Bon je donne quand même le mode d'emploi si tu veux utiliser Cryptsetup comme Truecrypt. Car le lien que je viens de donner juste au dessus mérite quand même des mises à niveau et des explications.
Le but que l'on se donne avec ce tuto est de créer un fichier (de la taille que l'on souhaite), sur le disque dur que l'on souhaite (dans notre exemple ce sera sur le disque dur qui comporte notre système Ubuntu, et dans le dossier /home plus précisément), et de reproduire donc l'utilisation de Truecrypt.
C'est long et compliqué et quand on débute, il faut des explications, elles sont les suivantes selon moi, et resteront tout à fait perfectibles par celle ou celui qui le souhaitera. Il faut préciser qu'une fois passées ces étapes suivantes de confections et sauvegardes, l'utilisation d'un conteneur chiffré Cryptsetup est on ne peut plus facile, elle est aussi facile qu'avec Truecrypt :
En premier on va créer
sur un disque dur existant et qui comporte déjà des données, notre fichier qui accueillera nos données chiffrées, on lui donne la taille de 500 méga, et il se nommera "moncoffrefort", avec cette commande :
$ dd if=/dev/urandom bs=1M count=500 of=moncoffrefort
Le terminal travaille un peu (quelques dizaines de secondes) et il revient vers vous une fois fini. Vous restez donc dans ce même terminal pour la suite.
Il va falloir maintenant expliquer au système que ce fichier sera en fait comme un périphérique "disque dur", et qu’il faudra qu'il travaille avec lui comme tel 😉 On le fait avec la commande qui suit :
$ sudo losetup /dev/loop0 moncoffrefort
Si en tapant cette dernière commande vous avez un message resemblant à
ioctl: LOOP_SET_FD: Périphérique ou ressource occupé, c’est que
/dev/loop0 est déjà utilisé, changez le nombre 0 en un nombre de 1 à 7, ce qui donnerai cette commande suivante par exemple :
$ sudo losetup /dev/loop1 moncoffrefort
Une fois trouvé notre
/dev/loop(0-7) libre, nous allons chiffrer ce conteneur avec la commande suivante (pour la commande qui suit on restera sur un
/dev/loop0 car nous considérons que sur notre PC il est libre actuellement ) :
$ sudo cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 10000 --use-random luksFormat /dev/loop0
Donc à cette dernière commande, le terminal vous affiche un gros
WARNING ! écrit comme en dessous :
WARNING!
========
Cela écrasera de façon définitive les données sur /dev/loop0.
Are you sure? (Type uppercase yes):
Il faudra répondre
YES (mais en majuscules ! (uppercase 😉 ), et entrer votre mot de passe deux fois (ici c'est le mot de passe du conteneur chiffré qu'il faudra entrer deux fois, et non pas le mot de passe de votre session Ubuntu). Je précise qu'ici
nous ne risquons pas de supprimer les données éxistantes sur un disque dur de notre PC, nous avons indiqué
/dev/loop0 comme périférique, et non pas par exemple un
/dev/sda (qui contient les données de notre système), ou un
/dev/sdb1 qui contiendrait des données personnelles
sur un autre disque dur de notre système, non, nous agissons sur
/dev/loop0 que nous venons de créer. Donc aucun risque de «bêtises» jusqu'ici.
Ensuite on va ouvrir notre conteneur "moncoffrefort" :
$ sudo cryptsetup luksOpen /dev/loop0 moncoffrefort
Et on va le formater :
$ sudo mkfs.ext4 /dev/mapper/moncoffrefort
Ensuite on fait ces trois commandes de montage et démontage et fermeture de "moncoffrefort" :
$ sudo mount -t ext4 /dev/mapper/moncoffrefort /mnt
$ sudo umount /mnt
$ sudo cryptsetup luksClose moncoffrefort
On a presque fini, ensuite on fait ceci :
En ouvrant l'explorateur de fichiers Nautilus (en allant dans le dossier "Mes Documents" par exemple) cela ouvre une fenêtre de Nautilus et on découvre alors dans l'arborescence de gauche de cet explorateur de fichiers (Nautilus), un nouveau disque dur de 500 méga
dont le nom se termine par «chiffré». On fait un seul clic gauche dessus, une petite fenêtre s'ouvre alors, et nous demande d'entrer notre mot de passe, elle comporte aussi des options à choisir, (vous choisirez celle qui vous convient). On entre donc notre mot de passe du disque dur chiffré et notre disque dur se monte dans Nautilus, à partir de ce moment là on laisse tout tel quel et on va ouvrir un terminal, dans lequel on entre ceci :
$ gksudo nautilus
Une nouvelle fenêtre de Nautilus s'ouvre,(mais attention, celle-ci est en Root, alors pas de bêtises, on ne fera que ce qui est nécessaire et décrit ci-dessous).
Dans cette nouvelle fenêtre on regarde à gauche dans son arborescence, on y trouve notre disque dur de 500 méga chiffré, (
mais ici le nom sera des numéros et des lettres dans l'arborescence de gauche de cette fenêtre de Nautilus en Root), on clique gauche une seule fois sur ce nom fait de numéros et lettres et on se retrouve avec à droite dans la fenêtre de Nautilus, un seul dossier appelé "lost+found", et tout autour de ce dossier il y a du blanc (dans Nautilus), on clic droit sur ce blanc, et on choisi "Propriétés", une petite fenêtre s'ouvre et on va dans l'onglet "Permissions".
Là on verra que les Permissions "Propriétaires" et "Groupe" sont attribuées à l'utilisateur Root, il faudra faire basculer les permissions de "Propriétaires" et de "Groupe"
vers votre nom de cession habituelle d'Ubuntu, au lieu de Root comme elles sont définies actuellement, afin que vous puissiez manipuler les données librement à l'intérieur de ce conteneur «Truecrypt-cryptsetup». Une fois fait vous fermez cette fenêtre ouverte en Root.
Vous pouvez maintenant utiliser votre disque dur chiffré pour y mettre et enlever des fichiers.
Noubliez pas de faire une sauvegarde de l'entête de ce conteneur chiffré de 500 méga.
Ici cela se fera de cette manière :
On va vérifier quel
/dev/loop(0-1-2-3-4-5-6-7) est monté :
Dans un terminal on lance un :
$ sudo losetup -a
Si le terminal
ne nous retourne rien du tout et repasse directement
à une invit de commande, c'est que aucun
/dev/loop ne sera monté,
mais comme nous venons de créer un /dev/loop0 avec notre conteneur de 500 méga, on aura automatiquement un retour du terminal nous indiquant un
/dev/loop0.
On le démonte, et pour ce faire, dans un terminal on entre :
$ sudo lostetup -d /dev/loop0
On s'assure que tout à fonctionné en faisant un :
$ sudo losetup -a
Et là si le terminal ne retourne rien et qu'il repasse directement à l'invite de commande, c'est tout bon,
et seulement maintenant on va pouvoir faire notre sauvegarde d'entête :
Dans un terminal on entre :
$ sudo losetup /dev/loop0 moncoffrefort
Ensuite :
$ sudo cryptsetup luksHeaderBackup /dev/loop0 --header-backup-file /home/forumus/entetes/entete1
(où
/dev/loop0 est votre disque dur chiffré ciblé par la sauvegarde de l'entête, où
/entetes est votre dossier de sauvegardes des entêtes, où
/entete1 est
le nom du fichier de la sauvegarde de l'entête du disque dur /dev/loop0)
Pour réstaurer cette entête en cas de conteneur Cryptsetup corrompu, on refera les étapes suivantes :
$ sudo losetup -a
Si le terminal
ne retourne rien et qu'il repasse directement à l'invite de commande, c'est tout bon, on pourra réstaurer notre entête comme suit :
Dans un terminal on entre :
$ sudo losetup /dev/loop0 moncoffrefort
Ensuite on fait un :
$ sudo cryptsetup luksHeaderRestore /dev/loop0 --header-backup-file /home/forumus/entetes/entete1
(on notera ici que c'est bien la commande "
restore" qui est indiquée après "
luksHeader")
Il est important de ne pas se tromper entre Backup et Restore quand on manipule les entêtes. À savoir : les entêtes sont plus fragiles à la cryptanalyse que les conteneurs desquels elles viennent, il est donc important de les conserver aussi de façon chiffrée (en les stockants, à titre d'illustration, dans d'autres conteneurs. Le nombre de 2 conteneurs de sauvegarde de ces entêtes seraient un minimum par exemple en cas de crash d'un des deux conteneurs).
Voilà, c'est fini, le plus dur est passé, maintenant quand vous voulez ouvrir ce conteneur chiffré à la manière de "Truecrypt", vous ouvrez Nautilus et vous faîtes un seul clic gauche sur le disque dur de 500 méga (dont le nom se termine par "chiffré" dans larborescence de gauche de Nautilus), et vous entrez votre mot de passe, le disque dur va se «monter» tout seul et vous aurez accès à vos données, chiffrées en temps normal.
Une fois ce conteneur chiffré «monté», vous verrez une flèche à droite de son nom (son nom qui se termine par "chiffré" dans l'arborescence de gauche de Nautilus), vous n'avez qu'à cliquer une fois sur cette flèche et le disque dur redevient chiffré. C'est très simple d'utilisation
une fois la création du conteneur finie et une fois
la création du fichier de sauvegarde d'entête finie !
Good luck !
