Bonjour,
Un grand merci pour l'article :
"OpenBSD: Chiffrement intégral de disque dur (FDE, bioctl)"
http://doc.huc.fr.eu.org/fr/sys/openbsd/bioctl-fde/
C'est plus vivant que les doc, et cela donne plein de petits détails sur comment faire, et comment ca fonctionne, ... en "liant la sauce", ce que ne peuvent pas faire aussi bien les doc et faq (malgré les exemples, ils sont bien, mais quand même plutôt succincts...).
Donc vraiment merci !
J'avais en tête de faire un disque encrypté pour le système, et là, j'ai l'occasion (upgrade en changeant de disque et install de zéro,... donc j'en profite pour aussi crypter le disque de l'os).
et il me reste des questions sur le fonctionnement du FDE, avec la clé USB.
je mets des numéros aux questions, pour que vous puissiez répondre plus facilement à l'une ou l'autre...
*********************
Q1: visiblement, on ne peut pas utiliser une clé USB pour ouvrir le cryptage (bioctl) et que si on ne met pas la clé, il demande la passphrase ?
je veux dire : fromage et dessert, ... pas l'un OU l'autre ?
genre, j'ai perdu la clé, et plutôt que d'en fabriquer une (dont l'image a été soigneusement cryptée avec une passphrase (et GPG comme suggéré)), ... et bien je relance direct le système en tapant une passphrase qui dévérouille le disque, ... et zou... quitte à utiliser ensuite le système pour refabriquer une clé usb avec la "key" qui va bien pour le disque du système...
ca serait bien pratique de pouvoir utiliser l'un et l'autre ... au choix... non ?
j'ai loupé quelque chose, en terme de sécurité, ou une raison technique pas évidente ?(sur linux ... on peut,... bon, d'accord, je viens d'avoir une mauvaise pensée,... mais j'ai pas pu m'enpêcher
)
*********************
Q2: l'option "-k" de bioctl, ... ca fonctionne comment ?
je veux dire : il fabrique la partition indiquée, sur la clé usb, avec quoi dedans ?
Est ce que la partition cryptée est mise en relation avec la partition de la clé (via les uid des partitions, par exemple) ?
est ce que bioctl regarde la partition cryptée, trouve dans l'entête l'uid de la clé usb, et du coup, va chercher dans les devices s'il y a un machin avec cet uid,... et si oui l'ouvre (crypté aussi ?) et la monte, et regarde dedans la passphrase pour ouvrir la partition cryptée ?
c'est ca, le fonctionnement ?
*********************
Q3: question corrélative : sur la clé usb, est ce qu'on peut mettre deux ou trois partitions de "clé de cryptage bioctl" ?
et utiliser une même clé pour déverrouiller plusieurs disques cryptés avec bioctl ?
ca serait pratique... ca ferait une clé usb "trousseau de clé".
*********************
Q4: question corrélative : si je fais la petite cuisine de fabrication de mon disque système :
sd0 = disque système partition de base encryptée
sd1 = disque système ouvert par bioctl
sd2 = la clé USB de clé pour bioctl pour sd0.
ensuite, ca tourne, ... le système est lancé, et j'enlève la clé usb une fois le système démarré.
et si j'ajoute un disque de données (par usb par exemple, ..) : il prend le device sd2.
je remet la clé usb pour redémarrer (avec le disque aussi mis dans l'usb), ou bien ajoutée en Sata.
il va y avoir
sd0 = disque système partition de base encryptée
sd1 = disque système ouvert par bioctl
sd2 = disque de data.
sd3 = la clé USB de clé pour bioctl pour sd0.
est-ce que ca va fonctionner, si la clé USB est sur sd3 au lieu de sd2 ?
est-ce que ca va fonctionner, c'est à dire le système va démarrer, s'il y a deux clés usb, l'une pour le système, l'autre pour le disque de data (et pas forcément dans les mêmes devices que lors des fabrications...) ?
*********************
Q5: sur bioctl, et l'option "-k" : ou est ce qu'on peut trouver de la doc, ou des explications plus détaillées, sur le fonctionnement ?
est ce qu'il y a un endroit, pour de la doc "avancée" ?
ou est ce qu'il faut regarder le code de bioctl ?
*********************
Q6: c'est à quel endroit que le système, au démarrage, décide de faire appel bioctl, qui décide d'aller regarder dans la clé ?
c'est indiqué dans la GPT, et les partitions ?
c'est dans les process de démarrage de OpenBSD ?
c'est pour savoir si on peut intervenir dans les scripts ou le code, à ce niveau là ?
et si c'est une chose faisable et fiable, ... ou "surtout pas toucher à ça... c'est trop risqué pour en valoir la peine..."
*********************
Q7: question corrélative : est ce qu'on peut démarrer en mode "-p" de bioctl ?
c'est à dire : on fournit un path vers un fichier qui contient la passphrase (oui en clair...) au lieu de taper la passphrase au clavier.
idée : on mets cela sur la clé usb, et on utilise ce moyen pendant les deux ou trois jours pendant lequel on prépare le serveur.
pour relancer, faire les essais, etc... c'est plus simple.
ca évite à chaque fois de (se) taper la passphrase.
ensuite, quand c'est en place, on peut détruire cette horrible clé usb qui contient une passphrase en clair (on la format, avec écriture random dessus plein de fois et tout et tout... pour être bien sur.... évidemment...).
*********************
Q8: est ce qu'il est envisageable, et peut être déjà faisable, que la clé usb soit plutot un appel à un serveur d'authentification ?
un serveur du type Vault de HashiCorp, par exemple (
https://www.hashicorp.com/products/vault).
cela permet, entre autre, de couper toute tentative de lancer le serveur, ... s'il n'est pas connecté avec la bonne ip, et ne fait pas une demande en bonne et du forme au serveur d'authentification.
cela permet aussi de couper les droits de démarrer tout court, si on a constaté un problème (vol du serveur, par exemple....).
alors que si on s'est fait voler le serveur, et la clé dessus, ... tout voleur chacun peut relancer le serveur autant de fois qu'il veut... et avoir accès à la config...
Bon, d'accord, ça, c'est pas le plus urgent,... mais l'idée n'est pas mauvaise, d'utiliser une authentification par serveur, non ?
*******************************************
voilà,... 8 questions....
svp,... si vous pouvez éclaircir ces fonctionnements....
Antoine
Original post of Thuban.Votez pour ce billet sur Planet Libre.