==
 
 
TODO, tiré du wiki anglophone [https://wiki.archlinux.org/index.php/LUKS#Securing_the_unencrypted_boot_partition Securing the unencrypted boot partition]
 

Version du 8 février 2021 à 09:32


LUKS pour Linux Unified Key Setup est une norme de chiffrement de disque. On peut l'utiliser pour chiffrer une ou plusieurs partition et ainsi améliorer la sécurité de son système.

dm-crypt est le système utilisé par le noyau Linux pour la gestion des clefs et des disques. Son utilitaire cryptsetup permet de gérer les disques au format LUKS. L'on parle donc de dm-crypt avec LUKS, habituellement simplifié à juste "LUKS".

Dm-crypt est très souple et permet de nombreux modes de chiffrement. Les clefs peuvent être stockées de plusieurs façon différentes (mot de passe, fichier binaire, clef USB...) permettant des variations du niveau de sécurité avec plus ou moins de contraintes. Quelle partie du système chiffré est également à prendre en considération.

Si le but est de protéger ses fichiers personnels sur une machine partagée, un chiffrement du dossier home de l'utilisateur via un outil comme eCryptfs est sans doute plus adapté.

Le chiffrement du disque n'apporte aucune protection supplémentaire une fois la machine déchiffrée. Les potentielles failles de vulnérabilité dans les logiciels utilisés seront tout aussi efficace.

En fonction du mode de stockage des clefs et par du fait que le contenu du dossier /boot ne peut être chiffré, il faut envisager la possibilité d'un attaquant de modifier ceux ci pour y installer un keylogger ou logiciel de capture. Une méthode pour diminuer ce risque est expliquée à Vérification des modifications dans /boot.