Re: Encrypt

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: Encrypt
    Bonsoir,

Le 13/07/2017 à 16:44, Patrick Dupre a écrit :
> Bonjour,
>
> Hormis mes problemes de disques, j'ai un souci avec une cle USB que je
> cherche a encrypted.
>
> Voici la partition
> /dev/sdc6       7346176 125038591 117692416 56.1G 83 Linux
> gparted indicque bien quelle est encrypted.

>
> J'ai fait
> cryptsetup --verbose --cipher "aes-cbc-essiv:sha256" --key-size 256 --verify-passphrase luksFormat /dev/sdc6


    OK


> cryptsetup luksOpen /dev/sdc6 encr-key


    OK


> et entrer mon PW
> Je peux faire
> cryptsetup luksClose encr-key


    OK


> LS /dev/mapper/luks-d90227da-a373-4783-87e3-0c0f91afb097
> lrwxrwxrwx. 1 root root 8 Jul 13 16:03 /dev/mapper/luks-d90227da-a373-4783-87e3-0c0f91afb097 -> ../dm-17


    Anormal. De toute évidence, ce n'est pas toi qui a ouvert ce volume
chiffré, car tu aurais dû taper:


cryptsetup luksOpen /dev/sdc6 luks-d90227da-a373-4783-87e3-0c0f91afb097

Je ne pense pas que tu t'amuses à taper un nom aussi long !!!

    Par contre, ta distribution (Debian, Ubuntu, etc ...), elle, l'aura
fait automatiquement, et à ta place ! Elle a d'ailleurs dû t'afficher
une boîte de dialogue (graphique) te demandant le mot de passe, non ?


> ou
> LS /dev/mapper/encr-key
> lrwxrwxrwx. 1 root root 8 Jul 13 16:33 /dev/mapper/encr-key -> ../dm-15


    Normal


> Pourquoi dm-17 et dm-15 ?


    Comme indiqué plus haut, le volume chiffré a été ouvert 2 (1 + 1) fois:
    - Une fois par ta distribution
    - et une autre fois par toi !


    Il est probable que vu va avoir des problèmes à continuer dans ce sens
là ...


> /dev/sdc6: UUID="d90227da-a373-4783-87e3-0c0f91afb097" TYPE="crypto_LUKS"


    C'est normal, c'est le conteneur chiffré. C'est le TYPE="crypto_LUKS"
qui a permit à gparted de te dire que c'était un volume chiffré


> /dev/mapper/luks-d90227da-a373-4783-87e3-0c0f91afb097: LABEL="Lexar_encr-key" UUID="de664587-7c28-48d7-80cf-856df72290f3" TYPE="ext4"


    Ca, c'est la partition dans laquelle tu vas pouvoir écrire tes
fichiers. Tu l'as formaté en ext4, c'est très bien, mais tu aurais pu
aussi prendre n'importe quel autre formatage (FAT32, NTFS, ....)


> Pourquoi les 2 UUID sont differents ?


    La 1ère UUID est celle du volume chiffré. Tu noteras que l'UUID
d90227da-a373-4783-87e3-0c0f91afb097 a été utilisé par ton Linux pour
ouvrir le contenur chiffré, via
/dev/mapper/luks-d90227da-a373-4783-87e3-0c0f91afb097


> Je peux faire
> mount /dev/mapper/encr-key /mnt/tmp
> df donne une dimenison bizzare
>
> /dev/mapper/encr-key                  3880978    10262   3662036   1% /mnt/tmp
> Probabelemnt incorrect pour 56.1 G

>
> De plus je ne parviens pas a la monter automatique.
>
> Est-ce qu'il y a un probleme avec l'encryption de grand partition ?
> J'ai deja fait 30 Go
>
> Merci.


    Le problème c'est que ton volume a été ouvert 2 fois par "cryptsetup
luksOpen", et là, tu n'es pas dans une situation normale.


    Il faut tout reprendre depuis le début:
- démonté la partition ext4 :
    sync && umount /mnt/tmp


- ferme le volume chiffré "/dev/mapper/encr-key"
    cryptsetup luksClose encr-key


- ferme le volume chiffré
"/dev/mapper/luks-d90227da-a373-4783-87e3-0c0f91afb097"
    cryptsetup luksClose luks-d90227da-a373-4783-87e3-0c0f91afb097


- vérifie que tu n'as pas d'autre volumes chiffré d'ouverts:
    ls -la /dev/mapper/*
=> Cela doit être vide.


    Maintenant, on reprendre depuis le début:
- un peu d'aléatoire sur le début de la partition:
    dd if=/dev/urandom of=/dev/sdc6 bs=512 count=10000


- création du volume chiffré:
    cryptsetup --verbose --cipher "aes-cbc-essiv:sha256" --key-size 256
--verify-passphrase luksFormat /dev/sdc6
=> SI TU AS UNE BOÎTE DE DIALOGUE **GRAPHIQUE** QUI TE DEMANDE UN MOT DE
PASSE, APPUYES SUR "CANCEL"


- vérifie que le volume chiffré n'est pas ouvert:
    ls -la /dev/mapper/*
=> Cela doit être vide


- ouvre le volume chiffré:
    cryptsetup luksOpen /dev/sdc6 encr-key


- formate le volume chiffré

    mkfs.ext4 -L Lexar_encr-key /dev/mapper/encr-key


Personnellement, je formate avec "-m 0 -O ^has_journal", cela fait
gagner de la place

- vérifie que ta partition n'a pas été montée:

    find /media
=> Cela doit être vide


- monte ton volume chiffré:
    mkdir -p /mnt/tmp
    mount /dev/mapper/encr-key /mnt/tmp


- vérifie:
    df
    ls -la /mnt/tmp


- une fois que tu as terminé:
    sync
    umount /mnt/tmp
    cryptsetup luksClose encr-key


- sort la clé, et remet-là. Ton Linux doit te proposer un déchiffrement
et un montage automatique /media/xxx/Lexar_encr-key

    Cordialement,


                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!