web-dev-qa-db-fra.com

Cryptage d'une partition non linux avec LUKS

J'ai une partition non Linux que je veux chiffrer avec LUKS. Le but est de pouvoir le stocker par lui-même sur un appareil sans Linux et d'y accéder à partir de l'appareil en cas de besoin avec un CD Ubuntu Live.

Je sais que LUKS ne peut pas chiffrer les partitions en place, j'ai donc créé une autre partition non formatée de la même taille exacte (en utilisant l'option "Round to MiB" de GParted) et j'ai exécuté cette commande:

Sudo cryptsetup luksFormat /dev/xxx

Où xxx est le nom du périphérique de la partition. Ensuite, j'ai tapé ma nouvelle phrase secrète et je l'ai confirmée. Curieusement, la commande est sortie immédiatement après, donc je suppose qu'elle ne crypte pas la partition entière tout de suite? Quoi qu'il en soit, j'ai exécuté cette commande:

Sudo cryptsetup luksOpen /dev/xxx xxx

Ensuite, j'ai essayé de copier le contenu de la partition existante (appelez-la aaaa) sur celle chiffrée comme ceci:

Sudo dd if=/dev/yyy of=/dev/mapper/xxx bs=1MB

et il a fonctionné pendant un certain temps, mais s'est terminé avec ceci:

dd: writing `/dev/mapper/xxx': No space left on device

juste avant d'écrire le dernier MB. Je suppose que cela signifie que le contenu de yyy a été tronqué lorsqu'il a été copié en xxx, car je l'ai déjà fait auparavant, et chaque fois que je l'ai fait sur une partition de la même taille, je n'ai jamais cette erreur. (et fdisk indique qu'ils ont la même taille en blocs).

Après un peu de recherche sur Google, j'ai découvert que toutes les partitions luksFormat'ted ont un en-tête personnalisé suivi du contenu crypté. Il semble donc que je dois créer une partition exactement la taille de l'ancienne + quel que soit le nombre d'octets d'un en-tête LUKS.

De quelle taille doit être la partition de destination, non. 1, et non. 2, suis-je même sur la bonne voie ici?

Mise à jour

J'ai trouvé cela dans la FAQ LUKS:

  • Je pense que c'est trop compliqué. Y a-t-il une alternative?

Oui, vous pouvez utiliser plain dm-crypt. Il n'autorise pas plusieurs phrases de passe, mais du côté positif, il n'a aucune description sur le disque et si vous écrasez une partie d'une partition dm-crypt simple, exactement les parties écrasées sont perdues (arrondies à frontières sectorielles).

Alors peut-être que je ne devrais pas du tout utiliser LUKS?

gpartedluks
2
linuxn00b

Je l'ai. dm-crypt a fait l'affaire. Utilisez-le à la place de LUKS si vous n'avez besoin que d'une seule clé et que la partition doit avoir une certaine taille.

2
linuxn00b

Réponse très tardive à un vieux problème, mais qui existe toujours ... peut-être utile aux autres.

J'avais une idée similaire: j'ai un disque dur de rechange et je voulais créer une partition chiffrée sur ce disque dur pour permettre des sauvegardes basées sur rsync simplement de mon SSD racine vers un disque chiffré.

J'ai lu sur le cryptage des systèmes de fichiers dans le wiki (et quelques autres pages wiki).

Première réponse: utilisez gnome-disk-utiliy. Problème avec cela: il se bloque lors de la sélection pour créer une partition cryptée. Puis je me suis tourné ici; et a trouvé que la réponse de 4 ans concernant "dm-crypt" n'était pas utile avec 16.04; car il n'y a même pas de package pour dm-crypt autour.

J'ai donc commencé à étudier cryptsetup; et histoire courte: il faut taper OUI, pour continuer. Et puis cela fonctionne simplement et rapidement:

Exemple:

Sudo cryptsetup --verbose luksFormat /dev/sdb1
Sudo cryptsetup --verbose open /dev/sdb1 enc-backup
Sudo mkfs.ext4 -L backup /dev/mapper/enc-backup

Le premier appel à cryptsetup demande de taper "oui" en majuscules ... et dès que vous tapez vraiment OUI, et non oui ou oui ... il fera son travail.

1
GhostCat