Chiffrer avec Cryptsetup sous Linux

Récemment je me suis mise au chiffrement

Premier chiffrement à faire

Chiffrer une installation Linux avec un dual-boot Windows

Les étapes:

  • Partitionner l’espace disque avec un live Linux, à l’aide de Gparted.
  • Installer Windows sur une partie de l’espace, au début du disque de stockage (il peut être chiffré plus tard avec bitlocker, depuis le système en fonctionnement).
  • Suivre cette documentation:

https://gist.github.com/luispabon/db2c9e5f6cc73bb37812a19a40e137bc

On peut y remarquer cette partie:

sudo cryptsetup luksOpen /dev/nvme0n1p5 cryptdrive

Ici, le terme «cryptdrive» à la fin de la ligne de commande est personnalisable : il correspond au nom de l’espace chiffré tel qu’il se présentera une fois «monté» sur /dev/mapper.

Pourquoi personnaliser le nom du volume chiffré peut être important : quand on aura besoin, de copier des données depuis ou vers un autre support de stockage, chiffré de la même manière, cela permettra au système de les reconnaître et de les distinguer les uns par rapport aux autres.

Second chiffrement à faire

Chiffrer un périphérique de stockage pour des sauvegardes

Cette fois, je propose un autre tutoriel, chez Connect-IT cette fois: https://www.it-connect.fr/creer-une-cle-usb-chiffree-via-luks-avec-cryptsetup/.

Et on peut remarquer, que cette fois l’auteur du tutoriel a utilisé un nom différent dans la ligne de commande que j’ai citée au paragraphe précédent:

cryptsetup luksOpen /dev/sdc1 usbkey1

Pour ma part, j’ai utilisé un disque dur 2,5″ de réforme de 750 Go, installé dans un boitier USB (ce qui le transforme en disque dur externe) et que j’ai formatté avec Gparted avant de passer à la suite. Le volume a été repéré par la commande lsblk sous le nom sdd1, et j’ai nommé le volume à chiffrer usbdisk1. (Pourquoi pas ?)

cryptsetup luksOpen /dev/sdd1 usbdisk1

Quand on tente de monter ou démonter le volume chiffré depuis un gestionnaire de fichiers graphique, selon l’environnement et le gestionnaire de fichier utilisé, cela peut échouer, avec un message d’erreur. En ce cas c’est une question d’autorisation avec PolicyKit. Il faut alors soit le configurer, soit passer en ligne de commande, ou tenter de changer de gestionnaire de fichiers. (Ex: Thunar, Nautilus… )

Une fois la ou les sous-volumes créés dans l’espace chiffré, on peut connecter le périphérique externe à l’ordinateur dont on veut sauvegarder les fichiers (qu’il soit chiffré ou pas), et initier la copie à l’aide d’un outil adapté.

Je pense prochainement essayer zulyCrypt à la place de rsync en lignes de commandes.

Pour le chiffrement, cette documentation, qui se base sur le système de fichiers BTRFS pour la création des partitions (volumes), semble également intéressante:  https://blog.flozz.fr/2022/06/11/guide-installation-ubuntu-dans-partition-btrfs-chiffree.