Debian LVM chiffré : déchiffrement sur clef USB
vendredi 26 septembre 2014 à 15:11e-loquens, le 26/09/2014 à 15:11
Je voulais passer à un FS chiffré, pour diverses raisons, la principale était de tester. Je rassemble ici quelques infos que j'ai eu du mal à trouver et un retour d'expérience.
Tout d'abord, niveau perfs, rien à redire. On doit théoriquement perdre un peu à cause du chiffrement/déchiffrement lors des accès disques, mais ce n'est pas perceptible en utilisation normale. Même un (gros) jeu lancé avec Wine ne permet pas de sentir la différence.
Ensuite, mon projet était le suivant: chiffrer la totalité du disque de ma machine perso principale (sauf /boot bien entendu). Démarrer sans avoir à saisir de mot de passer supplémentaire, en déportant la clef de déchiffrement sur un périphérique USB que je puisse emporter avec moi en mon absence (ainsi un éventuel cambrioleur n'aura pas accès à mes données) ou manger en cas de perquisition (comme Alfred Sirven : http://www.dhnet.be/actu/monde/sirven-a-avale-la-carte-sim-de-son-gsm-avant-d-etre-arrete-51b7d8efe4b0de6db991894f ). Les sauvegarde se feront sur un disque dur externe chiffré également, mais sans montage automatique (ce n'est pas encore mis en place, mais c'est assez trivial en comparaison). Les clef de déchiffrement de tout ce beau monde seront sauvegardées sur un fichier chiffré KeePass qui existe à plusieurs endroits. Ça fait beaucoup de chiffrement dans un même paragraphe.
Une considération: dans un tel cas, la solidité de l'ensemble de la chaîne est égale à la solidité du plus faible des maillons. Si mes clefs sont blindées mais que le mot de passe du fichier KeePass est 1234, tous mes efforts ne vaudront pas tripette.
Par ailleurs, il est normalement conseillé d'effectuer une sauvegarde des en-têtes LUKS du système de fichiers chiffré. J'ai pris le parti de ne pas le faire. Ma stratégie de sauvegarde est éprouvée, et en tout était de cause, si mon système de fichiers est corrompu, je ne vais pas me poser de question et je vais réinstaller le tout à partir de ma sauvegarde. À vous d'adapter en fonction de vos exigences et de votre infrastructure.
Maintenant, comment faire? Sachant qu'en tout état de cause, le risque de perte de données est non nul, et que je n'en suis aucunement responsable.
Étape 0 : Sauvegardez vos données si votre disque en contient!
Étape 0.1 : Effectuez une seconde sauvegarde, on n'est jamais trop parano.
Étape 1 : Effectuer une installation "normale" de Debian (ici une Testing). Au moment du partitionnement, sélectionner "LVM Chiffré". Attention, l'écrasement du contenu du disque avec des données aléatoires est très long (>20h pour 500Go). Si vous abandonnez cette étape, vous pourrez continuer la procédure. À vous de voir.
Étape 2 : Je suis lâche et je vous renvoie au how-to, en anglais, que j'ai suivi. N'hésitez réellement pas à le suivre à la lettre, ça m'a permis de réussir du premier coup !
Tout d'abord: http://www.oxygenimpaired.com/debian-lenny-luks-encrypted-root-hidden-usb-keyfile . Arrivé à "Create the keyscript", vous pouvez passer à la suite ici (qui permet de gérer Grub2 et les versions récentes de Debian/Ubuntu) : http://www.oxygenimpaired.com/ubuntu-with-grub2-luks-encrypted-lvm-root-hidden-usb-keyfile .
Ce how-to est excellent et propose une méthode intéressante concernant la clef USB de déchiffrement: remplir le périphérique USB de données aléatoires (très long comme il se doit), récupérer 4096 octets _entre_ le MBR et le début de la première partition: on peut ensuite créer une partition avec Fdisk et la formater en vfat. La clef USB est ensuite utilisable comme une clef normale. Ça reste de l'obfuscation, ce qui signifie que ça ne protège pas des experts en sécurité, mais je trouve l'idée excellente car très simple. Par ailleurs, en cas de perte de la clef USB "physique", il reste possible d'utiliser la clef de déchiffrement paramétrée lors de l'install de Debian. Elle est demandée si initramfs ne trouve pas la clef USB.
Voilà, à vous de jouer, préparez une dose de café tout de même.
(Permalink)
Famille Michon > e-loquens, le 27/09/2014 à 15:33
Dommage, j'arrive trop tard. Il y a un article sur la question dans un vieux GLMF, de l'époque ou Denis Bodor s'intéressait encore à Linux.
Sur le même principe : la clef USB qui fait "clef de contact". En tout cas j'avais trouvé ça très intéressant et passionnant, m'y connaissant peu en système à l'époque.
(Permalink)
e-loquens > Famille Michon, le 28/09/2014 à 10:00
Oui, c'est passionnant à faire, et enrichissant car initramfs c'est pas l'endroit où on met le plus souvent les doigts.
Pas con le terme "clef de contact". Pour ne pas s'emmêler. "La phrase de passe est sur la clef de contact" c'est plus clair que "la clef de déchiffrement est sur la clef usb de déchiffrement".
(Permalink)
Je voulais passer à un FS chiffré, pour diverses raisons, la principale était de tester. Je rassemble ici quelques infos que j'ai eu du mal à trouver et un retour d'expérience.
Tout d'abord, niveau perfs, rien à redire. On doit théoriquement perdre un peu à cause du chiffrement/déchiffrement lors des accès disques, mais ce n'est pas perceptible en utilisation normale. Même un (gros) jeu lancé avec Wine ne permet pas de sentir la différence.
Ensuite, mon projet était le suivant: chiffrer la totalité du disque de ma machine perso principale (sauf /boot bien entendu). Démarrer sans avoir à saisir de mot de passer supplémentaire, en déportant la clef de déchiffrement sur un périphérique USB que je puisse emporter avec moi en mon absence (ainsi un éventuel cambrioleur n'aura pas accès à mes données) ou manger en cas de perquisition (comme Alfred Sirven : http://www.dhnet.be/actu/monde/sirven-a-avale-la-carte-sim-de-son-gsm-avant-d-etre-arrete-51b7d8efe4b0de6db991894f ). Les sauvegarde se feront sur un disque dur externe chiffré également, mais sans montage automatique (ce n'est pas encore mis en place, mais c'est assez trivial en comparaison). Les clef de déchiffrement de tout ce beau monde seront sauvegardées sur un fichier chiffré KeePass qui existe à plusieurs endroits. Ça fait beaucoup de chiffrement dans un même paragraphe.
Une considération: dans un tel cas, la solidité de l'ensemble de la chaîne est égale à la solidité du plus faible des maillons. Si mes clefs sont blindées mais que le mot de passe du fichier KeePass est 1234, tous mes efforts ne vaudront pas tripette.
Par ailleurs, il est normalement conseillé d'effectuer une sauvegarde des en-têtes LUKS du système de fichiers chiffré. J'ai pris le parti de ne pas le faire. Ma stratégie de sauvegarde est éprouvée, et en tout était de cause, si mon système de fichiers est corrompu, je ne vais pas me poser de question et je vais réinstaller le tout à partir de ma sauvegarde. À vous d'adapter en fonction de vos exigences et de votre infrastructure.
Maintenant, comment faire? Sachant qu'en tout état de cause, le risque de perte de données est non nul, et que je n'en suis aucunement responsable.
Étape 0 : Sauvegardez vos données si votre disque en contient!
Étape 0.1 : Effectuez une seconde sauvegarde, on n'est jamais trop parano.
Étape 1 : Effectuer une installation "normale" de Debian (ici une Testing). Au moment du partitionnement, sélectionner "LVM Chiffré". Attention, l'écrasement du contenu du disque avec des données aléatoires est très long (>20h pour 500Go). Si vous abandonnez cette étape, vous pourrez continuer la procédure. À vous de voir.
Étape 2 : Je suis lâche et je vous renvoie au how-to, en anglais, que j'ai suivi. N'hésitez réellement pas à le suivre à la lettre, ça m'a permis de réussir du premier coup !
Tout d'abord: http://www.oxygenimpaired.com/debian-lenny-luks-encrypted-root-hidden-usb-keyfile . Arrivé à "Create the keyscript", vous pouvez passer à la suite ici (qui permet de gérer Grub2 et les versions récentes de Debian/Ubuntu) : http://www.oxygenimpaired.com/ubuntu-with-grub2-luks-encrypted-lvm-root-hidden-usb-keyfile .
Ce how-to est excellent et propose une méthode intéressante concernant la clef USB de déchiffrement: remplir le périphérique USB de données aléatoires (très long comme il se doit), récupérer 4096 octets _entre_ le MBR et le début de la première partition: on peut ensuite créer une partition avec Fdisk et la formater en vfat. La clef USB est ensuite utilisable comme une clef normale. Ça reste de l'obfuscation, ce qui signifie que ça ne protège pas des experts en sécurité, mais je trouve l'idée excellente car très simple. Par ailleurs, en cas de perte de la clef USB "physique", il reste possible d'utiliser la clef de déchiffrement paramétrée lors de l'install de Debian. Elle est demandée si initramfs ne trouve pas la clef USB.
Voilà, à vous de jouer, préparez une dose de café tout de même.
(Permalink)
Famille Michon > e-loquens, le 27/09/2014 à 15:33
Dommage, j'arrive trop tard. Il y a un article sur la question dans un vieux GLMF, de l'époque ou Denis Bodor s'intéressait encore à Linux.
Sur le même principe : la clef USB qui fait "clef de contact". En tout cas j'avais trouvé ça très intéressant et passionnant, m'y connaissant peu en système à l'époque.
(Permalink)
e-loquens > Famille Michon, le 28/09/2014 à 10:00
Oui, c'est passionnant à faire, et enrichissant car initramfs c'est pas l'endroit où on met le plus souvent les doigts.
Pas con le terme "clef de contact". Pour ne pas s'emmêler. "La phrase de passe est sur la clef de contact" c'est plus clair que "la clef de déchiffrement est sur la clef usb de déchiffrement".
(Permalink)