II. Linux en Entreprise : Comment se préparer face à d’éventuels problèmes de déchiffrage

I. Linux en Entreprise : Disque dure chiffré avec un Dual boot Windows-Ubuntu
II. Linux en Entreprise : Comment se préparer face à d’éventuels problèmes de déchiffrage
III. Linux en Entreprise: Applications Windows et leurs équivalents Linux

II. Linux en Entreprise : Comment se préparer face à d’éventuels problèmes de déchiffrage

Après avoir chiffré votre disque dur, vérifier que vous avez tout ce qu’il faut pour vous préparer à d’éventuels soucis pour accéder à vos données sur le disque.

Garder en tête qu’une fois le disque dur est entièrement chiffré, il est impossible d’y accéder sans l’avoir préalablement déchiffré.

Il va de soi que la première chose à faire serait de sauvegader l’entête de la partition chiffrée. Je vous ai traduit un passage du manuel de cryptsetup.

If  the  header of a LUKS volume gets damaged, all data is 
permanently lost unless you have a header-backup.

Ce qui se traduit par,

Si l'en-tête d'un volume LUKS est endommagé, toutes les données 
[du disque] sont définitivement perdues sauf si vous avez une 
sauvegarde de l'en-tête.

 

I. Sauvegarder et restaurer l’en-tête du volume luks

Commencer par sauvegarde l’entête de LUKS.

$ sudo cryptsetup luksHeaderBackup /dev/sda2 --header-backup-file luks-head_sda2.bak

Vous pouvez ensuite copier le fichier créé à un endroit où vous pouvez y accéder à tout moment, en cas de soucis.

Si vous êtes curieux, vous pouvez afficher les informations de l’entête de LUKS avec l’option luksDump.

$ sudo cryptsetup luksDump /dev/sda2


A comparer avec les informations du fichier de sauvegarde, on devrait avoir les mêmes informations.

$ sudo cryptsetup luksDump luks-head_sda2.bak

Noter que vous avez droit à 8 clés (passphrase) max. A chacune de ces clés sera associée un slot. Le slot zéro contient déjà une clé, celle qu’on a renseigné au moment où l’on a chiffré le disque.

 

Pour restaurer le header, c’est presque la même commande que pour le backup. Il suffit de remplacer « Backup » par « Restore ».

$ sudo cryptsetup luksHeaderRestore /dev/sda2 --header-backup-file luks-head_sda2.bak

 

II. Quelques manipulation sur le header

2.1 Ajout d’une nouvelle clé

J’ai mentionné qu’il vous est possible d’avoir jusqu’à 8 clés au total. Voici comment ajouter une nouvelle clé.

Par exemple, ajoutons une clé au niveau du slot numéro 4.

$ sudo cryptsetup luksAddKey --key-slot 4 /dev/sda2

 

Il vous sera demandé de rentrer la clé initialle (slot 0), si c’est la seule disponible, avant de pouvoir ajouter cette nouvelle clé.

2.2 Modification du mot de passe de la clé

Pour modifier une clé, on utilisera luksChangeKey avec l’option –key-slot (ou -S) suivit du numéro du Slot à modifier.

$ sudo cryptsetup luksChangeKey -S 4 /dev/sda2

2.3 Supprimer une clé

J’ai ajouté un mot de passe pour le slot 1, que je vais supprimer avec la commande,

$ sudo cryptsetup luksKillSlot /dev/sda2 1

 

Voyez bien que, si le slot n’est pas actif (slot 2), on ne peut rien y faire avec, à part l’activer.

Il ne faut surtout pas supprimer toutes les clés, sinon vous ne pourrez plus accéder à votre disque s’il n’y a pas eu sauvegarde du header auparavant.

 

III. Accès en mode sans-échec

Une dernière chose avant de clôturer ce chapitre. Vérifier que vous pouvez vous connecter sans problème en mode sans échec avec tous les mots de passe associés aux slots créés plus haut.

 

Il vous sera toujours demandé de déchiffrer la partition LUKS, même en mode sans échec.

 

J’ai utilisé deux mots de passe différent pour les deux slots, et j’arrive à me connecter sans problème avec les deux.

 

IV. Ré-installation

Si jamais vous avez à réinstaller Ubuntu, ou n’importe quel distribution linux avec une partition chiffrée, il vous suffit de monter la partition luks avec l’option luksOpen, puis de lancer l’installation comme normalement.

$ sudo cryptsetup luksOpen /dev/sda2 hdcrypt

 

Sources

LUKS: Add a Backup Key, Backup, Restore and Delete LUKS Volume Header
How to backup or restore LUKS header

 

Publicités

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.