<html><head><META http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>5. Configurer le périphérique de boucle</title><link href="style.css" rel="stylesheet" type="text/css"><meta content="DocBook XSL Stylesheets V1.68.1" name="generator"><link rel="start" href="index.html" title="Guide pratique de cryptoloop"><link rel="up" href="index.html" title="Guide pratique de cryptoloop"><link rel="prev" href="ar01s04.html" title="4. Obtenir les outils utilisateurs "><link rel="next" href="ar01s06.html" title="6. Monter le système de fichiers chiffré "></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="navheader"><table summary="Navigation header" width="100%"><tr><th align="center" colspan="3">5. Configurer le périphérique de boucle</th></tr><tr><td align="left" width="20%"><a accesskey="p" href="ar01s04.html">Précédent</a> </td><th align="center" width="60%"> </th><td align="right" width="20%"> <a accesskey="n" href="ar01s06.html">Suivant</a></td></tr></table><hr></div><div class="sect1" lang="fr"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="loopdevice-setup"></a>5. Configurer le périphérique de boucle</h2></div></div></div><p> Cryptoloop peut aussi bien être utilisé sur un fichier que sur un système de fichiers entier. La suite décrit la façon de le configurer sur une partition particulière. cette partition peut être n'importe quelle partition que vous désirez, l'exemple utilisé dans la suite est <code class="filename">/dev/sda1</code>. J'ai choisit d'utiliser l'algorithme de chiffrement AES, mais vous pouvez le remplacer par n'importe quel autre algorithme activé dans votre noyau. Vous pouvez obtenir une liste de tous les algorithmes gérés par votre noyau actuel en éditant le fichier <code class="filename">/proc/crypto</code>. Le livre de Bruce Scheier, <span class="foreignphrase" lang="en"><em class="foreignphrase">Applied Cryptography and Practical Cryptography</em></span>, est un excellent ouvrage présentant les différents algorithmes de chiffrement. Les algorithmes AES et Serpent sont probablement le choix le plus raisonnable. AES a été beaucoup utilisé pour le chiffrement et aucune vulnérabilité sérieuse n'a été trouvée depuis longtemps. Serpent n'a pas encore été beaucoup analysé, mais il est considéré être un peu plus sécurisé que AES. Cependant, Serpent est par contre plus lent que AES. N'utilisez pas DES, il est le plus lent et le moins sécurisé. Triple-Des peut aussi être une possibilité, mais AES est probablement plus sécurisé et plus rapide, donc il n'existe pas réellement de raison d'utiliser triple-DES. </p><div class="orderedlist"><ol type="1"><li><p> Il est recommandé de formater la partition et de la remplir avec des données aléatoires avant de créer le système de fichiers chiffré dessus. Ce qui rendra plus difficile à un pirate la détection des signatures dans votre partition chiffrée. </p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><table border="0" summary="Warning: Attention !"><tr><td valign="top" align="center" rowspan="2" width="25"><img alt="[Avertissement]" src="images/warning.png"></td><th align="left">Attention !</th></tr><tr><td valign="top" align="left"><p> Faite très attention au nom de la partition que vous inscrivez. Si vous faites une erreur, vous pouvez facilement écraser une autre partition avec des données aléatoires. </p></td></tr></table></div><p> Une partition remplie avec des données aléatoires peut être obtenue grâce à la commande suivante : </p><pre class="screen"> dd if=/dev/urandom of=/dev/sda1 bs=1M </pre><p> Vous pouvez avoir un message d'erreur indiquant que le périphérique est plein. Vous pouvez l'ignorer. </p></li><li><p> Sélectionnez un algorithme et une taille de clef. Une liste d'algorithmes gérée par votre noyau peut être obtenu depuis le fichier <code class="filename">/proc/crypto</code>. Je recommande l'utilisation de AES avec une clef de 256 bits. </p></li><li><p> Configurez le périphérique de boucle. Vous pouvez utiliser la commande <span><strong class="command">losetup</strong></span> provenant du paquet util-linux. La commande suivante crée un système de fichiers chiffré sur le périphérique de boucle 0 en utilisant l'algorithme de chiffrage AES avec une clef de 256 bits sur le périphérique <code class="filename">/dev/sda1</code> : </p><pre class="screen"> losetup -e aes-256 /dev/loop0 /dev/sda1 </pre><p> La commande vous demandera un mot de passe. Choisissez un mot de passe robuste et essayez de vous en souvenir sans utiliser un post-it collé à votre moniteur. C'est le mauvais côté de l'utilisation de cryptoloop. Puisque le mot de passe est haché pour créer la clef de chiffrement, il n'est pas facile après de changer de mot de passe. La meilleur manière de changer un mot de passe est de créer une nouvelle partition ou un nouveau fichier chiffré et de déplacer toute les données dessus. Pour cette raison, soyez sûr de choisir un mot de passe robuste dès le début. AES peut être un algorithme de chiffrement très robuste, mais si vous choisissez un mauvais mot de passe, alors la sécurité ne sera pas bonne. </p><p> Si la commande <span><strong class="command">losetup</strong></span> échoue avec le message d'erreur <code class="computeroutput">INVALID ARGUMENT</code>, le problème vient du paquet util-linux. Assurez-vous d'avoir suivi les instructions précédentes sur la façon d'installer le correctif pour util-linux. Les anciennes versions ainsi que les versions non corrigés utilisent une méthode différente pour passer la taille de la clef et ne fonctionnent pas avec l'API Crypto 2.6. </p></li><li><p> Créez un système de fichier. Vous pouvez choisir le type de système de fichier que vous souhaitez. L'exemple suivant crée un système de fichiers ext3 sur le périphérique de boucle : </p><pre class="screen"> mkfs.ext3 /dev/loop0 </pre></li><li><p> Montez le système de fichiers chiffré. Premièrement vous devez créer un point de montage, par exemple <code class="filename">/mnt/crypto</code> : </p><pre class="screen"> mkdir /mnt/crypto </pre><p> Ensuite vous devez monter le système de fichiers. À ce niveau, vous devez indiquer explicitement à la commande mount le périphérique de boucle utilisé : </p><pre class="screen"> mount -t ext3 /dev/loop0 /mnt/crypto </pre></li><li><p> Vous pouvez maintenant jouer avec votre fichier chiffré jusqu'à l'ennui. </p></li><li><p> Démontez le système de fichiers. Après avoir suffisamment joué avec, démontez le système de fichiers : </p><pre class="screen"> umount /mnt/crypto </pre></li><li><p> Détachez le périphérique de boucle. Le périphérique de boucle est encore attaché à votre partition, détachez le avec la commande : </p><pre class="screen"> losetup -d /dev/loop0 </pre></li></ol></div></div><div class="navfooter"><hr><table summary="Navigation footer" width="100%"><tr><td align="left" width="40%"><a accesskey="p" href="ar01s04.html">Précédent</a> </td><td align="center" width="20%"> </td><td align="right" width="40%"> <a accesskey="n" href="ar01s06.html">Suivant</a></td></tr><tr><td valign="top" align="left" width="40%">4. Obtenir les outils utilisateurs </td><td align="center" width="20%"><a accesskey="h" href="index.html">Sommaire</a></td><td valign="top" align="right" width="40%"> 6. Monter le système de fichiers chiffré </td></tr></table></div></body></html>