Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Déchiffrer une partition amovible sans saisie du mot de passe

Arbiel

Bonjour à tous

Un clic sur le signet Nautilus d'une partition amovible chiffrée me demande la saisie du mot de passe pour me donner accès aux données et je souhaite me passer de cette saisie.

J'ai mis en œuvre PAM pour une partition permanente (présente à l'ouverture de ma session) et je voudrais utiliser la même technique pour la partition amovible. Je pense en effet que crypttab est exploitée au démarrage alors que le support amovible n'est bien sûr pas encore connecté.

Merci d'avance à quiconque voudra bien me mettre sur la voie.

Arbiel

[supprimé]

Hello Arbiel,

tu dois connaître cette page : http://www.linuxpedia.fr/doku.php/expert/systeme_chiffre_luks_pam_cryptsetup

En descendant sur la page tu verras un partie qui traite du montage automatique d'une partition chiffrée swap. (le hic c'est ça, c'est qu'ils disent comment ça marche pour swap, pas pour une autre partition), mais comme swap peut être assimilé peut-être à une partition amovible, peut-être que tu pourras adapter cette solution sur "swap" pour ta partition amovible ? (mais là je ne donne aucune garantie, je ne sais pas si cela est possible).

@+

[supprimé]

Je pense que les udev sont plus appropriés. tu as un exemple
Par ailleurs, " Déchiffrer une partition amovible sans saisie du mot de passe" au démarrage ou sans être connecté à sa session, est probablement une faille de sécurité. Il faudra que tu adaptes et faire des tests.

Adapter la rule et le script /usr/loca/bin/unlock-luks ... en s'assurant que toto a bien une session ouverte. Le déchiffrement et le montage peuvent alors se faire.

 xloggin=`who | grep -wc "toto"`;[[ "$xloggin" -eq 0  ]] && echo "logout" || echo "logged in"

Arbiel

Bonjour

Merci à vous deux pour votre intervention. Je ne connaissais aucune des deux pages dont vous m'avez donné la référence. Je n'en ai pas encore entièrement pris connaissance, le problème qui me préoccupe n'étant pas d'une très haute priorité.

J'ai néanmoins pris une première précaution, la sauvegarde de l'entête de mes partitions luks comme le suggère la page indiquée par Pascal34.

La solution présentée dans la page indiquée par Titouan me paraît, après un début de lecture rapide, répondre assez bien (en attendant une lecture plus attentive) à mes besoins. L'idée de cacher la clé de chiffrement dans un espace hors partition, entre le MBR et la première partition, me paraît intéressante, mais néanmoins risquée du fait de l'augmentation progressive et vraisemblablement constante de core.img (grub est installé sur tous mes disques amovibles). Pour être tranquille, il me faudrait donc agrandir cet espace ce qui peut demander un peu de temps.

Je vais y réfléchir.

Arbiel

[supprimé]

Hello Arbiel, comme cela t'intéresse, je te donne ces autres liens, plus spécialisés.

https://forums.archlinux.fr/topic15349.html
https://wiki.archlinux.org/index.php/Dm-crypt/Device_encryption
http://www.artiflo.net/2009/08/pbkdf2-et-generation-des-cles-de-chiffrement-de-disque/

On y apprend l'importance de l'itération, mais aussi, une ligne apparemment intéressante pour "aller chercher la plus forte protection de chiffrement possible" lors de la création d'un conteneur chiffré. Tu verras que c'est normalement cette ligne là :

# cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2

Que tu peux adapter, comme tu liras que l'itération est importante, tu peux faire des essais, et la monter par exemple à 20 000, ce qui donnerait cela :

# cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 20000 --use-random luksFormat /dev/sda2

Lorsqu'une itération plus importante est requise (comme sur cette seconde ligne au dessus), ton conteneur chiffré sera plus long à monter, je veux dire que à partir du moment où tu auras rentré ton mot de passe comme tu fais d'habitude, il se passera peut-être 15 secondes (ou bien plus si tu mets 80 000 en chiffre d'itération) avant que ton conteneur chiffré soit déchiffré et donc accessible dans Nautilus (ou bien si tu n'as pas Nautilus, ce sera un autre programme qui sert donc d’explorateur de fichiers dans Ubuntu (ou dans tout autres versions de Linux)). Le fait d'avoir forgé un conteneur chiffré avec une bonne grosse itération, ralenti la recherche du mot de passe par brute force, et de beaucoup, si tu as fait un réglage qui prend 30 secondes avant que ton conteneur soit déchiffré dans ton explorateur de fichier, cela veut dire que l'attaque par brute force ne pourra tester qu'un seul mot de passe, toutes les 30 secondes, ce qui est relativement intéressant, voir très intéressant, du moment que le logiciel de brute force n'arrive pas à contourner cette protection par itération. Et cela, je n'ai pas réussi à trouver si ils avaient déjà contourné la protection par itération... Si tu as des infos dessus je suis preneur.

chpnp

les cryptages actuels ne sont pas attaquables efficacement meme par force brute à condition
- que le mot de passe soit vraiment aléatoire
- qu'il comporte au moins une 15 aine de caractères (peut etre plus fonction de la facon dont tu génères ton mot de passe)

[supprimé]

Je ne sais pas s'il s'agit d'un disque dur amovible, usb ou autre, mais le problème n'est pas dans la key et passphrase, mais dans le moment et les conditions dont le montage s'exécute.

1/udev rule avec ajout OWNER, GROUP, MODE par exemple

2/et ajouter des conditions dans le script /usr/loca/bin/unlock-luks
faire un test avec who par exemple en excluant, le faux positif de session du ssh.

ssh toto@domain.tld
who
toto   pts/0 ....

sudo lsof -i:22
sshd    9711 toto    3u  IPv4 42002927      0t0  TCP ....  (ESTABLISHED)

Au moins, tu es sûr que quand toto insère sa clef usb, il est là avec accès physique à la machine.