doc-linux-fr-html 2013.01-3 / usr / share / doc / HOWTO / fr-html / Cryptoloop-HOWTO.html

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Guide pratique de cryptoloop</title><link rel="stylesheet" type="text/css" href="style.css"/><meta name="generator" content="DocBook XSL Stylesheets V1.79.1"/><meta name="description" content="Ce document explique comment créer un système de fichiers chiffré en utilisant les fonctionnalités de cryptoloop. Cryptoloop est une partie du CryptoAPI des versions 2.6 des noyaux Linux."/></head><body><div xml:lang="fr" class="article"><div class="titlepage"><div><div><h2 class="title"><a id="Cryptoloop-HOWTO"/>Guide pratique de cryptoloop</h2></div><div><h3 class="subtitle"><em>Version française du guide pratique <span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">Cryptoloop HOWTO</em></span></em></h3></div><div><div class="author"><h3 class="author"><span class="firstname">Ralf</span> <span class="surname">Hölzer</span></h3><code class="email">&lt;<a class="email" href="mailto:cryptoloop CHEZ ralfhoelzer POINT com">cryptoloop CHEZ ralfhoelzer POINT com</a>&gt;</code></div></div><div><p class="othercredit"><span class="contrib">Adaptation française</span> : <span class="firstname">Éric</span> <span class="surname">Madesclair</span></p></div><div><p class="othercredit"><span class="contrib">Relecture de la version française</span> : <span class="firstname">Encolpe</span> <span class="surname">Degoute</span>, <span class="firstname">Bernard</span> <span class="surname">Gisbert</span></p></div><div/><div><p class="othercredit"><span class="contrib">Préparation de la publication de la v.f.</span> : <span class="firstname">Jean-Philippe</span> <span class="surname">Guérard</span></p></div><div><p class="releaseinfo">Version : 1.2.fr.1.1</p></div><div><p class="pubdate">15 août 2005</p></div><div><div class="revhistory"><table summary="Historique des versions"><tr><th align="left" valign="top" colspan="3"><strong>Historique des versions</strong></th></tr><tr><td align="left">Version 1.2.fr.1.1</td><td align="left">2005-08-15</td><td align="left">EM, ED, BG, JPG</td></tr><tr><td align="left" colspan="3">
      
          Quelques mises à jour mineures de présentation.
      
      </td></tr><tr><td align="left">Version 1.2.fr.1.0</td><td align="left">2005-03-14</td><td align="left">EM, ED, BG, JPG</td></tr><tr><td align="left" colspan="3">
      
          Première traduction française
      
      </td></tr><tr><td align="left">Version 1.2</td><td align="left">2004-03-12</td><td align="left">RH</td></tr><tr><td align="left" colspan="3">
      
          Ajout d'information sur dm-crypt et sur la sécurité, mise à 
          jour des informations sur loop-AES.
          
          
          
          <span xml:lang="en" class="emphasis"><em>
          
            Added information on dm-crypt, updated loop-AES info, added 
            more info on security.
          
          </em></span>
     
      </td></tr><tr><td align="left">Version 1.1</td><td align="left">2004-01-24</td><td align="left">RH</td></tr><tr><td align="left" colspan="3">
	
          Mise à jour des informations sur util-linux, Loop-AES, Best
          Crypt.
	    
          <span xml:lang="en" class="emphasis"><em>
          
            Updated information on patching util-linux, Loop-AES, Best 
            Crypt.
          
          </em></span>
     
        </td></tr><tr><td align="left">Version 1.0</td><td align="left">2004-01-17</td><td align="left">RH</td></tr><tr><td align="left" colspan="3">
        
          Première version, relu par TM du LDP.

          <span xml:lang="en" class="emphasis"><em>
          
            Initial release, reviewed by TM at LDP.
            
          </em></span>
        
        </td></tr><tr><td align="left">Version 0.9</td><td align="left">2004-01-15</td><td align="left">RH</td></tr><tr><td align="left" colspan="3">
        
          Mise à jour et conversion au format DocBook XML.

          <span xml:lang="en" class="emphasis"><em>
          
            Updated and converted to DocBook XML.
          
          </em></span>
        
        </td></tr></table></div></div><div><div class="abstract"><p class="title"><strong>Résumé</strong></p><p>
    
        Ce document explique comment créer un système de fichiers 
        chiffré en utilisant les fonctionnalités de cryptoloop. 
        Cryptoloop est une partie du CryptoAPI des versions 2.6 des 
        noyaux Linux.
        
    </p></div></div></div><hr/></div><div class="toc"><p><strong>Table des matières</strong></p><dl class="toc"><dt><span class="sect1"><a href="#about">1. À propos de ce guide</a></span></dt><dd><dl><dt><span class="sect2"><a href="#copyright">1.1. 

Droits d'utilisation et licence

<span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">

(Copyright and License)

</em></span></a></span></dt><dt><span class="sect2"><a href="#disclaimer">1.2. 

Limitations de responsabilité

<span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">

(Disclaimer)

</em></span></a></span></dt><dt><span class="sect2"><a href="#credits">1.3. Remerciements / Contributeurs</a></span></dt><dt><span class="sect2"><a href="#feedback">1.4. 

Commentaires et corrections

</a></span></dt></dl></dd><dt><span class="sect1"><a href="#cryptoloop-introduction">2. 

Introduction

</a></span></dt><dt><span class="sect1"><a href="#kernel-configuration">3. 

Configurer le noyau

</a></span></dt><dt><span class="sect1"><a href="#userspace-tools">4. 

Obtenir les outils utilisateurs

</a></span></dt><dt><span class="sect1"><a href="#loopdevice-setup">5. Configurer le périphérique de boucle</a></span></dt><dt><span class="sect1"><a href="#mounting-filesystem">6. 
Monter le système de fichiers chiffré
</a></span></dt><dt><span class="sect1"><a href="#filebased">7. 
Utiliser un fichier au lieu d'une partition
</a></span></dt></dl></div><div class="sect1"><div class="titlepage"><div><div><h2 class="title"><a id="about"/>1. À propos de ce guide</h2></div></div></div><p>
        
Ce guide pratique explique comment utiliser le périphérique de boucle de 
chiffrement cryptoloop avec les versions 2.6 des noyaux Linux. 
Cryptoloop permet de créer un système de fichiers chiffré à l'intérieur 
d'une partition ou d'un fichier dans un autre système de fichiers. Ce 
fichier chiffré peut être déplacé sur un CD-ROM, un DVD, une clef 
mémoire USB, et cætera. Cryptoloop utilise le périphérique de boucle. Ce 
périphérique est un pseudo-périphérique qui sert comme une 
<span class="quote">« <span class="quote">boucle</span> »</span> à travers duquel chaque appel au système de 
fichier doit passer. De cette façon, les données peuvent être traitées 
afin d'être chiffrées et déchiffrées. Depuis les noyaux 2.6, l'interface 
de programmation Crypto a été intégrée directement dans le noyau, et 
donc la configuration d'un système de fichiers chiffré en est rendue 
plus facile. Aucun correctif du noyau n'est nécessaire. Par contre une 
mise à jour de certains utilitaires est requise. Malheureusement, 
l'utilisation de cryptoloop n'est pas encore bien documentée. Ce guide 
est un essai pour rendre plus facile pour tout le monde la création d'un 
système de fichiers chiffré utilisant les fonctionnalités standards de 
cryptoloop. Cryptoloop est basé sur l'API Crypto des noyaux Linux 2.6. 
Il ne faut pas confondre avec Loop-AES qui est un projet totalement 
différent. Cryptoloop est similaire à l'API Crypto qui était disponible 
comme un correctif séparé pour les versions 2.4 du noyau. Cette nouvelle 
version n'est pas compatible avec l'ancienne.
  
</p><div class="sect2"><div class="titlepage"><div><div><h3 class="title"><a id="copyright"/>1.1. 

Droits d'utilisation et licence

<span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">

(Copyright and License)

</em></span></h3></div></div></div><p>

Copyright © 2004 <span class="emphasis"><em>Ralf Hölzer</em></span> pour la 
version originale.

</p><p><span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">

This document, <span class="emphasis"><em>Cryptoloop HOWTO</em></span>, is copyrighted 
© 2004 by <span class="emphasis"><em>Ralf Hölzer</em></span>.

</em></span></p><p>

Copyright © 2005 <span class="emphasis"><em>Éric Madesclair</em></span>, 
<span class="emphasis"><em>Encolpe Degoute</em></span> et <span class="emphasis"><em>Bernard 
Gisbert</em></span> pour la version française.

</p><p>

Permission est donnée de copier, distribuer ou modifier ce document 
selon les termes de la Licence de documentation libre GNU [GFDL], 
version 1.1 ou suivante, telle que publié par la Free Software 
Foundation ; sans sections invariables, sans texte de première de 
couverture, ni texte de quatrième de couverture. Une copie de la licence 
est disponible sur <a class="ulink" href="http://www.gnu.org/copyleft/fdl.html" target="_top">http://www.gnu.org/copyleft/fdl.html</a>.

</p><p><span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">

Permission is granted to copy, distribute and/or modify this document 
under the terms of the GNU Free Documentation License, Version 1.1 or 
any later version published by the Free Software Foundation; with no 
Invariant Sections, with no Front-Cover Texts, and with no Back-Cover 
Texts. A copy of the license is available at <a class="ulink" href="http://www.gnu.org/copyleft/fdl.html" target="_top">http://www.gnu.org/copyleft/fdl.html</a>.

</em></span></p><p>

Linux est une marque déposée de Linus Torvalds.

</p><p><span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">

Linux is a registered trademark of Linus Torvalds.

</em></span></p></div><div class="sect2"><div class="titlepage"><div><div><h3 class="title"><a id="disclaimer"/>1.2. 

Limitations de responsabilité

<span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">

(Disclaimer)

</em></span></h3></div></div></div><p>

Aucune responsabilité pour le contenu de ces documents ne pourra être 
acceptée. Utilisez les concepts, exemples et autre contenu à vos propres 
risques. Il peut y avoir des erreurs et des imprécisions, qui peuvent 
bien entendu endommager votre système. Procédez avec précaution, et bien 
que ce soit hautement improbable, l'auteur n'en acceptera aucune 
responsabilité.

</p><p><span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">

No liability for the contents of this document can be accepted. Use the 
concepts, examples and information at your own risk. There may be errors 
and inaccuracies, that could be damaging to your system. Proceed with 
caution, and although this is highly unlikely, the author(s) do not take 
any responsibility.

</em></span></p><p>

Tous les droits d'auteur sont détenus par leurs propriétaires 
respectifs, sauf mention contraire expresse. L'utilisation d'un terme 
dans ce document ne doit pas être vue comme affectant la valeur d'une 
marque de fabrique ou d'une marque de service. La mention de produits 
particuliers ou de marques ne doit pas être considérée comme un acte 
d'approbation.

</p><p><span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">

All copyrights are held by their by their respective owners, unless 
specifically noted otherwise. Use of a term in this document should not 
be regarded as affecting the validity of any trademark or service mark. 
Naming of particular products or brands should not be seen as 
endorsements. 

</em></span></p></div><div class="sect2"><div class="titlepage"><div><div><h3 class="title"><a id="credits"/>1.3. Remerciements / Contributeurs</h3></div></div></div><p>

Je remercie les personnes suivantes pour l'aide qu'elles m'ont apporté 
dans la rédaction de ce guide :

</p><div class="itemizedlist"><ul class="itemizedlist" type="disc"><li class="listitem"><p>Dennis Kaledin</p></li><li class="listitem"><p>Binh Nguyen</p></li><li class="listitem"><p>David Lawyer</p></li><li class="listitem"><p>Tabatha Marshall</p></li><li class="listitem"><p>Kian Spongsveen</p></li></ul></div></div><div class="sect2"><div class="titlepage"><div><div><h3 class="title"><a id="feedback"/>1.4. 

Commentaires et corrections

</h3></div></div></div><p>

Les réactions sur ce document sont les bienvenues. Envoyez en anglais 
vos ajouts, commentaires et critiques à l'adresse suivante :

<code class="email">&lt;<a class="email" href="mailto:cryptoloop CHEZ ralfhoelzer POINT com">cryptoloop CHEZ ralfhoelzer POINT com</a>&gt;</code>.

</p><p>

N'hésitez pas à faire parvenir tout commentaire relatif à la version 
française de ce document à

<code class="email">&lt;<a class="email" href="mailto:commentaires CHEZ traduc POINT org">commentaires CHEZ traduc POINT org</a>&gt;</code>

en précisant son titre, sa date et sa version.

</p></div></div><div class="sect1"><div class="titlepage"><div><div><h2 class="title"><a id="cryptoloop-introduction"/>2. 

Introduction

</h2></div></div></div><p>

Il existe plusieurs alternatives à l'utilisation de cryptoloop. Loop-AES 
(<a class="ulink" href="http://loop-aes.sourceforge.net" target="_top">http://loop-aes.sourceforge.net</a>) est probablement le 
plus connu. Il fournit des fonctions similaires à cryptoloop. Aes-loop 
est probablement plus mature que cryptoloop et est aussi plus rapide 
(environ deux fois plus rapide, selon l'auteur de loop-AES) parce qu'il 
utilise une implémentation hautement optimisée d'un assembleur pour AES. 
Cela ne veut pas dire que cryptoloop est lent. Je n'ai pas noté de 
différence significative de vitesse entre une partition chiffrée avec 
cryptoloop et une partition non chiffrée durant mon travail avec un 
nombre normal d'entrée/sortie (I/O). A moins que les performances I/O 
soient extrêmement importantes pour vous, cryptoloop est suffisant. 
Loop-AES offre certaines fonctionnalités qui ne sont pas encore 
présentes dans l'implémentation noyau de cryptoloop. Loop-AES demande de 
modifier certains utilitaires utilisateur (mount, losetup) et ces 
modifications sont incompatibles avec une utilisation de cryptoloop. 
Vous ne pouvez pas utiliser cryptoloop et Loop-AES en même temps.

</p><p>

En terme de sécurité, cryptoloop est bon. La clef est généralement créée 
depuis un mot de passe et un hachage de cette clef est utilisé comme 
pour les clefs AES. Ce qui laisse la possibilité d'une <a class="ulink" href="http://lwn.net/Articles/67216/" target="_top">attaque à texte clair connu</a> 
(<span class="quote">« <span class="quote"><span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">known-plaintext 
attack</em></span></span> »</span>). Loop-AES est de ce point de vue 
supérieur, parce qu'il génère une clef aléatoire et chiffre cette clé 
séparément, rendant une attaque par texte clair connu plus difficile. 
Loop-AES utilise aussi un mode à plusieurs clefs, où chaque secteur est 
chiffré avec 64 clefs AES différentes. En général, une attaque sur votre 
mot de passe peut réussir, si vous choisissez un mot de passe trop 
simple. Pour être sécurisé, votre mot de passe doit avoir au moins 20 
caractères. Cependant une attaque par force brute sur votre mot de passe 
sera sans doute plus facile que d'essayer directement sur les données 
chiffrées par AES.

</p><p>

Les fonctionnalités de cryptoloop dans le noyau standard fournissent une 
implémentation stable et propre	sans avoir besoin de rajouter des 
correctifs. Puisqu'il est encore récent, il peut ne pas avoir 
suffisamment de critique en terme de sécurité. Vous devez décider par 
vous-même ce qui vous convient.

</p><div class="important" style="margin-left: 0.5in; margin-right: 0.5in;"><table border="0" summary="Important"><tr><td rowspan="2" align="center" valign="top" width="25"><img alt="[Important]" src="images/important.png"/></td><th align="left">Important</th></tr><tr><td align="left" valign="top"><p>

Cryptoloop est considéré comme obsolète dans les derniers noyaux 2.6. Il 
semble qu'il ne sera plus maintenu encore longtemps. Le successeur de 
cryptoloop sera <a class="ulink" href="http://www.saout.de/misc/dm-crypt/" target="_top"> 
dm-crypt</a>. Dm-crypt est disponible dans le noyau principal 2.6.4. 
Cryptoloop sera encore disponible dans le noyau pendant encore quelque 
temps, mais dm-crypt devrait devenir la méthode choisit pour le 
chiffrement des disques durs dans le futur. Dm-crypt est basé sur le 
device mapper et offre plus ou moins les même fonctionnalités que 
cryptoloop. Il est encore très récent et il existe encore peu d'outils 
utilisateur simples, disponibles. Le code de dm-crypt est considéré 
comme plus propre que celui de cryptoloop, il existe des différences 
notables entre les deux. Par exemple, la création d'un système de 
fichiers chiffré autrement que dans un fichier, nécessite encore de 
passer par un périphérique de boucle, mais la gestion est encore en 
développement.

</p></td></tr></table></div><p>

Il existe d'autres outils vous permettant de créer un système de 
fichiers chiffrés. BestCrypt est un produit commercial de Jetico. Il 
vous permet de créer un récipient chiffré et d'utiliser un large 
éventail d'algorithme de chiffrement. Il offre également certains 
dispositifs ingénieux tels que les récipients cachés. Il est disponible 
pour les systèmes Windows et Linux, ce qui fait qu'il est préférable 
pour l'échange de récipient chiffré entre Window et Linux. BestCrypt se 
compile maintenant très bien sur les noyaux 2.6. Cryptoloop peut 
également créer des récipients pouvant être déplacés, en créant un 
système de fichiers chiffré dans un fichier comme décrit ci-dessous. Je 
ne sais pas comment accéder à un fichier chiffré avec cryptoloop depuis 
un autre système d'exploitation comme Windows. Dans ce cas, BestCrypt 
est peut être votre seul choix.

</p><p>

Il existe d'autres outils commerciaux de chiffrement de disque comme 
PGP, mais à ma connaissance il n'y a pas de support Linux pour eux.

</p></div><div class="sect1"><div class="titlepage"><div><div><h2 class="title"><a id="kernel-configuration"/>3. 

Configurer le noyau

</h2></div></div></div><p>

Avant de pouvoir utiliser cryptoloop, vous devez activer certaines 
options dans le noyau. Vous avez la possibilité de compiler cryptoloop 
comme module ou alors directement dans le noyau. Les étapes suivantes 
activeront cryptoloop en tant que module. Si vous n'êtes pas familiarisé 
avec la compilation d'un noyau 2.6, vous devriez consulter le <a class="ulink" href="http://www.traduc.org/docs/howto/lecture/Kernel-HOWTO.html" target="_top">Guide pratique du noyau 
Linux</a><a href="#ftn.d0e278" class="footnote" id="d0e278"><sup class="footnote">[1]</sup></a>. Les instructions suivantes présentent seulement les 
principales étapes de la compilation du noyau.

</p><div class="orderedlist"><ol class="orderedlist" type="1"><li class="listitem"><p>

Allez dans le répertoire contenant l'arborescence des sources du noyau 
(généralement <code class="filename">/usr/src/linux/</code>) et commencez la 
configuration :

</p><pre class="screen">
make menuconfig
</pre></li><li class="listitem"><p>

Activez la gestion du périphérique de boucle. Cochez <span class="quote">« <span class="quote">Loopback 
device support</span> »</span> sous :

</p><pre class="screen">
Device Drivers -&gt; Block Devices -&gt; Loopback device support
</pre></li><li class="listitem"><p>

Dans la même section activez la gestion de cryptoloop. Cette option 
devient accessible dès que vous avez activé la gestion du périphérique 
de bouclage.

</p></li><li class="listitem"><p>

Activez l'API cryptographic en allant dans le menu <span class="quote">« <span class="quote">Cryptographic 
options</span> »</span> depuis le menu principal. Vous pouvez sans risque 
choisir la plupart des algorithmes ici. Je vous recommande d'activer les 
suivants :

</p><pre class="screen">
-- Cryptographic API
 &lt;*&gt;   HMAC support  
 &lt; &gt;   Null algorithms
 &lt;*&gt;   MD4 digest algorithm
 &lt;*&gt;   MD5 digest algorithm
 &lt;*&gt;   SHA1 digest algorithm
 &lt;*&gt;   SHA256 digest algorithm
 &lt;*&gt;   SHA384 and SHA512 digest algorithms
 &lt;*&gt;   DES and Triple DES EDE cipher algorithms
 &lt;*&gt;   Blowfish cipher algorithm
 &lt;*&gt;   Twofish cipher algorithm
 &lt;*&gt;   Serpent cipher algorithm 
 &lt;*&gt;   AES cipher algorithms
 &lt;*&gt;   CAST5 (CAST-128) cipher algorithm
 &lt;*&gt;   CAST6 (CAST-256) cipher algorithm 
 &lt;*&gt;   Deflate compression algorithm
 &lt; &gt;   Testing module
</pre><p>

Si vous avez décidé de les compiler en module, assurez-vous de charger 
les modules appropriés (cryptoloop, aes, et cætera) au démarrage avant de 
continuer.

</p></li><li class="listitem"><p>

Construisez le noyau et les modules et installez les. Par exemple, si 
vous utilisez lilo sur une machine x86, vous pouvez tapez les commandes 
suivantes :

</p><pre class="screen">
make
make modules_install
cp arch/i386/boot/bzImage /boot/kernel-2.6.1
lilo
</pre></li><li class="listitem"><p>

Chargez les modules nécessaires au démarrage. Cela peut être fait de 
différente façon suivant les distributions. Par exemple sur la 
distribution Gentoo, les modules peuvent être ajoutés dans le fichier 
<code class="filename">/etc/modules.autoload/kernel-2.6</code>. Si vous avez 
compilé cryptoloop en tant que module, il doit être chargé en premier. 
Le module du périphérique de boucle sera alors automatiquement chargé. 
Vous pouvez aussi charger manuellement le module avec la commande 
suivante :

</p><pre class="screen">
modprobe cryptoloop
</pre></li></ol></div></div><div class="sect1"><div class="titlepage"><div><div><h2 class="title"><a id="userspace-tools"/>4. 

Obtenir les outils utilisateurs

</h2></div></div></div><p>

Le pilote cryptoloop demande une mise à jour des outils utilisateur pour 
pouvoir créer et monter le système de fichiers chiffré. Une mise à jour 
du paquet util-linux est nécessaire et peut être obtenu à l'adresse 
suivante : <a class="ulink" href="http://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz" target="_top">http://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz</a>. La 
version la plus récente est la version 2.12. Il y aura sûrement de 
nouvelles versions introduisant probablement des changements majeurs. 
Pour être sûr vous devriez vérifier les mises à jours de ce guide 
pratique avant de mettre à jour vers une version plus récente. 
Malheureusement, il existe plusieurs correctifs pour le paquet 
util-linux. Il y a différentes façons de créer et de monter une 
partition chiffrée. Afin d'utiliser la version 2.12 de l'utilitaire 
util-linux avec un noyau 2.6, les deux correctifs suivants doivent être 
appliqués :

</p><div class="orderedlist"><ol class="orderedlist" type="1"><li class="listitem"><p>

<a class="ulink" href="http://www.paranoiacs.org/~sluskyb/hacks/util-linux/losetup-combined.patch" target="_top">Correctif 
combiné losetup : 
<code class="filename">losetup-combined.patch</code></a>

</p></li><li class="listitem"><p>

<a class="ulink" href="http://www.ece.cmu.edu/~rholzer/cryptoloop/util-linux-2.12-kernel-2.6.patch" target="_top">Correctif 
util-linux 2.6 : 
<code class="filename">util-linux-2.12-kernel-2.6.patch</code></a>

</p></li></ol></div><p>

Téléchargez le paquetage util-linux et les deux correctifs disponibles.	
Premièrement extraire l'archive util-linux et appliquez les 
correctifs :

</p><pre class="screen">
tar xvfz util-linux-2.12.tar.gz

cd util-linux-2.12

patch -p1 &lt; /chemin_vers_le_correctif/losetup-combined.patch

patch -p1 &lt; /chemin_vers_le_correctif/util-linux-2.12-kernel-2.6.patch
</pre><p>

Après avoir appliqué les correctifs, compilez et installez util-linux en 
suivant les instructions du fichier <code class="filename">INSTALL</code>.

</p><p>

Je recommande d'utiliser le <a class="ulink" href="http://gentoo.org" target="_top">Linux 
Gentoo</a>, car ces correctifs sont automatiquement appliqués quand 
apparaissent les correctifs pour util-linux. D'autres distributions 
peuvent avoir aussi des versions de util-linux disponibles et avoir 
aussi appliqué ces correctifs.

</p></div><div class="sect1"><div class="titlepage"><div><div><h2 class="title"><a id="loopdevice-setup"/>5. Configurer le périphérique de boucle</h2></div></div></div><p>

Cryptoloop peut aussi bien être utilisé sur un fichier que sur un 
système de fichiers entier. La suite décrit la façon de le configurer 
sur une partition particulière. cette partition peut être n'importe 
quelle partition que vous désirez, l'exemple utilisé dans la suite est 
<code class="filename">/dev/sda1</code>. J'ai choisit d'utiliser l'algorithme de 
chiffrement AES, mais vous pouvez le remplacer par n'importe quel autre 
algorithme activé dans votre noyau. Vous pouvez obtenir une liste de 
tous les algorithmes gérés par votre noyau actuel en éditant le fichier 
<code class="filename">/proc/crypto</code>. Le livre de Bruce Scheier, 
<span xml:lang="en" class="foreignphrase"><em xml:lang="en" class="foreignphrase">Applied Cryptography and Practical 
Cryptography</em></span>, est un excellent ouvrage présentant les 
différents algorithmes de chiffrement. Les algorithmes AES et Serpent 
sont probablement le choix le plus raisonnable. AES a été beaucoup 
utilisé pour le chiffrement et aucune vulnérabilité sérieuse n'a été 
trouvée depuis longtemps. Serpent n'a pas encore été beaucoup analysé, 
mais il est considéré être un peu plus sécurisé que AES. Cependant, 
Serpent est par contre plus lent que AES. N'utilisez pas DES, il est le 
plus lent et le moins sécurisé. Triple-Des peut aussi être une 
possibilité, mais AES est probablement plus sécurisé et plus rapide, 
donc il n'existe pas réellement de raison d'utiliser triple-DES.

</p><div class="orderedlist"><ol class="orderedlist" type="1"><li class="listitem"><p>

Il est recommandé de formater la partition et de la remplir avec des 
données aléatoires avant de créer le système de fichiers chiffré dessus. 
Ce qui rendra plus difficile à un pirate la détection des signatures 
dans votre partition chiffrée.

</p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><table border="0" summary="Warning: Attention !"><tr><td rowspan="2" align="center" valign="top" width="25"><img alt="[Avertissement]" src="images/warning.png"/></td><th align="left">Attention !</th></tr><tr><td align="left" valign="top"><p>

Faite très attention au nom de la partition que vous inscrivez. Si vous 
faites une erreur, vous pouvez facilement écraser une autre partition 
avec des données aléatoires.

</p></td></tr></table></div><p>

Une partition remplie avec des données aléatoires peut être obtenue 
grâce à la commande suivante :

</p><pre class="screen">
dd if=/dev/urandom of=/dev/sda1 bs=1M
</pre><p>

Vous pouvez avoir un message d'erreur indiquant que le périphérique est 
plein. Vous pouvez l'ignorer.

</p></li><li class="listitem"><p>

Sélectionnez un algorithme et une taille de clef. Une liste 
d'algorithmes gérée par votre noyau peut être obtenu depuis	le 
fichier <code class="filename">/proc/crypto</code>. Je recommande l'utilisation 
de AES avec une clef de 256 bits.

</p></li><li class="listitem"><p>

Configurez le périphérique de boucle. Vous pouvez utiliser la commande 
<span class="command"><strong>losetup</strong></span> provenant du paquet util-linux. La commande 
suivante crée un système de fichiers chiffré sur le périphérique de 
boucle	0 en utilisant l'algorithme de chiffrage AES avec une clef 
de 256 bits sur le périphérique <code class="filename">/dev/sda1</code> :

</p><pre class="screen">
losetup -e aes-256 /dev/loop0 /dev/sda1
</pre><p>

La commande vous demandera un mot de passe. Choisissez un mot de passe 
robuste et essayez de vous en souvenir sans utiliser un post-it collé à 
votre moniteur. C'est le mauvais côté de l'utilisation de cryptoloop. 
Puisque le mot de passe est haché pour créer la clef de chiffrement, il 
n'est pas facile après de changer de mot de passe. La meilleur manière 
de changer un mot de passe est de créer une nouvelle partition ou un 
nouveau fichier chiffré et de déplacer toute les données dessus. Pour 
cette raison, soyez sûr de choisir un mot de passe robuste dès le début. 
AES peut être un algorithme de chiffrement très robuste, mais si vous 
choisissez un mauvais mot de passe, alors la sécurité ne sera pas bonne.

</p><p>

Si la commande <span class="command"><strong>losetup</strong></span> échoue avec le message 
d'erreur <code class="computeroutput">INVALID ARGUMENT</code>, le problème 
vient du paquet util-linux. Assurez-vous d'avoir suivi les instructions 
précédentes sur la façon d'installer le correctif pour util-linux. Les 
anciennes versions ainsi que les versions non corrigés utilisent une 
méthode différente pour passer la taille de la clef et ne fonctionnent 
pas avec l'API Crypto 2.6.

</p></li><li class="listitem"><p>

Créez un système de fichier. Vous pouvez choisir le type de système de 
fichier que vous souhaitez. L'exemple suivant crée un système de 
fichiers ext3 sur le périphérique de boucle :

</p><pre class="screen">
mkfs.ext3 /dev/loop0
</pre></li><li class="listitem"><p>

Montez le système de fichiers chiffré. Premièrement vous devez créer un 
point de montage, par exemple <code class="filename">/mnt/crypto</code> :
	
</p><pre class="screen">
mkdir /mnt/crypto
</pre><p>

Ensuite vous devez monter le système de fichiers. À ce niveau, vous 
devez indiquer explicitement à la commande mount le périphérique de 
boucle utilisé :

</p><pre class="screen">
mount -t ext3 /dev/loop0 /mnt/crypto
</pre></li><li class="listitem"><p>

Vous pouvez maintenant jouer avec votre fichier chiffré jusqu'à l'ennui.

</p></li><li class="listitem"><p>

Démontez le système de fichiers. Après avoir suffisamment joué avec, 
démontez le système de fichiers :

</p><pre class="screen">
umount /mnt/crypto
</pre></li><li class="listitem"><p>

Détachez le périphérique de boucle. Le périphérique de boucle est encore 
attaché à votre partition, détachez le avec la commande :

</p><pre class="screen">
losetup -d /dev/loop0
</pre></li></ol></div></div><div class="sect1"><div class="titlepage"><div><div><h2 class="title"><a id="mounting-filesystem"/>6. 
Monter le système de fichiers chiffré
</h2></div></div></div><p>

Pour toutes les opérations sur le périphérique cryptoloop, il est 
important que les modules nécessaires soient chargés. Vous avez besoin 
de charger au moins le module cryptoloop et les modules pour chaque 
algorithme de chiffrement avec la commande <span class="command"><strong>modprobe</strong></span>. 
Si les options ont été compilées directement dans le noyau, alors ce 
n'est pas nécessaire.

</p><p>

Afin de monter le système de fichiers chiffré créé ci-dessus, vous 
pouvez employer la commande <span class="command"><strong>mount</strong></span> du paquet 
util-linux.

</p><pre class="screen">
mount -t ext3 /dev/sda1 /mnt/crypto/ -o encryption=aes-256
</pre><p>

Le mot de passe vous sera demandé et ensuite le système de fichiers sera 
monté comme n'importe quel autre. L'option <span class="quote">« <span class="quote">encryption</span> »</span> 
indique que le périphérique contient un système de fichiers chiffré, la 
sélection du périphérique de boucle se fera automatiquement parmi les 
périphériques disponibles.

</p><p>

Quand vous aurez fini de travailler, vous pouvez le démonter avec la 
commande :

</p><pre class="screen">
umount /mnt/crypto
</pre><p>

Vous pouvez ajouter la ligne suivante dans le fichier 
<code class="filename">/etc/fstab</code> :

</p><pre class="screen">
/dev/sda1               /mnt/crypto     ext3            noauto,encryption=aes-256       0 0
</pre><p>

Maintenant vous pouvez simplement monter le périphérique avec :

</p><pre class="screen">
mount /mnt/crypto
</pre><p>

C'est tout. Amusez-vous.

</p></div><div class="sect1"><div class="titlepage"><div><div><h2 class="title"><a id="filebased"/>7. 
Utiliser un fichier au lieu d'une partition
</h2></div></div></div><p>

Il est très facile de créer un système de fichiers chiffré directement à 
l'intérieur d'un fichier. Ceci est particulièrement intéressant, si vous 
souhaitez sauvegarder ce fichier sur un DVD, ou sur tout autre média. Il 
vous sera aussi très facile de déplacer ce fichier sur d'autres 
machines.

</p><p>

Pour commencer, créez un fichier de 100 Mo contenant des données 
aléatoires en utilisant la commande suivante :

</p><pre class="screen">
dd if=/dev/urandom of=/mestrucs.aes bs=1k count=100000
</pre><p>

Si vous souhaitez changer la taille du fichier, changez la valeur de 
<code class="varname">count</code>. La commande précédente crée 
100 000 blocs d'une taille de 1 ko, mais vous pouvez 
mettre la valeur que vous désirez. Assurez-vous juste qu'elle ne soit 
pas trop petite et qu'il pourra contenir le système de fichiers que vous 
avez choisi. Vous pouvez remplacer <code class="filename">/mestrucs.aes</code> 
par n'importe quel nom de fichier du moment que vous avez suffisamment 
de place libre sur la partition.

</p><p>

Vous pouvez créer le système de fichiers chiffré dans ce fichier, de la 
même façon que nous l'avons fait précédemment :

</p><pre class="screen">
losetup -e aes-256 /dev/loop0 /mestrucs.aes
</pre><p>

Maintenant créez le système de fichiers :

</p><pre class="screen">
mkfs.ext3 /dev/loop0
</pre><p>

et montez le :

</p><pre class="screen">
mount -t ext3 /dev/loop0 /mnt/crypto
</pre><p>

Pour finir, démontez et détachez le périphérique de boucle 

</p><pre class="screen">
umount /mnt/crypto
losetup -d /dev/loop0
</pre><p>

Vous pourrez alors monter le système de fichiers plus tard avec la 
commande :

</p><pre class="screen">
mount /mestrucs.aes /mnt/crypto -oencryption=aes-256
</pre><p>

Si vous souhaitez déplacer le fichier ou le graver sur un CD-ROM ou un 
DVD, assurez-vous qu'il ait bien été <span class="emphasis"><em>démonté</em></span> avant.

</p></div><div class="footnotes"><br/><hr width="100" align="left"/><div id="ftn.d0e278" class="footnote"><p><a href="#d0e278" class="para"><sup class="para">[1] </sup></a>



N.D.T. : ce document est obsolète. Un document de remplacement est 
en cours de préparation par le Projet de documentation Linux (LDP).

En attendant, vous pouvez consulter l'article de la Gazette Linux 
<span class="quote">« <span class="quote">Compiler le noyau Linux</span> »</span> ou le <a class="ulink" href="http://www.digitalhermit.com/~kwan/kernel.html" target="_top">Guide pratique de 
reconstruction du noyau Linux</a> (en anglais) de Kwan Lowe.



</p></div></div></div></body></html>