TrueCrypt n'est plus, et le but de cet article est de vous montrer un chiffrement de partition simple avec dm-crypt luks.
DM-Crypt est un chiffrement de lecteur transparent qui est un module de noyau et une partie du cadre de mappage de périphérique pour mapper un périphérique de bloc physique sur des périphériques de bloc virtuels de niveau supérieur, il utilise des routines cryptographiques à partir de l'API crypto du noyau. Pour faire court, le cryptage du mappage de périphérique est fourni par l'API de chiffrement "linux" du noyau.
Assurez-vous d'avoir au moins une partition sans données. Si vous n'avez pas de partitions disponibles, utilisez parted, gparted ou tout autre programme de votre choix pour réduire certaines de vos partitions existantes et en créer une nouvelle.
Je vais utiliser la partition appelée /dev/sda3 , et notre première tâche sera d'écraser cette partition 3 fois avec des données aléatoires, c'est suffisant pour vous protéger contre une enquête médico-légale. Il m'a fallu près de 30 minutes pour que la partition de 20 Go soit écrasée 3 fois.
shred --verbose --random-source=/dev/urandom --iterations=3 /dev/sda3
Créer un périphérique de mappage de périphérique cryptographique en mode de cryptage LUKS :
cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda3
La question suivante vous sera posée :
ATTENTION !
========
Cela écrasera irrévocablement les données sur /dev/sda3.
Êtes-vous sûr ? (Tapez oui en majuscule):OUIEntrez la phrase de passe :Vérifier la phrase secrète :Commande réussieDéverrouillez la partition, ici "root" est le nom du mappeur de périphérique, considérez-le comme une étiquette.
cryptsetup open --type luks /dev/sda3 rootNous devons créer un système de fichiers afin d'écrire des données cryptées qui seraient accessibles via le nom du mappeur de périphérique (étiquette).
mkfs.ext4 /dev/mapper/rootMontez l'appareil et transférez toutes vos données :
mount -t ext4 /dev/mapper/root /mntDémontez et fermez l'appareil une fois que vous avez terminé :
umount /mntcryptsetup ferme la racine
Enfin, effacez les tampons de copie et de cache :
sysctl --write vm.drop_caches=3C'était tout, un cryptage simple et direct. À partir de maintenant, tout ce que vous avez à faire est :déverrouiller, monter, transférer des données, démonter et fermer l'appareil.
Si vous avez quelques heures à perdre et à expérimenter, n'hésitez pas à lire ces pages :
lien 1, lien 2, lien 3, lien 4, lien 5, lien 6, lien 7
Protégez votre /boot partition si vous voulez un chiffrement complet du disque. Tout est écrit en détail comment le faire dans les liens ci-dessus.
Post-édition :les choses s'améliorent encore car je viens d'apprendre qu'il est possible de graver des disques CD et DVD cryptés LUKS.
Au lieu d'utiliser la partition de lecteur, nous allons créer un fichier via dd et le générateur de nombres aléatoires du noyau /dev/urandom qui remplira le fichier initial avec une fausse entropie.
Créez un fichier de 500 Mo qui sera utilisé comme système de fichiers dans un seul fichier.
dd if=/dev/urandom of=encrypted.volume bs=1MB count=500Remplacez simplement la première commande dans ce message (shred) avec le jj un et tapez le reste des commandes telles quelles.
Maintenant, vous pouvez être sûr que personne ne dépassera vos données qui sont gravées dans le fichier unique qui est le système de fichiers complet dans le cryptage LUKS, assurez-vous simplement de démonter et de fermer encrypted.volume avant de le graver sur le disque.