Re: chiffrement

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: guilde
Sujet: Re: chiffrement
    Bonjour,

Le 19/04/2021 à 11:39, Moebius a écrit :
> Bonjour,
> Voilà, cela fait longtemps que je suis confronté au même

problème : je
> voudrais chiffrer des dossiers sensibles (dossier firefox contenant
> tous mes mots de passe, certains dossiers de mon dossier personnel...)
> mais je n'ai jamais rien trouvé de pratique.
> En effet, je souhaite que le système me demande un passe et déchiffre
> le tout et que cela me soit accessible une fois la session lancée.
> Pour firefox, à mon travail pour retrouver tous mes marque-pages,
> passes... j'utilisais une clef usb chiffrée dans laquelle se trouvait
> le dossier de firefox et sur l'ordi se trouvait un lien qui y
> renvoyait ; ainsi, lorsque firefox se lançait il allait chercher sur
> la clef.
> Mais faire cela à mon domicile...pas terrible, surtout que je ne vais
> pas mettre une partie de mon dossier personnel sur une clef, c'est
> trop gros !
> Donc, j'aimerais chiffrer, soit des dossiers particuliers, soit mon
> dossier personnel dans /home, soit, à défaut, la partition /home mais
> sachant que cette partition ou ces dossiers existent déjà mais non
> chiffrés. et que j'ai besoin d'une méthode fiable pour y parvenir sans
> risquer de tout perdre.
> Voilà, j'en appelle à ceux pour qui cela paraît plus facile qu'à
> moi-même ! :-)
> cordialement,


    J'utilise depuis quelques années des conteneurs LUKS pour faire ce
genre de chose. Pour faire simple:

- un fichier binaire, chiffré, qui contient les données.

- le root "ouvre", via la commande "cryptsetup luksOpen", le conteneur
chiffré. Il apparaît alors dans /dev/mapper/*, comme bloc de données

- le root monte ce bloc sur un point de montage, où tu veux (par exemple
dans ton /home)

- toi, en tant que utilisateur, tu accès à ce point de montage (un
répertoire), et c'est transparent pour toi

- à la fin de ton travail, le root:

 + démonte le point de montage

 + clos le fichier chiffré, via "cryptsetup luksClose"


    Concrètement:

 - création du conteneur chiffré (pardons, j'avais écrit la doc en
anglais ... :) )

# - Create a crypsetup container file
# CONTAINER_FILE=container
# SIZE=10   ; # This is a Mo value
# dd if=/dev/urandom of="$CONTAINER_FILE" bs=1024000 count=$SIZE
# cryptsetup luksFormat -c aes -h sha512 ${CONTAINER_FILE}
# cryptsetup luksOpen ${CONTAINER_FILE} luks_${CONTAINER_FILE##*/}
# NOTES: Bloc device will appear as /dev/mapper/${CONTAINER_FILE##*/}
# mkfs.ext4 -m 0 -L ${CONTAINER_FILE##*/}
/dev/mapper/luks_${CONTAINER_FILE##*/}

- Montage du conteneur chiffré:

# - Mount crypsetup container file
# cryptsetup luksOpen ${CONTAINER_FILE} luks_${CONTAINER_FILE##*/} ; #
Only needed if container has not been already open !
# mkdir -p ${CONTAINER_FILE}.mount
# mount /dev/mapper/luks_${CONTAINER_FILE##*/} ${CONTAINER_FILE}.mount
# NOTES: Uncrypted data appear into "${CONTAINER_FILE}.mount/" folder
# find ${CONTAINER_FILE}.mount

- Démontage du conteneur chiffré:

# - Umount crypsetup container file
# umount ${CONTAINER_FILE}.mount
# cryptsetup luksClose luks_${CONTAINER_FILE##*/}
# ls -la /dev/mapper/luks_${CONTAINER_FILE##*/}

    Notes que pour ton usage de firefox, tu peux faire un
lien de
~/.mozilla/firefox/[ton profile]/ dans un sous-répertoire du dossier

déchiffré "${CONTAINER_FILE}.mount/"

Et comme le cache de firefox est à part dans
~/.cache/mozilla/firefox/[ton profile]/ , tes accès en écriture
dans le
conteneur chiffré seront limités.

    Je t'envoie en MP un programme ("fort_knox.sh") qui se charge du
montage/démontage, via entre autre du sudo et une interface graphique
très simplifiée.

Pour la partie graphique, j'ai utilisé des boîtes de dialogue KDE
("kdialog"), mais il y a moyen de faire la même chose avec gnome, ou

d'autres desktop.

    Cordialement,

Olivier

-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
        /   / \  / \   \   Web:  http://olivieraj.free.fr/
       /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!