Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

partition luks ajout de passphrase

crevettehj

Bonjour à tous,

J'ai un petit soucis avec une machine utilisant une partition LVM chiffrée. Tout fonctionne bien à l'exception que je peux pas ajouter de passphrase à l'aide de la commande:

cryptsetup luksAddKey /dev/sda5

A chaque fois j'ai la sortie suivante:

Linux@Linux:~$ sudo cryptsetup luksAddKey --key-slot 1 /dev/sda5
Enter any existing passphrase:
No key available with this passphrase.

Pour la petite info, j'utilise une passphrase avec un challenge sur ma Yubikey (cela fonctionne très bien) et j'ai par la suite supprimé la clé que j'ai mise à l'installation (clé bidon "test" pour éviter les éventuelles erreurs AZERTY/QWERTY).

Suite à la suppression de cette clé, j'ai tenté d'en ajouté une autre et je n'y parviens pas. On dirait que "luks" ne challenge pas la Yubikey pour vérifier la passphrase.

Merci d'avance de votre aide !!

Crevette

Arbiel

Bonjour

man crytpsetup a écrit luksAddKey <device> [<key file with new key>]

adds a new passphrase. An existing passphrase must be supplied
interactively or via --key-file. The new passphrase to be added
can be specified interactively or read from the file given as
positional argument.

En clair
Un mot de passe (la différence entre "wordpass" et "passphrase" n'est pas fondamentale) doit être fourni de manière interactive ou par lecture du fichier défini par le paramètre --key-file. Le mot de passe qae l'utilisateur veut ajouter peut être défini de manière interactive ou être fourni sur la ligne de commande.

Je ne comprends pas ce que tu veux dire par

crevettehj a écrit j'utilise une passphrase avec un challenge sur ma Yubikey
…
On dirait que "luks" ne challenge pas la Yubikey

qui me semble plus du charabia que du français.

Si donc la traduction que je t'ai présentée ne te permet pas de résoudre ton problème, reviens sur le forum et essaie d'expliquer ce que tu veux dire en des termes compréhensibles par le commun des mortels.

Arbiel

crevettehj

Ce que je veux dire c'est que lorsque je démarre mon pc, pour décrypter la partition, je rentre un mot de passe, ensuite, ma yubikey, préalablement connectée reçoit une demande de vérification et valide ce mot de passe.

Ici, je n'ai plus que cette seule manière d'ouvrir ma partition, je souhaite ajouter un password "simple" sans vérification de ma Yubikey. C'est ici je pense que le problème survient, lorsque j'entre la commande pour ajouter un password, on dirait que l'outil Luks n'effectue pas de vérification au près de ma Yubikey.

Est-ce plus clair?

Laurent85

crevettehj a écritCe que je veux dire c'est que lorsque je démarre mon pc, pour décrypter la partition, je rentre un mot de passe, ensuite, ma yubikey, préalablement connectée reçoit une demande de vérification et valide ce mot de passe.

hmm je n'ai jamais rien lu de tel, par défaut sur Ubuntu ça n'existe pas ce type d'authentification. Et cryptsetup (le programme pour déverrouiller le disque) ne gère pas ce type d'authentification non plus. Tu as installé cette méthode d'authentification comment ?

Donne le retour de la commande suivante, copie colle, ne cherche pas à la saisir :

for device in $(sudo lsblk --raw -o name,fstype | grep LUKS | cut -d' ' -f1); do sudo cryptsetup luksDump "/dev/$device"; done

crevettehj

Si c'est faisable et ce n'est pas du bricolage 🙂

Voici le lien:

https://askubuntu.com/questions/599825/yubikey-two-factor-authentication-full-disk-encryption-via-luks

La "seule" erreur que j'ai faite c'est que j'ai supprimé la seule passphrase (sans lien avec la yubikey) avant d'en avoir créée une autre de secours (plus compliquée). Mais je viens de trouver comment résoudre mon problème.

Lorsqu'on tente de créer une nouvelle passphrase, cryptsetup ne fait pas de "challenge" vers la yubikey pour valider la passphrase. Mais, avec le tool de yubikey (yubikey customisation) j'ai pu, via l'interface, tester mon password et avoir le "hash" de réponse. Je l'ai copier coller, et mis à la place de ma passphrase et ça passe nickel !

SI jamais ça peut aider quelqu'un d'autre !

Laurent85

crevettehj a écritSi c'est faisable et ce n'est pas du bricolage 🙂

Voici le lien:

https://askubuntu.com/questions/599825/yubikey-two-factor-authentication-full-disk-encryption-via-luks

Je ne connaissais pas et c'est pas disponible par défaut d'où ma remarque. Donne l'info dès le début sinon c'est incompréhensible ton problème.

La "seule" erreur que j'ai faite c'est que j'ai supprimé la seule passphrase (sans lien avec la yubikey) avant d'en avoir créée une autre de secours (plus compliquée).

hmm ça m'étonnerait, ou c'est un bug de tes outils parce que cryptsetup refuse de supprimer la dernière clé disponible.

Arbiel

Laurent85 a écrit cryptsetup refuse de supprimer la dernière clé disponible.

C'est tout-à-fait exact.

Avant la suppression de ton mot de passe de test, à la lecture de ta partition chiffrée, soit tu l'entrais à la console, soit il était fourni par ton fichier /etc/crypttab. cryptsetup ignorait totalement la présence de ton dispositif amovible, et n'allait donc pas y chercher quoi que ce soit. 2 emplacements étaient cependant utilisés pour mémoriser deux mots de passe.

Après la suppression de ton mot de passe de test, il restait un emplacement, celui qui correspond à l'information enregistrée sur ton dispositif amovible, et tu n'as pas su indiquer à cryptsetup la valeur attendue.

Je ne comprends rien à la méthode que tu décris pour rétablir la situation, mais je suppose qu'elle a consisté à procurer à cryptsetup le mot de passe attendu.

Pour t'en convaincre passe la commande

s cryptsetup luksDump device

qui devrait confirmer que deux emplacements sont de nouveau utilisés.

Mais je peux me tromper.

Pour conclure, j'ai la conviction qu'il ne faut utiliser que des outils dont on comprend parfaitement le fonctionnement. Tout utilisateur devrait se méfier des boîtes noires qui, en arguant d'une facilité d'utilisation, lui masquent la réalité des choses, et le rendent captif du fournisseur de la dite boîte noire. C'est ce qui fait le bonheur des géants de l'informatique.

cryptsetup n'est finalement pas d'une utilisation si compliquée qu'il faille passer par l'intermédiaire que tu utilises.

Arbiel