Crypter sa clef usb avec luks sous Linux

Posted on by | Leave a reply

Ce matin, j’ai reformaté ma clef usb et j’ai recréé dessus deux partitions, une FAT pour l’échange de fichiers, et une cryptée en ext2 pour mes données personnelles. Autant pour la première partie ce fut ridiculeusement simple (fdisk, mkfs.vfat), autant pour la partie cryptée, c’était également ridiculeusement simple aussi: Loin est l’époque où l’on devait patcher le kernel 42 fois, losetup le device, essayer sa passkey, voir qu’elle marche mais qu’on ne peut pas mounter le device car on s’est trompé de passkey, etc.

Pour ce faire, j’ai suivi – à moitié – ce tutoriel, Howto: Disk encryption with dm-crypt.

Globalement, ça a donné cette procédure. On commence par la création des partitions

$ fdisk /dev/sdb

Command (m for help): p

Disk /dev/sdb: 8053 MB, 8053063680 bytes
248 heads, 62 sectors/track, 1022 cylinders
Units = cylinders of 15376 * 512 = 7872512 bytes
Disk identifier: 0x000cb690

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1               1         819     6296441    c  W95 FAT32 (LBA)
/dev/sdb2             820        1022     1560664   83  Linux

$ mkfs.vfat -n "voyager" /dev/sdb1
[...]
$ dd if=/dev/urandom of=/dev/sdb2

Initialisation du disque: Il faut créer la couche du device « cryptée » pour ensuite la formater:

$ cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb2

WARNING!
========
This will overwrite data on /dev/sdb2 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.

$ cryptsetup luksOpen /dev/sdb2 cryptedDevice
Enter passphrase for /dev/sdb2:
Key slot 0 unlocked.

$ ls -l /dev/mapper/
total 0
crw-rw---- 1 root root  10, 62 2010-03-29 11:56 control
brw-rw---- 1 root disk 253,  3 2010-05-14 13:14 cryptedDevice

A partir de ce moment, on pourra utiliser /dev/mapper/cryptedDevice comme un device « normal », et le formater:

$ mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/cryptedDevice
mke2fs 1.41.9 (22-Aug-2009)
(...)

$ mkdir /mnt/cryptedUsbKey ; mount /dev/mapper/cryptedDevice /mnt/cryptedUsbKey

A partir de ce moment, le device est monté et utilisable directement !
Ensuite, une fois le device créé et prêt à être utilisé, on le déconnecte:

$ umount /mnt/cryptedUsbKey
$ cryptsetup luksClose /dev/mapper/cryptedDevice

Pour moi, à partir de ce moment, il suffisait juste de retirer/reinsérer la clef usb pour que celle ci soit directement prise en charge par la fedora: L’OS me monte directement la partition fat, et une boite de dialogue s’ouvre pour me demander mon password pour la partition cryptée.

Pour les autres, il faudra recréer le device (cryptsetup luksOpen, etc.) et le remonter. On pourra ensuite créer de nouveaux passkeys pour cette partition et retirer les anciens pour plus de sécurité (luksAddKey et luksDelKey).

Lire également Encrypted Device Using LUKS

Leave a reply

required

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>