<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.3//EN" 
  "http://www.oasis-open.org/docbook/xml/4.3/docbookx.dtd" [
<!ENTITY howto      "http://www.traduc.org/docs/howto/lecture/">
<!ENTITY guide      "http://www.traduc.org/docs/guides/lecture/">
]>

<article class="whitepaper" id="Cryptoloop-HOWTO" lang="fr">
<articleinfo>

    <title>Guide pratique de cryptoloop</title>

        <subtitle>Version française du guide pratique <foreignphrase 
        lang="en">Cryptoloop HOWTO</foreignphrase></subtitle>


    <author>
        <firstname>Ralf</firstname>
        <surname>Hölzer</surname>
        <email>cryptoloop CHEZ ralfhoelzer POINT com</email>
    </author>

        
   <othercredit role="traduction" class="translator">
     <firstname>Éric</firstname>
     <surname>Madesclair</surname>
     <contrib>Adaptation française</contrib>
     <email>eric TIRET m CHEZ wanadoo POINT fr</email>
  </othercredit>

 <othercredit role="relecture" class="translator">
    <firstname>Encolpe</firstname>
    <surname>Degoute</surname>
    <contrib>Relecture de la version française</contrib>
    <email>encolpe CHEZ colpi POINT info</email>
  </othercredit>

  <othercredit role="relecture" class="translator">
    <firstname>Bernard</firstname>
    <surname>Gisbert</surname>
    <contrib>Relecture de la version française</contrib>
    <email>debian POINT paris CHEZ wanadoo POINT fr</email>
  </othercredit>


  <othercredit role="publication" class="copyeditor">
    <firstname>Jean-Philippe</firstname>
    <surname>Guérard</surname>
    <contrib>Préparation de la publication de la v.f.</contrib>
    <email>fevrier CHEZ tigreraye POINT org</email>
  </othercredit>

  <releaseinfo>Version&nbsp;: 1.2.fr.1.1</releaseinfo>
  <pubdate>15 août 2005</pubdate> 
 
  <revhistory>
    
    <revision>
      <revnumber>1.2.fr.1.1</revnumber>
      <date>2005-08-15</date>
      <authorinitials>EM, ED, BG, JPG</authorinitials>
      <revremark>
      
          Quelques mises à jour mineures de présentation.
      
      </revremark>
     </revision>
     
    <revision>
      <revnumber>1.2.fr.1.0</revnumber>
      <date>2005-03-14</date>
      <authorinitials>EM, ED, BG, JPG</authorinitials>
      <revremark>
      
          Première traduction française
      
      </revremark>
     </revision>
     
    <revision>
      <revnumber>1.2</revnumber>
      <date>2004-03-12</date>
      <authorinitials>RH</authorinitials>
      <revremark>
      
          Ajout d'information sur dm-crypt et sur la sécurité, mise à 
          jour des informations sur loop-AES.
          
          <!-- Conformément à la licence du document (GFDL), on conserve 
               une copie en v.o. du texte de l'historique des 
               révisions.
            -->
          
          <emphasis lang="en">
          
            Added information on dm-crypt, updated loop-AES info, added 
            more info on security.
          
          </emphasis>
     
      </revremark>
      </revision>
      <revision>
        <revnumber>1.1</revnumber>
        <date>2004-01-24</date>
        <authorinitials>RH</authorinitials>
        <revremark>
        
          Mise à jour des informations sur util-linux, Loop-AES, Best
          Crypt.
            
          <emphasis lang="en">
          
            Updated information on patching util-linux, Loop-AES, Best 
            Crypt.
          
          </emphasis>
     
        </revremark>
      </revision>
      <revision>
        <revnumber>1.0</revnumber>
        <date>2004-01-17</date>
        <authorinitials>RH</authorinitials>
        <revremark>
        
          Première version, relu par TM du LDP.

          <emphasis lang="en">
          
            Initial release, reviewed by TM at LDP.
            
          </emphasis>
        
        </revremark>
      </revision>

      <revision>
        <revnumber>0.9</revnumber>
        <date>2004-01-15</date>
        <authorinitials>RH</authorinitials>
        <revremark>
        
          Mise à jour et conversion au format DocBook XML.

          <emphasis lang="en">
          
            Updated and converted to DocBook XML.
          
          </emphasis>
        
        </revremark>
      </revision>

    </revhistory>

    <abstract><para>
    
        Ce document explique comment créer un système de fichiers 
        chiffré en utilisant les fonctionnalités de cryptoloop. 
        Cryptoloop est une partie du CryptoAPI des versions 2.6 des 
        noyaux Linux.
        
    </para></abstract>

</articleinfo>

<sect1 id="about">
    
<title>À propos de ce guide</title>

<para>
        
Ce guide pratique explique comment utiliser le périphérique de boucle de 
chiffrement cryptoloop avec les versions 2.6 des noyaux Linux. 
Cryptoloop permet de créer un système de fichiers chiffré à l'intérieur 
d'une partition ou d'un fichier dans un autre système de fichiers. Ce 
fichier chiffré peut être déplacé sur un CD-ROM, un DVD, une clef 
mémoire USB, et cætera. Cryptoloop utilise le périphérique de boucle. Ce 
périphérique est un pseudo-périphérique qui sert comme une 
<quote>boucle</quote> à travers duquel chaque appel au système de 
fichier doit passer. De cette façon, les données peuvent être traitées 
afin d'être chiffrées et déchiffrées. Depuis les noyaux 2.6, l'interface 
de programmation Crypto a été intégrée directement dans le noyau, et 
donc la configuration d'un système de fichiers chiffré en est rendue 
plus facile. Aucun correctif du noyau n'est nécessaire. Par contre une 
mise à jour de certains utilitaires est requise. Malheureusement, 
l'utilisation de cryptoloop n'est pas encore bien documentée. Ce guide 
est un essai pour rendre plus facile pour tout le monde la création d'un 
système de fichiers chiffré utilisant les fonctionnalités standards de 
cryptoloop. Cryptoloop est basé sur l'API Crypto des noyaux Linux 2.6. 
Il ne faut pas confondre avec Loop-AES qui est un projet totalement 
différent. Cryptoloop est similaire à l'API Crypto qui était disponible 
comme un correctif séparé pour les versions 2.4 du noyau. Cette nouvelle 
version n'est pas compatible avec l'ancienne.
  
</para>

<!-- Legal Sections -->
<sect2 id="copyright">

<title>

Droits d'utilisation et licence

<foreignphrase lang="en">

(Copyright and License)

</foreignphrase></title>

<para>

Copyright &copy; 2004 <emphasis>Ralf H&ouml;lzer</emphasis> pour la 
version originale.

</para>

<para><foreignphrase lang="en">

This document, <emphasis>Cryptoloop HOWTO</emphasis>, is copyrighted 
&copy; 2004 by <emphasis>Ralf Hölzer</emphasis>.

</foreignphrase></para>

<para>

Copyright &copy; 2005 <emphasis>Éric Madesclair</emphasis>, 
<emphasis>Encolpe Degoute</emphasis> et <emphasis>Bernard 
Gisbert</emphasis> pour la version française.

</para>

<para>

Permission est donnée de copier, distribuer ou modifier ce document 
selon les termes de la Licence de documentation libre GNU [GFDL], 
version 1.1 ou suivante, telle que publié par la Free Software 
Foundation&nbsp;; sans sections invariables, sans texte de première de 
couverture, ni texte de quatrième de couverture. Une copie de la licence 
est disponible sur <ulink url="http://www.gnu.org/copyleft/fdl.html"/>.

</para>

<para><foreignphrase lang="en">

Permission is granted to copy, distribute and/or modify this document 
under the terms of the GNU Free Documentation License, Version 1.1 or 
any later version published by the Free Software Foundation; with no 
Invariant Sections, with no Front-Cover Texts, and with no Back-Cover 
Texts. A copy of the license is available at <ulink 
url="http://www.gnu.org/copyleft/fdl.html"/>.

</foreignphrase></para>

<para>

Linux est une marque déposée de Linus Torvalds.

</para>

<para><foreignphrase lang="en">

Linux is a registered trademark of Linus Torvalds.

</foreignphrase></para>

</sect2>

<sect2 id="disclaimer">

<title>

Limitations de responsabilité

<foreignphrase lang="en">

(Disclaimer)

</foreignphrase></title>

<para>

Aucune responsabilité pour le contenu de ces documents ne pourra être 
acceptée. Utilisez les concepts, exemples et autre contenu à vos propres 
risques. Il peut y avoir des erreurs et des imprécisions, qui peuvent 
bien entendu endommager votre système. Procédez avec précaution, et bien 
que ce soit hautement improbable, l'auteur n'en acceptera aucune 
responsabilité.

</para>

<para><foreignphrase lang="en">

No liability for the contents of this document can be accepted. Use the 
concepts, examples and information at your own risk. There may be errors 
and inaccuracies, that could be damaging to your system. Proceed with 
caution, and although this is highly unlikely, the author(s) do not take 
any responsibility.

</foreignphrase></para>

<para>

Tous les droits d'auteur sont détenus par leurs propriétaires 
respectifs, sauf mention contraire expresse. L'utilisation d'un terme 
dans ce document ne doit pas être vue comme affectant la valeur d'une 
marque de fabrique ou d'une marque de service. La mention de produits 
particuliers ou de marques ne doit pas être considérée comme un acte 
d'approbation.

</para>

<para><foreignphrase lang="en">

All copyrights are held by their by their respective owners, unless 
specifically noted otherwise. Use of a term in this document should not 
be regarded as affecting the validity of any trademark or service mark. 
Naming of particular products or brands should not be seen as 
endorsements. 

</foreignphrase></para>

</sect2>

<sect2 id="credits">
<title>Remerciements / Contributeurs</title>

<para>

Je remercie les personnes suivantes pour l'aide qu'elles m'ont apporté 
dans la rédaction de ce guide&nbsp;:

</para>
<itemizedlist>
<listitem> 
<para>Dennis Kaledin</para>
</listitem>
<listitem> 
<para>Binh Nguyen</para>
</listitem>
<listitem> 
<para>David Lawyer</para>
</listitem>
<listitem> 
<para>Tabatha Marshall</para>
</listitem>
<listitem> 
<para>Kian Spongsveen</para>
</listitem>
</itemizedlist>
</sect2>

<!-- Feedback -->
<sect2 id="feedback">

<title>

Commentaires et corrections

</title>

<para>

Les réactions sur ce document sont les bienvenues. Envoyez en anglais 
vos ajouts, commentaires et critiques à l'adresse suivante&nbsp;:

<email>cryptoloop CHEZ ralfhoelzer POINT com</email>.

</para>
<para>

N'hésitez pas à faire parvenir tout commentaire relatif à la version 
française de ce document à

<email>commentaires CHEZ traduc POINT org</email>

en précisant son titre, sa date et sa version.

</para>
</sect2>

</sect1>


<sect1 id="cryptoloop-introduction">

<title>

Introduction

</title>

<para>

Il existe plusieurs alternatives à l'utilisation de cryptoloop. Loop-AES 
(<ulink url="http://loop-aes.sourceforge.net"/>) est probablement le 
plus connu. Il fournit des fonctions similaires à cryptoloop. Aes-loop 
est probablement plus mature que cryptoloop et est aussi plus rapide 
(environ deux fois plus rapide, selon l'auteur de loop-AES) parce qu'il 
utilise une implémentation hautement optimisée d'un assembleur pour AES. 
Cela ne veut pas dire que cryptoloop est lent. Je n'ai pas noté de 
différence significative de vitesse entre une partition chiffrée avec 
cryptoloop et une partition non chiffrée durant mon travail avec un 
nombre normal d'entrée/sortie (I/O). A moins que les performances I/O 
soient extrêmement importantes pour vous, cryptoloop est suffisant. 
Loop-AES offre certaines fonctionnalités qui ne sont pas encore 
présentes dans l'implémentation noyau de cryptoloop. Loop-AES demande de 
modifier certains utilitaires utilisateur (mount, losetup) et ces 
modifications sont incompatibles avec une utilisation de cryptoloop. 
Vous ne pouvez pas utiliser cryptoloop et Loop-AES en même temps.

</para>
    
<para>

En terme de sécurité, cryptoloop est bon. La clef est généralement créée 
depuis un mot de passe et un hachage de cette clef est utilisé comme 
pour les clefs AES. Ce qui laisse la possibilité d'une <ulink 
url="http://lwn.net/Articles/67216/">attaque à texte clair connu</ulink> 
(<quote><foreignphrase lang="en">known-plaintext 
attack</foreignphrase></quote>). Loop-AES est de ce point de vue 
supérieur, parce qu'il génère une clef aléatoire et chiffre cette clé 
séparément, rendant une attaque par texte clair connu plus difficile. 
Loop-AES utilise aussi un mode à plusieurs clefs, où chaque secteur est 
chiffré avec 64 clefs AES différentes. En général, une attaque sur votre 
mot de passe peut réussir, si vous choisissez un mot de passe trop 
simple. Pour être sécurisé, votre mot de passe doit avoir au moins 20 
caractères. Cependant une attaque par force brute sur votre mot de passe 
sera sans doute plus facile que d'essayer directement sur les données 
chiffrées par AES.

</para>
    
<para>

Les fonctionnalités de cryptoloop dans le noyau standard fournissent une 
implémentation stable et propre sans avoir besoin de rajouter des 
correctifs. Puisqu'il est encore récent, il peut ne pas avoir 
suffisamment de critique en terme de sécurité. Vous devez décider par 
vous-même ce qui vous convient.

</para>
        
<important><para>

Cryptoloop est considéré comme obsolète dans les derniers noyaux 2.6. Il 
semble qu'il ne sera plus maintenu encore longtemps. Le successeur de 
cryptoloop sera <ulink url="http://www.saout.de/misc/dm-crypt/"> 
dm-crypt</ulink>. Dm-crypt est disponible dans le noyau principal 2.6.4. 
Cryptoloop sera encore disponible dans le noyau pendant encore quelque 
temps, mais dm-crypt devrait devenir la méthode choisit pour le 
chiffrement des disques durs dans le futur. Dm-crypt est basé sur le 
device mapper et offre plus ou moins les même fonctionnalités que 
cryptoloop. Il est encore très récent et il existe encore peu d'outils 
utilisateur simples, disponibles. Le code de dm-crypt est considéré 
comme plus propre que celui de cryptoloop, il existe des différences 
notables entre les deux. Par exemple, la création d'un système de 
fichiers chiffré autrement que dans un fichier, nécessite encore de 
passer par un périphérique de boucle, mais la gestion est encore en 
développement.

</para></important>
        
<para>

Il existe d'autres outils vous permettant de créer un système de 
fichiers chiffrés. BestCrypt est un produit commercial de Jetico. Il 
vous permet de créer un récipient chiffré et d'utiliser un large 
éventail d'algorithme de chiffrement. Il offre également certains 
dispositifs ingénieux tels que les récipients cachés. Il est disponible 
pour les systèmes Windows et Linux, ce qui fait qu'il est préférable 
pour l'échange de récipient chiffré entre Window et Linux. BestCrypt se 
compile maintenant très bien sur les noyaux 2.6. Cryptoloop peut 
également créer des récipients pouvant être déplacés, en créant un 
système de fichiers chiffré dans un fichier comme décrit ci-dessous. Je 
ne sais pas comment accéder à un fichier chiffré avec cryptoloop depuis 
un autre système d'exploitation comme Windows. Dans ce cas, BestCrypt 
est peut être votre seul choix.

</para>
        
<para>

Il existe d'autres outils commerciaux de chiffrement de disque comme 
PGP, mais à ma connaissance il n'y a pas de support Linux pour eux.

</para>
</sect1>

<sect1 id="kernel-configuration">

<title>

Configurer le noyau

</title>

<para>

Avant de pouvoir utiliser cryptoloop, vous devez activer certaines 
options dans le noyau. Vous avez la possibilité de compiler cryptoloop 
comme module ou alors directement dans le noyau. Les étapes suivantes 
activeront cryptoloop en tant que module. Si vous n'êtes pas familiarisé 
avec la compilation d'un noyau 2.6, vous devriez consulter le <ulink 
url="&howto;Kernel-HOWTO.html">Guide pratique du noyau 
Linux</ulink><footnote><para>

<!-- Note de bas de page -->

N.D.T.&nbsp;: ce document est obsolète. Un document de remplacement est 
en cours de préparation par le Projet de documentation Linux (LDP).

En attendant, vous pouvez consulter l'article de la Gazette Linux 
<quote>Compiler le noyau Linux</quote> ou le <ulink 
url="http://www.digitalhermit.com/~kwan/kernel.html">Guide pratique de 
reconstruction du noyau Linux</ulink> (en anglais) de Kwan Lowe.

<!-- Fin de la note de bas de page -->

</para></footnote>. Les instructions suivantes présentent seulement les 
principales étapes de la compilation du noyau.

</para>

<orderedlist>

<listitem><para>

Allez dans le répertoire contenant l'arborescence des sources du noyau 
(généralement <filename>/usr/src/linux/</filename>) et commencez la 
configuration&nbsp;:

</para>

<screen>
make menuconfig
</screen></listitem>

<listitem><para>

Activez la gestion du périphérique de boucle. Cochez <quote>Loopback 
device support</quote> sous&nbsp;:

</para>
<screen>
Device Drivers -> Block Devices -> Loopback device support
</screen></listitem>

<listitem><para>

Dans la même section activez la gestion de cryptoloop. Cette option 
devient accessible dès que vous avez activé la gestion du périphérique 
de bouclage.

</para></listitem>

<listitem><para>

Activez l'API cryptographic en allant dans le menu <quote>Cryptographic 
options</quote> depuis le menu principal. Vous pouvez sans risque 
choisir la plupart des algorithmes ici. Je vous recommande d'activer les 
suivants&nbsp;:

</para>

<screen>
-- Cryptographic API
 &lt;*&gt;   HMAC support  
 &lt; &gt;   Null algorithms
 &lt;*&gt;   MD4 digest algorithm
 &lt;*&gt;   MD5 digest algorithm
 &lt;*&gt;   SHA1 digest algorithm
 &lt;*&gt;   SHA256 digest algorithm
 &lt;*&gt;   SHA384 and SHA512 digest algorithms
 &lt;*&gt;   DES and Triple DES EDE cipher algorithms
 &lt;*&gt;   Blowfish cipher algorithm
 &lt;*&gt;   Twofish cipher algorithm
 &lt;*&gt;   Serpent cipher algorithm 
 &lt;*&gt;   AES cipher algorithms
 &lt;*&gt;   CAST5 (CAST-128) cipher algorithm
 &lt;*&gt;   CAST6 (CAST-256) cipher algorithm 
 &lt;*&gt;   Deflate compression algorithm
 &lt; &gt;   Testing module
</screen>

<para>

Si vous avez décidé de les compiler en module, assurez-vous de charger 
les modules appropriés (cryptoloop, aes, et cætera) au démarrage avant de 
continuer.

</para></listitem>

<listitem><para>

Construisez le noyau et les modules et installez les. Par exemple, si 
vous utilisez lilo sur une machine x86, vous pouvez tapez les commandes 
suivantes&nbsp;:

</para>

<screen>
make
make modules_install
cp arch/i386/boot/bzImage /boot/kernel-2.6.1
lilo
</screen></listitem>

<listitem><para>

Chargez les modules nécessaires au démarrage. Cela peut être fait de 
différente façon suivant les distributions. Par exemple sur la 
distribution Gentoo, les modules peuvent être ajoutés dans le fichier 
<filename>/etc/modules.autoload/kernel-2.6</filename>. Si vous avez 
compilé cryptoloop en tant que module, il doit être chargé en premier. 
Le module du périphérique de boucle sera alors automatiquement chargé. 
Vous pouvez aussi charger manuellement le module avec la commande 
suivante&nbsp;:

</para>

<screen>
modprobe cryptoloop
</screen></listitem>

</orderedlist>

</sect1>

<sect1 id="userspace-tools">

<title>

Obtenir les outils utilisateurs

</title>

<para>

Le pilote cryptoloop demande une mise à jour des outils utilisateur pour 
pouvoir créer et monter le système de fichiers chiffré. Une mise à jour 
du paquet util-linux est nécessaire et peut être obtenu à l'adresse 
suivante&nbsp;: <ulink 
url="http://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz"/>. La 
version la plus récente est la version 2.12. Il y aura sûrement de 
nouvelles versions introduisant probablement des changements majeurs. 
Pour être sûr vous devriez vérifier les mises à jours de ce guide 
pratique avant de mettre à jour vers une version plus récente. 
Malheureusement, il existe plusieurs correctifs pour le paquet 
util-linux. Il y a différentes façons de créer et de monter une 
partition chiffrée. Afin d'utiliser la version 2.12 de l'utilitaire 
util-linux avec un noyau 2.6, les deux correctifs suivants doivent être 
appliqués&nbsp;:

</para>

<orderedlist>
    
<!--<ulink url="http://www.stwing.org/~sluskyb/util-linux/losetup-combined.patch">Combined losetup patch</ulink></listitem> ancienne url -->

<listitem><para>

<ulink 
url="http://www.paranoiacs.org/~sluskyb/hacks/util-linux/losetup-combined.patch">Correctif 
combiné losetup&nbsp;: 
<filename>losetup-combined.patch</filename></ulink>

</para></listitem>

<listitem><para>

<ulink 
url="http://www.ece.cmu.edu/~rholzer/cryptoloop/util-linux-2.12-kernel-2.6.patch">Correctif 
util-linux 2.6&nbsp;: 
<filename>util-linux-2.12-kernel-2.6.patch</filename></ulink>

</para></listitem>

</orderedlist>

<para>

Téléchargez le paquetage util-linux et les deux correctifs disponibles. 
Premièrement extraire l'archive util-linux et appliquez les 
correctifs&nbsp;:

</para>


<screen>
tar xvfz util-linux-2.12.tar.gz

cd util-linux-2.12

patch -p1 &lt; /chemin_vers_le_correctif/losetup-combined.patch

patch -p1 &lt; /chemin_vers_le_correctif/util-linux-2.12-kernel-2.6.patch
</screen>

<para>

Après avoir appliqué les correctifs, compilez et installez util-linux en 
suivant les instructions du fichier <filename>INSTALL</filename>.

</para>


<para>

Je recommande d'utiliser le <ulink url="http://gentoo.org">Linux 
Gentoo</ulink>, car ces correctifs sont automatiquement appliqués quand 
apparaissent les correctifs pour util-linux. D'autres distributions 
peuvent avoir aussi des versions de util-linux disponibles et avoir 
aussi appliqué ces correctifs.

</para>
 
</sect1>


<sect1 id="loopdevice-setup">

<title>Configurer le périphérique de boucle</title>

<para>

Cryptoloop peut aussi bien être utilisé sur un fichier que sur un 
système de fichiers entier. La suite décrit la façon de le configurer 
sur une partition particulière. cette partition peut être n'importe 
quelle partition que vous désirez, l'exemple utilisé dans la suite est 
<filename>/dev/sda1</filename>. J'ai choisit d'utiliser l'algorithme de 
chiffrement AES, mais vous pouvez le remplacer par n'importe quel autre 
algorithme activé dans votre noyau. Vous pouvez obtenir une liste de 
tous les algorithmes gérés par votre noyau actuel en éditant le fichier 
<filename>/proc/crypto</filename>. Le livre de Bruce Scheier, 
<foreignphrase lang="en">Applied Cryptography and Practical 
Cryptography</foreignphrase>, est un excellent ouvrage présentant les 
différents algorithmes de chiffrement. Les algorithmes AES et Serpent 
sont probablement le choix le plus raisonnable. AES a été beaucoup 
utilisé pour le chiffrement et aucune vulnérabilité sérieuse n'a été 
trouvée depuis longtemps. Serpent n'a pas encore été beaucoup analysé, 
mais il est considéré être un peu plus sécurisé que AES. Cependant, 
Serpent est par contre plus lent que AES. N'utilisez pas DES, il est le 
plus lent et le moins sécurisé. Triple-Des peut aussi être une 
possibilité, mais AES est probablement plus sécurisé et plus rapide, 
donc il n'existe pas réellement de raison d'utiliser triple-DES.

</para>

<orderedlist>

<listitem><para>

Il est recommandé de formater la partition et de la remplir avec des 
données aléatoires avant de créer le système de fichiers chiffré dessus. 
Ce qui rendra plus difficile à un pirate la détection des signatures 
dans votre partition chiffrée.

</para>

<warning>
<title>Attention&nbsp;!</title>

<para>

Faite très attention au nom de la partition que vous inscrivez. Si vous 
faites une erreur, vous pouvez facilement écraser une autre partition 
avec des données aléatoires.

</para></warning>

<para>

Une partition remplie avec des données aléatoires peut être obtenue 
grâce à la commande suivante&nbsp;:

</para>

<screen>
dd if=/dev/urandom of=/dev/sda1 bs=1M
</screen>

<para>

Vous pouvez avoir un message d'erreur indiquant que le périphérique est 
plein. Vous pouvez l'ignorer.

</para></listitem>

<listitem><para>

Sélectionnez un algorithme et une taille de clef. Une liste 
d'algorithmes gérée par votre noyau peut être obtenu depuis     le 
fichier <filename>/proc/crypto</filename>. Je recommande l'utilisation 
de AES avec une clef de 256 bits.

</para></listitem>

<listitem><para>

Configurez le périphérique de boucle. Vous pouvez utiliser la commande 
<command>losetup</command> provenant du paquet util-linux. La commande 
suivante crée un système de fichiers chiffré sur le périphérique de 
boucle  0 en utilisant l'algorithme de chiffrage AES avec une clef 
de 256 bits sur le périphérique <filename>/dev/sda1</filename>&nbsp;:

</para>

<screen>
losetup -e aes-256 /dev/loop0 /dev/sda1
</screen>

<para>

La commande vous demandera un mot de passe. Choisissez un mot de passe 
robuste et essayez de vous en souvenir sans utiliser un post-it collé à 
votre moniteur. C'est le mauvais côté de l'utilisation de cryptoloop. 
Puisque le mot de passe est haché pour créer la clef de chiffrement, il 
n'est pas facile après de changer de mot de passe. La meilleur manière 
de changer un mot de passe est de créer une nouvelle partition ou un 
nouveau fichier chiffré et de déplacer toute les données dessus. Pour 
cette raison, soyez sûr de choisir un mot de passe robuste dès le début. 
AES peut être un algorithme de chiffrement très robuste, mais si vous 
choisissez un mauvais mot de passe, alors la sécurité ne sera pas bonne.

</para>

<para>

Si la commande <command>losetup</command> échoue avec le message 
d'erreur <computeroutput>INVALID ARGUMENT</computeroutput>, le problème 
vient du paquet util-linux. Assurez-vous d'avoir suivi les instructions 
précédentes sur la façon d'installer le correctif pour util-linux. Les 
anciennes versions ainsi que les versions non corrigés utilisent une 
méthode différente pour passer la taille de la clef et ne fonctionnent 
pas avec l'API Crypto 2.6.

</para></listitem>

<listitem><para>

Créez un système de fichier. Vous pouvez choisir le type de système de 
fichier que vous souhaitez. L'exemple suivant crée un système de 
fichiers ext3 sur le périphérique de boucle&nbsp;:

</para>

<screen>
mkfs.ext3 /dev/loop0
</screen></listitem>

<listitem><para>

Montez le système de fichiers chiffré. Premièrement vous devez créer un 
point de montage, par exemple <filename>/mnt/crypto</filename>&nbsp;:
        
</para>

<screen>
mkdir /mnt/crypto
</screen>

<para>

Ensuite vous devez monter le système de fichiers. À ce niveau, vous 
devez indiquer explicitement à la commande mount le périphérique de 
boucle utilisé&nbsp;:

</para>

<screen>
mount -t ext3 /dev/loop0 /mnt/crypto
</screen></listitem>

<listitem><para>

Vous pouvez maintenant jouer avec votre fichier chiffré jusqu'à l'ennui.

</para></listitem>

<listitem><para>

Démontez le système de fichiers. Après avoir suffisamment joué avec, 
démontez le système de fichiers&nbsp;:

</para>

<screen>
umount /mnt/crypto
</screen></listitem>

<listitem><para>

Détachez le périphérique de boucle. Le périphérique de boucle est encore 
attaché à votre partition, détachez le avec la commande&nbsp;:

</para>

<screen>
losetup -d /dev/loop0
</screen></listitem>

</orderedlist>

</sect1>

<sect1 id="mounting-filesystem">

<title>
Monter le système de fichiers chiffré
</title>

<para>

Pour toutes les opérations sur le périphérique cryptoloop, il est 
important que les modules nécessaires soient chargés. Vous avez besoin 
de charger au moins le module cryptoloop et les modules pour chaque 
algorithme de chiffrement avec la commande <command>modprobe</command>. 
Si les options ont été compilées directement dans le noyau, alors ce 
n'est pas nécessaire.

</para>

<para>

Afin de monter le système de fichiers chiffré créé ci-dessus, vous 
pouvez employer la commande <command>mount</command> du paquet 
util-linux.

</para>

<screen>
mount -t ext3 /dev/sda1 /mnt/crypto/ -o encryption=aes-256
</screen>


<para>

Le mot de passe vous sera demandé et ensuite le système de fichiers sera 
monté comme n'importe quel autre. L'option <quote>encryption</quote> 
indique que le périphérique contient un système de fichiers chiffré, la 
sélection du périphérique de boucle se fera automatiquement parmi les 
périphériques disponibles.

</para>

<para>

Quand vous aurez fini de travailler, vous pouvez le démonter avec la 
commande&nbsp;:

</para>

<screen>
umount /mnt/crypto
</screen>

<para>

Vous pouvez ajouter la ligne suivante dans le fichier 
<filename>/etc/fstab</filename>&nbsp;:

</para>

<screen>
/dev/sda1               /mnt/crypto     ext3            noauto,encryption=aes-256       0 0
</screen>

<para>

Maintenant vous pouvez simplement monter le périphérique avec&nbsp;:

</para>

<screen>
mount /mnt/crypto
</screen>

<para>

C'est tout. Amusez-vous.

</para>

</sect1>


<sect1 id="filebased">

<title>
Utiliser un fichier au lieu d'une partition
</title>

<para>

Il est très facile de créer un système de fichiers chiffré directement à 
l'intérieur d'un fichier. Ceci est particulièrement intéressant, si vous 
souhaitez sauvegarder ce fichier sur un DVD, ou sur tout autre média. Il 
vous sera aussi très facile de déplacer ce fichier sur d'autres 
machines.

</para>

<para>

Pour commencer, créez un fichier de 100&nbsp;Mo contenant des données 
aléatoires en utilisant la commande suivante&nbsp;:

</para>

<screen>
dd if=/dev/urandom of=/mestrucs.aes bs=1k count=100000
</screen>

<para>

Si vous souhaitez changer la taille du fichier, changez la valeur de 
<varname>count</varname>. La commande précédente crée 
100&nbsp;000&nbsp;blocs d'une taille de 1&nbsp;ko, mais vous pouvez 
mettre la valeur que vous désirez. Assurez-vous juste qu'elle ne soit 
pas trop petite et qu'il pourra contenir le système de fichiers que vous 
avez choisi. Vous pouvez remplacer <filename>/mestrucs.aes</filename> 
par n'importe quel nom de fichier du moment que vous avez suffisamment 
de place libre sur la partition.

</para>

<para>

Vous pouvez créer le système de fichiers chiffré dans ce fichier, de la 
même façon que nous l'avons fait précédemment&nbsp;:

</para>

<screen>
losetup -e aes-256 /dev/loop0 /mestrucs.aes
</screen>

<para>

Maintenant créez le système de fichiers&nbsp;:

</para>

<screen>
mkfs.ext3 /dev/loop0
</screen>

<para>

et montez le&nbsp;:

</para>

<screen>
mount -t ext3 /dev/loop0 /mnt/crypto
</screen>

<para>

Pour finir, démontez et détachez le périphérique de boucle&nbsp;

</para>

<screen>
umount /mnt/crypto
losetup -d /dev/loop0
</screen>

<para>

Vous pourrez alors monter le système de fichiers plus tard avec la 
commande&nbsp;:

</para>

<screen>
mount /mestrucs.aes /mnt/crypto -oencryption=aes-256
</screen>

<para>

Si vous souhaitez déplacer le fichier ou le graver sur un CD-ROM ou un 
DVD, assurez-vous qu'il ait bien été <emphasis>démonté</emphasis> avant.

</para>

</sect1>
</article>

Site hébergé sur un Cloud Public IKOULA Ikoula