Cryptage Lux. Systèmes de chiffrement de données LUKS, EncFS et CryptoFS pour Linux

Le cryptage du répertoire personnel offre une protection fiable des données stockées sur un disque dur ou un autre support. Le cryptage est particulièrement pertinent sur les ordinateurs portables, les ordinateurs à accès multiple et dans tout autre environnement. Le cryptage du répertoire personnel est proposé lors de l'installation de Linux Mint.

Le problème principal avec le cryptage complet du répertoire personnel est que vous devez "déplacer" le répertoire contenant les données cryptées en dehors du point de montage.

Les performances baissent légèrement, du moins pas encore en utilisant SWAP. SWAP est une partition de disque ou un fichier spécial dans lequel le système d'exploitation déplace des blocs individuels de RAM lorsqu'il n'y a pas assez de RAM pour exécuter des applications. SWAP est également crypté si vous choisissez de crypter votre répertoire personnel dans le programme d'installation et que le mode d'hibernation cesse de fonctionner.

Ne cryptez pas SWAP avec un répertoire personnel crypté - potentiellement dangereux, car il peut y avoir des données de fichiers cryptés en texte clair - tout l'intérêt du cryptage est perdu. À partir de la version 14 de Linux Mint, lors de l'installation, il est possible de choisir l'option de cryptage de l'intégralité du disque. Cette option est la plus appropriée pour stocker des données personnelles sur des appareils portables (qui n'ont généralement qu'un seul utilisateur).

1.3 Chiffrement dans gnome - Seahorse

Linux Mint a un utilitaire intégré appelé "Mots de passe et clés" ou Seahorse. Grâce à ses capacités, l'utilisateur peut opérer avec toutes les clés, mots de passe et certificats disponibles dans ce système d'exploitation.

Essentiellement, Seahorse est une application pour GNOME (GNOME est un environnement de bureau gratuit pour les systèmes d'exploitation de type Unix), qui est une interface pour GnuPG (un programme gratuit pour le cryptage des informations et la création de signature numérique) et est conçu pour gérer le cryptage clés et mots de passe. Entré pour remplacer le porte-clés GNOME, qui a été complètement remplacé dans GNOME 2.22, bien qu'il ait été annoncé dans GNOME 2.18. Permet d'effectuer toutes les opérations que vous deviez auparavant effectuer en ligne de commande et de les combiner sous une seule interface :

gérer la sécurité de votre environnement de travail et de vos clés OpenPGP et SSH ;

chiffrer, développer et vérifier les fichiers et le texte ;

ajouter et vérifier signatures numériques aux documents ;

synchroniser les clés avec les serveurs de clés ;

créer et publier des clés ;

réserver des informations clés ;

ajouter aux images dans n'importe quel GDK pris en charge en tant qu'identifiant de photo OpenGPG ;

1.4 TrueCrypt

TrueCrypt a une interface graphique assez conviviale, mais, malheureusement, les développeurs ont une intégration câblée avec le gestionnaire de fichiers Nautilus dans le code.

Diverses méthodes peuvent être utilisées pour chiffrer les données.

Vous devez d'abord créer un soi-disant conteneur, qui contiendra des dossiers de fichiers destinés au cryptage. Un conteneur peut être un fichier avec un nom arbitraire ou même une partition de disque entière. Pour accéder au conteneur, vous devez spécifier un mot de passe, et vous pouvez également créer un fichier clé (facultatif) qui sera utilisé pour chiffrer les informations. Le contenant est limité.

Créer des partitions/fichiers chiffrés

Création d'un fichier clé :

truecrypt -create-keyfile /home/utilisateur/test/fichier , où file est le nom du fichier clé.

Création d'un conteneur, dans ce cas une section :

sudo truecrypt -k /home/utilisateur/test/fichier -c /dev/sda9

A la place de la partition /dev/sda9, il est tout à fait possible de spécifier un fichier, par exemple /home/user/test/cryptofile, mais dans ce cas il faudra préciser sa taille, cela se fait avec le -size= Paramètre 5G avant le paramètre -c. Cet exemple créera un cryptofile de 5 Go. Parfois, TrueCrypt accepte la taille uniquement en octets, pour 5 Go, vous pouvez soit calculer la valeur à l'avance et spécifier -size=5368709120, soit l'écrire comme ceci : -size=`echo 1024^3*5 | bc`.

Un fichier de clé déjà créé sera utilisé pour le chiffrement.

Lors de la création, il vous sera demandé de sélectionner le type de conteneur (normal/caché), le système de fichiers (FAT, ext2/3/4 ou sans FS), dans cet exemple, le mode sans utiliser FS a été sélectionné. Il vous sera également proposé un choix d'algorithme de chiffrement (par exemple, AES), ainsi qu'un algorithme de hachage (par exemple, SHA-1) pour chiffrer les flux de données.

TrueCrypt est utilisé pour chiffrer les données à la volée, c'est-à-dire qu'en montant le conteneur, vous pouvez travailler avec les fichiers qu'il contient comme d'habitude (ouvrir/modifier/fermer/créer/supprimer), ce qui est très pratique.

Une partition/un fichier chiffré a été créé. Maintenant, si vous devez formater son système de fichiers interne (ci-après FS) sur celui souhaité, vous devez procéder comme suit.

Sélectionnez la partition requise à l'aide de Truecrypt :

truecrypt -k /home/utilisateur/test/fichier /dev/sda9

Par défaut, le périphérique Truecrypt créé /dev/mapper/truecrypt0 sera utilisé. En accédant à cet appareil, vous pouvez modifier, par exemple, le système de fichiers dans un conteneur chiffré. Dans ce cas, il faut le faire.

sudo mkfs.ext4 -v /dev/mapper/truecrypt0

Par cela, le FS ext4 a été créé à l'intérieur de ce conteneur chiffré.

De plus, puisque ce conteneur est déjà "attaché" au périphérique /dev/mapper/truecrypt0, il reste simplement à le monter dans un répertoire. Ce répertoire de montage doit déjà exister sur le système.

sudo mount /dev/mapper/truecrypt0 /mnt/crypto, où /mnt/crypto est le répertoire dans lequel le conteneur chiffré est monté.

vraicrypt -d

Désormais, sans connaître le fichier clé et le mot de passe, personne ne peut lire les informations cachées.

Introduction

Le stockage des données sous forme cryptée est un excellent moyen de protéger les informations afin qu'elles ne parviennent pas à un attaquant. Les systèmes cryptographiques sont développés pour protéger la propriété intellectuelle, les secrets commerciaux ou les informations personnelles. Ils peuvent se présenter sous diverses formes, offrir différents niveaux de fonctionnalité et contenir un nombre illimité d'options pour s'adapter à un large éventail d'environnements d'exploitation et d'environnements. Aujourd'hui, le nombre de méthodes, d'algorithmes et de solutions cryptographiques modernes est beaucoup plus important qu'auparavant. Et la qualité du développement est bien meilleure. De plus, il existe de nombreuses solutions réalisables sur le marché basées sur Open source, ce qui vous permet d'atteindre un bon niveau de protection sans dépenser de grosses sommes d'argent.

En décembre 2005, le Ponemon Institute a mené une enquête auprès de divers professionnels de la sécurité de l'information concernant le cryptage et la protection des données. Parmi les 6 298 répondants, seuls 4 % des répondants utilisaient le chiffrement à l'échelle de l'entreprise. La même enquête a révélé trois raisons principales à l'opposition farouche aux règles de chiffrement officielles :

• 69 % des personnes interrogées ont mentionné des problèmes de performance ;
• 44 % des répondants ont mentionné des difficultés de mise en œuvre ;
• 25% des répondants ont parlé du coût élevé de la mise en œuvre d'algorithmes cryptographiques.

Les organisations de nombreux pays sont soumises à de nombreux leviers de pression pour accroître la "transparence" de leur travail. Mais, d'un autre côté, ils ont la responsabilité légale de ne pas assurer la sécurité des informations confidentielles. Ce fut notamment le cas des magasins de chaussures DSW aux États-Unis).

La Federal Trade Commission des États-Unis a intenté une action en justice contre DSW, qui a déclaré qu'elle n'offrait pas un niveau adéquat de protection des informations et n'avait pas pris les mesures appropriées pour mettre en place des systèmes adéquats pour restreindre l'accès à ces données, ainsi que la mauvaise protection des connexions réseau. entre magasin et ordinateurs de bureau. Dans le cas de DSW, environ 1,4 million de cartes de crédit et environ 96 000 comptes courants étaient potentiellement accessibles aux criminels. Et avant que les accords entre l'entreprise et la FTC ne soient conclus, ces comptes avaient déjà été utilisés illégalement.

De nos jours, les solutions logicielles et d'ingénierie pour le cryptage des données sont plus que jamais disponibles. La clé USB, qui devient de jour en jour moins chère, est de plus en plus utilisée à la place des cartes à puce. Ce dernier, à son tour, peut également être trouvé, car la plupart des ordinateurs portables contiennent un lecteur de carte à puce.

Les consommateurs commencent de plus en plus à réfléchir aux dangers associés au vol d'informations personnelles, de données de propriétaire, de numéros de carte de crédit. Et ces craintes ne sont alimentées que par des informations faisant état de ventes massives d'informations volées de ce type auprès d'institutions chargées de données aussi précieuses.

Les consommateurs commencent également à réaliser qu'il est important de protéger les informations personnelles non seulement en ligne mais aussi hors ligne. Après tout, l'accès indésirable à vos données ne se produit pas toujours sur le Web. Ce problème est particulièrement pertinent pour ceux dont les ordinateurs portables non protégés peuvent tomber entre les mains du personnel de service pour modifier la configuration ou au service pour les réparations.

Problèmes techniques de cryptage

Les fonctions de cryptage sont essentielles à tous les systèmes informatiques multi-utilisateurs modernes où les données, les processus et les informations utilisateur sont logiquement séparés. Pour authentifier un utilisateur dans système similaire, les identifiants et les mots de passe sont hachés et comparés aux hachages déjà disponibles dans le système (ou le hachage est utilisé pour déchiffrer la clé de session, dont la validité est ensuite vérifiée). Afin d'empêcher la visualisation non autorisée d'informations personnelles, des fichiers individuels ou des sections entières peuvent être stockés dans des conteneurs cryptés. Et les protocoles réseaux, tels que SSL\TLS et IPSec, permettent, si nécessaire, de renforcer protection cryptographique divers appareils(/dev/random, /dev/urandom, etc.) en utilisant des algorithmes modulaires qui fonctionnent avec le noyau du système d'exploitation.

L'objectif de toute technologie de chiffrement de disque est de protéger contre l'accès indésirable aux informations personnelles et d'atténuer la perte de propriété intellectuelle résultant de l'accès illégal ou du vol d'un appareil physique. salle d'opération Système Linux avec la version 2.6.4 du noyau a introduit une infrastructure cryptographique avancée qui protège simplement et en toute sécurité les données personnelles à plusieurs niveaux logiciel. Il existe des normes entières pour le stockage des données chiffrées à un bas niveau, comme Linux Unified Key Setup (LUKS), et des implémentations au niveau de l'utilisateur, telles que les systèmes de fichiers EncFS et CryptoFS, qui à leur tour sont basés sur le Fast Userspace File System ( FUSE ) sous Linux. Bien sûr, tout système cryptographique n'est aussi résistant au piratage que ses mots de passe et ses clés d'accès. Au total, il existe trois niveaux principaux auxquels les technologies de chiffrement sont appliquées :

• le niveau des fichiers et le système de fichiers (chiffrement fichier par fichier, conteneur avec fichiers) ;
• niveau de bloc bas (conteneur avec système de fichiers) ;
• niveau matériel (dispositifs cryptographiques spécialisés).

Le chiffrement au niveau des fichiers est une technique très simple couramment utilisée pour le partage de fichiers. Le cryptage est utilisé au cas par cas, ce qui est pratique pour transférer un nombre raisonnable de fichiers. Pour les systèmes de fichiers multi-utilisateurs, il existe un problème de gestion des clés, car les dossiers et les fichiers de différents utilisateurs sont chiffrés avec des clés différentes. Bien sûr, vous pouvez utiliser une clé, mais nous obtenons alors une technologie qui ressemble au cryptage de disque. Comme toujours, il est de la responsabilité de l'utilisateur de choisir le mot de passe le plus sûr.

Des applications cryptographiques plus avancées fonctionnent au niveau du système de fichiers, gardant une trace des fichiers à mesure qu'ils sont créés, écrits ou modifiés. Cette méthode offre la meilleure protection pour les informations personnelles, quelle que soit leur utilisation, et convient également à un grand nombre de fichiers. De plus, il n'est pas nécessaire de s'inquiéter des applications qui ne savent pas chiffrer les fichiers individuellement.

Certaines technologies cryptographiques sont gratuites et incluses dans de nombreuses distributions. D'ailleurs, dernières versions Windows est équipé d'un système de fichiers spécial qui prend en charge le chiffrement EFS (Encrypted File System). Fedora prend en charge un certain nombre d'options de chiffrement, y compris LUKS (vous pouvez également activer la prise en charge de LUKS sous Windows si vous utilisez les systèmes de fichiers FAT ou FAT32 et l'application FreeOTFE). Et FUSE et EncFS sont disponibles dans les packages Extras. CryptoFS peut également être installé en téléchargeant à partir de site officiel. .

L'infrastructure FUSE se compose d'un module de noyau chargeable et d'une bibliothèque d'espace utilisateur qui sert de base à la fois au système de fichiers CryptoFS et au système de fichiers cryptés (EncFS). De par sa conception, FUSE n'affecte pas le code source du noyau et offre en même temps une grande flexibilité pour implémenter de nombreux ajouts intéressants, par exemple, le système de fichiers monté à distance du système de fichiers Secure Shell (SSHFS).

CryptoFS stocke les données cryptées dans la structure de répertoire habituelle, divisée en deux parties principales : les informations textuelles (liste des fichiers, dossiers, archives) et les données cryptées réelles. Vous ne pouvez remonter un répertoire chiffré qu'à l'aide de la clé. Lorsque vous utilisez CryptoFS, vous n'avez pas besoin de privilèges spéciaux et sa configuration est également facile.

Le système de fichiers EncFS est également une implémentation de l'espace utilisateur basée sur la bibliothèque FUSE qui offre une protection contre le vol d'informations et fonctionne sur le principe du chiffrement fichier par fichier. Il a hérité sa structure des versions antérieures, mais avec des améliorations tant dans la forme que dans la fonction. Le système de fichiers EncFS peut être étendu dynamiquement pour répondre aux besoins croissants des utilisateurs. Les fichiers peuvent être chiffrés selon divers paramètres (par exemple, lors de la modification du contenu, des attributs, etc.). Fondamentalement, le stockage sous-jacent pour EncFS peut être n'importe quoi, d'une image ISO à une partition réseau ou même un système de fichiers distribué.

Les deux systèmes de fichiers sont de bout en bout et peuvent être utilisés par-dessus d'autres systèmes de fichiers et abstractions logiques, tels qu'un journal ou un système de fichiers étendu pouvant être distribué sur plusieurs supports physiques à l'aide d'un gestionnaire de partition logique (LVM). L'illustration suivante montre schématiquement le fonctionnement de ce système de fichiers : dans ce schéma, le répertoire visible est /mount (niveau de données non chiffrées EncFS).

Superposition de l'espace utilisateur montrant l'interaction entre FUSE et EncFS.

Sous la couche d'abstraction du système de fichiers se trouvent des schémas de chiffrement de bas niveau (bloc) comme ceux utilisés dans LUKS. Les schémas de ce type ne fonctionnent que sur des blocs de disque, sans prêter attention aux abstractions du système de fichiers de niveaux supérieurs. Des schémas similaires peuvent être utilisés pour les fichiers d'échange, pour divers conteneurs ou même pour des supports physiques entiers, y compris le chiffrement complet de la partition racine.

LUKS fonctionne sans connaissance exacte du format du système de fichiers.

LUKS est conçu selon Trusted Key Setup #1 (TKS1) et est compatible avec Windows lors de l'utilisation d'un format de système de fichiers courant (FAT/FAT32). Le système est bien adapté aux utilisateurs mobiles, prend en charge l'émission et la révocation des clés Gnu Privacy Guard (GPG) et est entièrement gratuit. LUKS est capable de bien plus que toute autre implémentation décrite dans cet article. De plus, LUKS prend en charge un grand nombre de solutions pour créer et gérer des appareils chiffrés LUKS.

Le système de fichiers CryptoFS n'accepte qu'un mot de passe, tandis que les médias chiffrés avec LUKS fonctionnent avec n'importe quelle clé PGP (Pretty Good Privacy) avec n'importe quel nombre de mots de passe. EncFS utilise également un mot de passe pour protéger les fichiers, mais il ouvre une clé stockée dans le répertoire racine correspondant.

Les différences entre les implémentations de bas niveau et celles de l'espace utilisateur sont mieux visibles dans les tests pratiques. À un niveau inférieur, les données peuvent être transférées de manière "transparente" vers le système de fichiers, qui gère les écritures et les lectures beaucoup plus efficacement.

Configurer les tests

Notre plate-forme de test était le portable Dell Latitude C610, un peu dépassé, mais tout de même assez agile représentatif de la technologie du modèle 2002. Sur batterie, le C610 fait chuter l'horloge du processeur à 733 MHz. Par conséquent, lors des tests, nous n'avons pas débranché l'ordinateur portable de la prise. Le tableau suivant montre la configuration de l'ordinateur portable

Les résultats des tests ont été obtenus en utilisant le système de fichiers EXT3 sous Linux. EXT3 n'est peut-être pas le plus performant par rapport aux autres systèmes de fichiers de journalisation. Mais des expériences de réglage fin du format du système, de la taille des blocs, des paramètres du lecteur, etc. sont hors de question. ne sont pas soumis à nos tests, car ils ne répondent pas aux critères d'installation et de configuration simples. Rappelons que le but de l'article était de montrer comment les solutions cryptographiques Linux permettent de créer facilement, efficacement et à moindre coût des magasins de données sécurisés.

Installation

LUKS, FUSE et EncFS sont disponibles dans la distribution Fedora, donc aucun effort supplémentaire n'est requis. Mais CryptoFS devra être téléchargé séparément.

Compiler CryptoFS à partir des sources est assez simple. Décompressez l'archive, exécutez le script de configuration dans le répertoire cible, puis exécutez make comme indiqué dans l'illustration. Le fichier de configuration contient quatre paramètres : chiffrement de chiffrement, algorithme de résumé de message, taille de bloc et nombre de sels de chiffrement.

Le processus d'installation de CryptoFS est simple.

La configuration consiste à spécifier les chemins des répertoires de début et de fin (pour les données chiffrées et non chiffrées). Vous pouvez ensuite exécuter la commande cryptofs comme illustré dans la figure suivante.

Configuration de CryptoFS.

Ensuite, vous pouvez exécuter la commande mount, après quoi vous pouvez voir la partition montée.

Tout d'abord, assurez-vous de charger le module noyau FUSE (modprobe fuse). EncFS simplifie le processus de création d'un conteneur chiffré, comme le montre l'illustration suivante.

En omettant le processus d'installation de clé (qui est spécifique à chaque situation), LUKS peut être facilement configuré comme indiqué ci-dessous.

Benchmarks et analyse des performances

Les différences de performances entre une installation native et une installation chiffrée par LUKS sont assez mineures. Surtout compte tenu de la différence notable dans les solutions d'espace utilisateur. Pour évaluer les performances des systèmes de fichiers chiffrés un par un, nous avons utilisé Iozone. Les enregistrements de 4 Ko à 16 Mo sont utilisés pour les tests, la taille du fichier varie de 64 Ko à 512 Mo et le résultat est spécifié en Ko/s.

Conclusion

Au moins là où LUKS est utilisé, vous n'avez pas à vous soucier des performances. Bien que, bien sûr, une certaine perte de performances soit causée par le cryptage "transparent" des données. LUKS est facile et simple à installer et peut être utilisé à la fois sous Linux et Windows.

Les utilisateurs professionnels devront certainement faire face à des restrictions liées à la politique de l'entreprise. Souvent, ils interdisent les solutions open source ou interdisent certaines implémentations. De plus, il faut parfois tenir compte des restrictions sur l'import/export des technologies de chiffrement concernant la force du code, ou le service informatique demande une assistance téléphonique du fournisseur de la solution, ce qui permet d'oublier LUKS, EncFS et CryptoFS. Dans tous les cas, LUKS est une excellente solution si vous n'avez pas de problèmes comme celui-ci. Une bonne option pour les petites entreprises ou les particuliers.

Mais gardez à l'esprit que le cryptage des données n'est pas une panacée. Comme le cryptage est transparent, tout cheval de Troie exécuté au nom de l'utilisateur peut accéder aux données cryptées.

L'avis de l'éditeur

CryptoFS et EncFS sont des implémentations de l'espace utilisateur. Comme nous l'avons expliqué précédemment, leur conception et leur mise en œuvre sont simples, mais se font au détriment des performances et des fonctionnalités. Ceci est particulièrement évident par rapport à LUKS. Non seulement il est nettement plus rapide, mais il prend également en charge une ou plusieurs clés PGP et peut être utilisé sur une partition entière.

Les conteneurs d'espace utilisateur sont importants principalement pour les utilisateurs qui souhaitent protéger leurs informations personnelles dans un environnement multi-utilisateurs. Et qui a besoin de protéger ses données pour que même un administrateur ne puisse pas accéder aux ressources matérielles ou logicielles. Outre les performances et les avantages de la prise en charge multiplateforme, LUKS s'intègre bien aux systèmes de gestion de clés GNOME et PGP. Et légèreté utilisation quotidienne partitions LUKS cryptées est tout simplement impressionnant. Soit dit en passant, EncFS prend en charge le module d'authentification enfichable (PAM) sous Linux dans les environnements appropriés.

Ce n'est un secret pour personne qu'aujourd'hui, le cryptage des données est peut-être le seul moyen de les sauvegarder d'une manière ou d'une autre. Aujourd'hui, nous allons apprendre à créer une partition chiffrée sous Linux en utilisant la norme luks (Linux Unified Key Setup). Par exemple, je donnerai des captures d'écran du système d'exploitation CentOS Linux.

Donc, dans un premier temps, nous allons préparer la section que nous allons chiffrer. Au sein de sa machine virtuelle J'ai créé nouveau disque, connecté à l'interface SATA, le périphérique /dev/sdb est apparu dans le système

Créons une partition principale dessus :

# fdisk /dev/sdb

Créé 1 partition (sdb1), lui a donné tout l'espace libre.

Super, formatons maintenant la partition /dev/sdb1 à l'aide d'outils de cryptoprotection de mots de passe. Nous serons invités à entrer un mot de passe. Répétons-le deux fois pour ne pas nous tromper.

# cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb1

L'algorithme par défaut est AES 256 bits. Si nécessaire, vous pouvez sélectionner un autre algorithme en spécifiant les commutateurs -c algorithm -s key length

# cryptsetup -c aes -s 1024 --verbose --verify-passphrase luksFormat /dev/sdb1

Puis on active le cryptocontainer appelé safe :

# cryptsetup luksOpen /dev/sdb1 safe

En conséquence, un nouveau périphérique bloc est créé dans le répertoire /dev/mapper/ avec le nom safe.

Nous créons système de fichiers:

# mkfs.ext3 /dev/mapper/safe

Et si nous voulions que notre partition soit activée à chaque démarrage du système (en demandant une phrase de passe, bien sûr) ?

Modifions le fichier /etc/crypttab, qui est similaire à /etc/fstab

# vim /etc/crypttab

Ajoutons une ligne ici :

sûr /dev/sdb1 aucun

Et ce qui suit dans le fichier /etc/fstab :

/dev/mapper/safe /safe ext3 par défaut 0 0

Oui, la situation. Nous avons créé une section cryptée. Nous connaissons la clé. Est-il possible de rendre la section disponible non seulement par notre clé, mais aussi d'une autre manière. Autrement dit, nous voulons donner accès à "Vasya" afin qu'il puisse travailler sur un pied d'égalité avec nous. Facilement.

Ajoutons une clé supplémentaire au cryptocontainer.

Au total, vous pouvez créer jusqu'à 8 clés, chacune s'insérant dans son propre emplacement.

Vous pouvez afficher les emplacements occupés comme ceci :

# cryptsetup luksDump /dev/sdb1

Comme vous pouvez le voir, les emplacements 0 et 1 sont occupés.Les fichiers clés peuvent également être utilisés à la place des mots de passe.

Vous pouvez afficher l'état d'un cryptocontainer comme ceci :

# état sécurisé de cryptsetup

Exemple pratique.

Objectif : Protéger périphérique USB des regards indiscrets.

Connectons le lecteur flash à notre système :

Le lecteur flash a été défini comme un périphérique sdc. Cela signifie que le périphérique /dev/sdc est apparu. S'il y avait des partitions fat ou ntfs sur le lecteur flash, il est préférable de déposer les informations quelque part, car après le cryptage de l'appareil, tout sera perdu.

Ainsi, nous pouvons partitionner le lecteur flash à l'aide de fdisk, nous pouvons le laisser tel quel.

# cryptsetup luksFormat /dev/sdc

Saisissez une phrase de passe.

Connectons maintenant notre appareil crypté pour le marquer sous le nouveau système de fichiers :

# cryptsetup luksOpen /dev/sdc flash

Maintenant, on nous demandera une phrase de passe, après l'avoir saisie, un nouveau périphérique /dev/mapper/ apparaîtra dans le système<имя>, dans notre cas flash.

Créons un système de fichiers sur cet appareil :

# mkfs.ext3 /dev/mapper/flash

Prêt. Eh bien, il est temps de créer les clés qui seront utilisées pour accéder à l'appareil. Plusieurs clés peuvent être préparées (jusqu'à 8 emplacements au total, bien que le 0ème emplacement soit déjà occupé par une phrase secrète, mais il peut être supprimé).

# dd if=/dev/urandom of=~/keyfile.key bs=1 count=256

Ainsi, nous allons créer un fichier de 256 octets rempli de nombres aléatoires. Vous pouvez le vérifier comme ceci :

# xxd ~/keyfile.key

Vraiment. complètement aléatoire. Il reste maintenant à ajouter cette clé à notre lecteur flash.

Désactivons le cryptocontainer pour l'instant.

# cryptsetup luksFermer le flash

Ajout d'une clé :

# cryptsetup luksAddKey /dev/sdc ~/keyfile.key

Nous serons invités à entrer une phrase de passe pour nous assurer que nous avons accès à ce coffre-fort.

# cryptsetup luksDump /dev/sdc

Super! Maintenant, gardons la clé dans un endroit sûr, nous en aurons besoin pour accéder au conteneur.

Exemple 1

L'utilisateur "A" veut télécharger un fichier sur le lecteur flash, connaissant la phrase secrète :

Nous l'avons déverrouillé avec un mot de passe en créant un périphérique mydisk, puis nous avons monté mydisk dans le répertoire personnel. Créé fichier texte hello.txt avec le contenu. Le conteneur a été désactivé.

Exemple 2

Déverrouillé par fichier clé, créé un périphérique flashka. Nous l'avons monté dans le répertoire personnel de l'utilisateur sergey, lisez le fichier - tout va bien !