<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.3//EN"
"http://www.oasis-open.org/docbook/xml/4.3/docbookx.dtd" [
<!ENTITY howto "http://www.traduc.org/docs/howto/lecture/">
<!ENTITY guide "http://www.traduc.org/docs/guides/lecture/">
]>
<article class="whitepaper" id="Cryptoloop-HOWTO" lang="fr">
<articleinfo>
<title>Guide pratique de cryptoloop</title>
<subtitle>Version française du guide pratique <foreignphrase
lang="en">Cryptoloop HOWTO</foreignphrase></subtitle>
<author>
<firstname>Ralf</firstname>
<surname>Hölzer</surname>
<email>cryptoloop CHEZ ralfhoelzer POINT com</email>
</author>
<othercredit role="traduction" class="translator">
<firstname>Éric</firstname>
<surname>Madesclair</surname>
<contrib>Adaptation française</contrib>
<email>eric TIRET m CHEZ wanadoo POINT fr</email>
</othercredit>
<othercredit role="relecture" class="translator">
<firstname>Encolpe</firstname>
<surname>Degoute</surname>
<contrib>Relecture de la version française</contrib>
<email>encolpe CHEZ colpi POINT info</email>
</othercredit>
<othercredit role="relecture" class="translator">
<firstname>Bernard</firstname>
<surname>Gisbert</surname>
<contrib>Relecture de la version française</contrib>
<email>debian POINT paris CHEZ wanadoo POINT fr</email>
</othercredit>
<othercredit role="publication" class="copyeditor">
<firstname>Jean-Philippe</firstname>
<surname>Guérard</surname>
<contrib>Préparation de la publication de la v.f.</contrib>
<email>fevrier CHEZ tigreraye POINT org</email>
</othercredit>
<releaseinfo>Version : 1.2.fr.1.1</releaseinfo>
<pubdate>15 août 2005</pubdate>
<revhistory>
<revision>
<revnumber>1.2.fr.1.1</revnumber>
<date>2005-08-15</date>
<authorinitials>EM, ED, BG, JPG</authorinitials>
<revremark>
Quelques mises à jour mineures de présentation.
</revremark>
</revision>
<revision>
<revnumber>1.2.fr.1.0</revnumber>
<date>2005-03-14</date>
<authorinitials>EM, ED, BG, JPG</authorinitials>
<revremark>
Première traduction française
</revremark>
</revision>
<revision>
<revnumber>1.2</revnumber>
<date>2004-03-12</date>
<authorinitials>RH</authorinitials>
<revremark>
Ajout d'information sur dm-crypt et sur la sécurité, mise à
jour des informations sur loop-AES.
<!-- Conformément à la licence du document (GFDL), on conserve
une copie en v.o. du texte de l'historique des
révisions.
-->
<emphasis lang="en">
Added information on dm-crypt, updated loop-AES info, added
more info on security.
</emphasis>
</revremark>
</revision>
<revision>
<revnumber>1.1</revnumber>
<date>2004-01-24</date>
<authorinitials>RH</authorinitials>
<revremark>
Mise à jour des informations sur util-linux, Loop-AES, Best
Crypt.
<emphasis lang="en">
Updated information on patching util-linux, Loop-AES, Best
Crypt.
</emphasis>
</revremark>
</revision>
<revision>
<revnumber>1.0</revnumber>
<date>2004-01-17</date>
<authorinitials>RH</authorinitials>
<revremark>
Première version, relu par TM du LDP.
<emphasis lang="en">
Initial release, reviewed by TM at LDP.
</emphasis>
</revremark>
</revision>
<revision>
<revnumber>0.9</revnumber>
<date>2004-01-15</date>
<authorinitials>RH</authorinitials>
<revremark>
Mise à jour et conversion au format DocBook XML.
<emphasis lang="en">
Updated and converted to DocBook XML.
</emphasis>
</revremark>
</revision>
</revhistory>
<abstract><para>
Ce document explique comment créer un système de fichiers
chiffré en utilisant les fonctionnalités de cryptoloop.
Cryptoloop est une partie du CryptoAPI des versions 2.6 des
noyaux Linux.
</para></abstract>
</articleinfo>
<sect1 id="about">
<title>À propos de ce guide</title>
<para>
Ce guide pratique explique comment utiliser le périphérique de boucle de
chiffrement cryptoloop avec les versions 2.6 des noyaux Linux.
Cryptoloop permet de créer un système de fichiers chiffré à l'intérieur
d'une partition ou d'un fichier dans un autre système de fichiers. Ce
fichier chiffré peut être déplacé sur un CD-ROM, un DVD, une clef
mémoire USB, et cætera. Cryptoloop utilise le périphérique de boucle. Ce
périphérique est un pseudo-périphérique qui sert comme une
<quote>boucle</quote> à travers duquel chaque appel au système de
fichier doit passer. De cette façon, les données peuvent être traitées
afin d'être chiffrées et déchiffrées. Depuis les noyaux 2.6, l'interface
de programmation Crypto a été intégrée directement dans le noyau, et
donc la configuration d'un système de fichiers chiffré en est rendue
plus facile. Aucun correctif du noyau n'est nécessaire. Par contre une
mise à jour de certains utilitaires est requise. Malheureusement,
l'utilisation de cryptoloop n'est pas encore bien documentée. Ce guide
est un essai pour rendre plus facile pour tout le monde la création d'un
système de fichiers chiffré utilisant les fonctionnalités standards de
cryptoloop. Cryptoloop est basé sur l'API Crypto des noyaux Linux 2.6.
Il ne faut pas confondre avec Loop-AES qui est un projet totalement
différent. Cryptoloop est similaire à l'API Crypto qui était disponible
comme un correctif séparé pour les versions 2.4 du noyau. Cette nouvelle
version n'est pas compatible avec l'ancienne.
</para>
<!-- Legal Sections -->
<sect2 id="copyright">
<title>
Droits d'utilisation et licence
<foreignphrase lang="en">
(Copyright and License)
</foreignphrase></title>
<para>
Copyright © 2004 <emphasis>Ralf Hölzer</emphasis> pour la
version originale.
</para>
<para><foreignphrase lang="en">
This document, <emphasis>Cryptoloop HOWTO</emphasis>, is copyrighted
© 2004 by <emphasis>Ralf Hölzer</emphasis>.
</foreignphrase></para>
<para>
Copyright © 2005 <emphasis>Éric Madesclair</emphasis>,
<emphasis>Encolpe Degoute</emphasis> et <emphasis>Bernard
Gisbert</emphasis> pour la version française.
</para>
<para>
Permission est donnée de copier, distribuer ou modifier ce document
selon les termes de la Licence de documentation libre GNU [GFDL],
version 1.1 ou suivante, telle que publié par la Free Software
Foundation ; sans sections invariables, sans texte de première de
couverture, ni texte de quatrième de couverture. Une copie de la licence
est disponible sur <ulink url="http://www.gnu.org/copyleft/fdl.html"/>.
</para>
<para><foreignphrase lang="en">
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.1 or
any later version published by the Free Software Foundation; with no
Invariant Sections, with no Front-Cover Texts, and with no Back-Cover
Texts. A copy of the license is available at <ulink
url="http://www.gnu.org/copyleft/fdl.html"/>.
</foreignphrase></para>
<para>
Linux est une marque déposée de Linus Torvalds.
</para>
<para><foreignphrase lang="en">
Linux is a registered trademark of Linus Torvalds.
</foreignphrase></para>
</sect2>
<sect2 id="disclaimer">
<title>
Limitations de responsabilité
<foreignphrase lang="en">
(Disclaimer)
</foreignphrase></title>
<para>
Aucune responsabilité pour le contenu de ces documents ne pourra être
acceptée. Utilisez les concepts, exemples et autre contenu à vos propres
risques. Il peut y avoir des erreurs et des imprécisions, qui peuvent
bien entendu endommager votre système. Procédez avec précaution, et bien
que ce soit hautement improbable, l'auteur n'en acceptera aucune
responsabilité.
</para>
<para><foreignphrase lang="en">
No liability for the contents of this document can be accepted. Use the
concepts, examples and information at your own risk. There may be errors
and inaccuracies, that could be damaging to your system. Proceed with
caution, and although this is highly unlikely, the author(s) do not take
any responsibility.
</foreignphrase></para>
<para>
Tous les droits d'auteur sont détenus par leurs propriétaires
respectifs, sauf mention contraire expresse. L'utilisation d'un terme
dans ce document ne doit pas être vue comme affectant la valeur d'une
marque de fabrique ou d'une marque de service. La mention de produits
particuliers ou de marques ne doit pas être considérée comme un acte
d'approbation.
</para>
<para><foreignphrase lang="en">
All copyrights are held by their by their respective owners, unless
specifically noted otherwise. Use of a term in this document should not
be regarded as affecting the validity of any trademark or service mark.
Naming of particular products or brands should not be seen as
endorsements.
</foreignphrase></para>
</sect2>
<sect2 id="credits">
<title>Remerciements / Contributeurs</title>
<para>
Je remercie les personnes suivantes pour l'aide qu'elles m'ont apporté
dans la rédaction de ce guide :
</para>
<itemizedlist>
<listitem>
<para>Dennis Kaledin</para>
</listitem>
<listitem>
<para>Binh Nguyen</para>
</listitem>
<listitem>
<para>David Lawyer</para>
</listitem>
<listitem>
<para>Tabatha Marshall</para>
</listitem>
<listitem>
<para>Kian Spongsveen</para>
</listitem>
</itemizedlist>
</sect2>
<!-- Feedback -->
<sect2 id="feedback">
<title>
Commentaires et corrections
</title>
<para>
Les réactions sur ce document sont les bienvenues. Envoyez en anglais
vos ajouts, commentaires et critiques à l'adresse suivante :
<email>cryptoloop CHEZ ralfhoelzer POINT com</email>.
</para>
<para>
N'hésitez pas à faire parvenir tout commentaire relatif à la version
française de ce document à
<email>commentaires CHEZ traduc POINT org</email>
en précisant son titre, sa date et sa version.
</para>
</sect2>
</sect1>
<sect1 id="cryptoloop-introduction">
<title>
Introduction
</title>
<para>
Il existe plusieurs alternatives à l'utilisation de cryptoloop. Loop-AES
(<ulink url="http://loop-aes.sourceforge.net"/>) est probablement le
plus connu. Il fournit des fonctions similaires à cryptoloop. Aes-loop
est probablement plus mature que cryptoloop et est aussi plus rapide
(environ deux fois plus rapide, selon l'auteur de loop-AES) parce qu'il
utilise une implémentation hautement optimisée d'un assembleur pour AES.
Cela ne veut pas dire que cryptoloop est lent. Je n'ai pas noté de
différence significative de vitesse entre une partition chiffrée avec
cryptoloop et une partition non chiffrée durant mon travail avec un
nombre normal d'entrée/sortie (I/O). A moins que les performances I/O
soient extrêmement importantes pour vous, cryptoloop est suffisant.
Loop-AES offre certaines fonctionnalités qui ne sont pas encore
présentes dans l'implémentation noyau de cryptoloop. Loop-AES demande de
modifier certains utilitaires utilisateur (mount, losetup) et ces
modifications sont incompatibles avec une utilisation de cryptoloop.
Vous ne pouvez pas utiliser cryptoloop et Loop-AES en même temps.
</para>
<para>
En terme de sécurité, cryptoloop est bon. La clef est généralement créée
depuis un mot de passe et un hachage de cette clef est utilisé comme
pour les clefs AES. Ce qui laisse la possibilité d'une <ulink
url="http://lwn.net/Articles/67216/">attaque à texte clair connu</ulink>
(<quote><foreignphrase lang="en">known-plaintext
attack</foreignphrase></quote>). Loop-AES est de ce point de vue
supérieur, parce qu'il génère une clef aléatoire et chiffre cette clé
séparément, rendant une attaque par texte clair connu plus difficile.
Loop-AES utilise aussi un mode à plusieurs clefs, où chaque secteur est
chiffré avec 64 clefs AES différentes. En général, une attaque sur votre
mot de passe peut réussir, si vous choisissez un mot de passe trop
simple. Pour être sécurisé, votre mot de passe doit avoir au moins 20
caractères. Cependant une attaque par force brute sur votre mot de passe
sera sans doute plus facile que d'essayer directement sur les données
chiffrées par AES.
</para>
<para>
Les fonctionnalités de cryptoloop dans le noyau standard fournissent une
implémentation stable et propre sans avoir besoin de rajouter des
correctifs. Puisqu'il est encore récent, il peut ne pas avoir
suffisamment de critique en terme de sécurité. Vous devez décider par
vous-même ce qui vous convient.
</para>
<important><para>
Cryptoloop est considéré comme obsolète dans les derniers noyaux 2.6. Il
semble qu'il ne sera plus maintenu encore longtemps. Le successeur de
cryptoloop sera <ulink url="http://www.saout.de/misc/dm-crypt/">
dm-crypt</ulink>. Dm-crypt est disponible dans le noyau principal 2.6.4.
Cryptoloop sera encore disponible dans le noyau pendant encore quelque
temps, mais dm-crypt devrait devenir la méthode choisit pour le
chiffrement des disques durs dans le futur. Dm-crypt est basé sur le
device mapper et offre plus ou moins les même fonctionnalités que
cryptoloop. Il est encore très récent et il existe encore peu d'outils
utilisateur simples, disponibles. Le code de dm-crypt est considéré
comme plus propre que celui de cryptoloop, il existe des différences
notables entre les deux. Par exemple, la création d'un système de
fichiers chiffré autrement que dans un fichier, nécessite encore de
passer par un périphérique de boucle, mais la gestion est encore en
développement.
</para></important>
<para>
Il existe d'autres outils vous permettant de créer un système de
fichiers chiffrés. BestCrypt est un produit commercial de Jetico. Il
vous permet de créer un récipient chiffré et d'utiliser un large
éventail d'algorithme de chiffrement. Il offre également certains
dispositifs ingénieux tels que les récipients cachés. Il est disponible
pour les systèmes Windows et Linux, ce qui fait qu'il est préférable
pour l'échange de récipient chiffré entre Window et Linux. BestCrypt se
compile maintenant très bien sur les noyaux 2.6. Cryptoloop peut
également créer des récipients pouvant être déplacés, en créant un
système de fichiers chiffré dans un fichier comme décrit ci-dessous. Je
ne sais pas comment accéder à un fichier chiffré avec cryptoloop depuis
un autre système d'exploitation comme Windows. Dans ce cas, BestCrypt
est peut être votre seul choix.
</para>
<para>
Il existe d'autres outils commerciaux de chiffrement de disque comme
PGP, mais à ma connaissance il n'y a pas de support Linux pour eux.
</para>
</sect1>
<sect1 id="kernel-configuration">
<title>
Configurer le noyau
</title>
<para>
Avant de pouvoir utiliser cryptoloop, vous devez activer certaines
options dans le noyau. Vous avez la possibilité de compiler cryptoloop
comme module ou alors directement dans le noyau. Les étapes suivantes
activeront cryptoloop en tant que module. Si vous n'êtes pas familiarisé
avec la compilation d'un noyau 2.6, vous devriez consulter le <ulink
url="&howto;Kernel-HOWTO.html">Guide pratique du noyau
Linux</ulink><footnote><para>
<!-- Note de bas de page -->
N.D.T. : ce document est obsolète. Un document de remplacement est
en cours de préparation par le Projet de documentation Linux (LDP).
En attendant, vous pouvez consulter l'article de la Gazette Linux
<quote>Compiler le noyau Linux</quote> ou le <ulink
url="http://www.digitalhermit.com/~kwan/kernel.html">Guide pratique de
reconstruction du noyau Linux</ulink> (en anglais) de Kwan Lowe.
<!-- Fin de la note de bas de page -->
</para></footnote>. Les instructions suivantes présentent seulement les
principales étapes de la compilation du noyau.
</para>
<orderedlist>
<listitem><para>
Allez dans le répertoire contenant l'arborescence des sources du noyau
(généralement <filename>/usr/src/linux/</filename>) et commencez la
configuration :
</para>
<screen>
make menuconfig
</screen></listitem>
<listitem><para>
Activez la gestion du périphérique de boucle. Cochez <quote>Loopback
device support</quote> sous :
</para>
<screen>
Device Drivers -> Block Devices -> Loopback device support
</screen></listitem>
<listitem><para>
Dans la même section activez la gestion de cryptoloop. Cette option
devient accessible dès que vous avez activé la gestion du périphérique
de bouclage.
</para></listitem>
<listitem><para>
Activez l'API cryptographic en allant dans le menu <quote>Cryptographic
options</quote> depuis le menu principal. Vous pouvez sans risque
choisir la plupart des algorithmes ici. Je vous recommande d'activer les
suivants :
</para>
<screen>
-- Cryptographic API
<*> HMAC support
< > Null algorithms
<*> MD4 digest algorithm
<*> MD5 digest algorithm
<*> SHA1 digest algorithm
<*> SHA256 digest algorithm
<*> SHA384 and SHA512 digest algorithms
<*> DES and Triple DES EDE cipher algorithms
<*> Blowfish cipher algorithm
<*> Twofish cipher algorithm
<*> Serpent cipher algorithm
<*> AES cipher algorithms
<*> CAST5 (CAST-128) cipher algorithm
<*> CAST6 (CAST-256) cipher algorithm
<*> Deflate compression algorithm
< > Testing module
</screen>
<para>
Si vous avez décidé de les compiler en module, assurez-vous de charger
les modules appropriés (cryptoloop, aes, et cætera) au démarrage avant de
continuer.
</para></listitem>
<listitem><para>
Construisez le noyau et les modules et installez les. Par exemple, si
vous utilisez lilo sur une machine x86, vous pouvez tapez les commandes
suivantes :
</para>
<screen>
make
make modules_install
cp arch/i386/boot/bzImage /boot/kernel-2.6.1
lilo
</screen></listitem>
<listitem><para>
Chargez les modules nécessaires au démarrage. Cela peut être fait de
différente façon suivant les distributions. Par exemple sur la
distribution Gentoo, les modules peuvent être ajoutés dans le fichier
<filename>/etc/modules.autoload/kernel-2.6</filename>. Si vous avez
compilé cryptoloop en tant que module, il doit être chargé en premier.
Le module du périphérique de boucle sera alors automatiquement chargé.
Vous pouvez aussi charger manuellement le module avec la commande
suivante :
</para>
<screen>
modprobe cryptoloop
</screen></listitem>
</orderedlist>
</sect1>
<sect1 id="userspace-tools">
<title>
Obtenir les outils utilisateurs
</title>
<para>
Le pilote cryptoloop demande une mise à jour des outils utilisateur pour
pouvoir créer et monter le système de fichiers chiffré. Une mise à jour
du paquet util-linux est nécessaire et peut être obtenu à l'adresse
suivante : <ulink
url="http://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz"/>. La
version la plus récente est la version 2.12. Il y aura sûrement de
nouvelles versions introduisant probablement des changements majeurs.
Pour être sûr vous devriez vérifier les mises à jours de ce guide
pratique avant de mettre à jour vers une version plus récente.
Malheureusement, il existe plusieurs correctifs pour le paquet
util-linux. Il y a différentes façons de créer et de monter une
partition chiffrée. Afin d'utiliser la version 2.12 de l'utilitaire
util-linux avec un noyau 2.6, les deux correctifs suivants doivent être
appliqués :
</para>
<orderedlist>
<!--<ulink url="http://www.stwing.org/~sluskyb/util-linux/losetup-combined.patch">Combined losetup patch</ulink></listitem> ancienne url -->
<listitem><para>
<ulink
url="http://www.paranoiacs.org/~sluskyb/hacks/util-linux/losetup-combined.patch">Correctif
combiné losetup :
<filename>losetup-combined.patch</filename></ulink>
</para></listitem>
<listitem><para>
<ulink
url="http://www.ece.cmu.edu/~rholzer/cryptoloop/util-linux-2.12-kernel-2.6.patch">Correctif
util-linux 2.6 :
<filename>util-linux-2.12-kernel-2.6.patch</filename></ulink>
</para></listitem>
</orderedlist>
<para>
Téléchargez le paquetage util-linux et les deux correctifs disponibles.
Premièrement extraire l'archive util-linux et appliquez les
correctifs :
</para>
<screen>
tar xvfz util-linux-2.12.tar.gz
cd util-linux-2.12
patch -p1 < /chemin_vers_le_correctif/losetup-combined.patch
patch -p1 < /chemin_vers_le_correctif/util-linux-2.12-kernel-2.6.patch
</screen>
<para>
Après avoir appliqué les correctifs, compilez et installez util-linux en
suivant les instructions du fichier <filename>INSTALL</filename>.
</para>
<para>
Je recommande d'utiliser le <ulink url="http://gentoo.org">Linux
Gentoo</ulink>, car ces correctifs sont automatiquement appliqués quand
apparaissent les correctifs pour util-linux. D'autres distributions
peuvent avoir aussi des versions de util-linux disponibles et avoir
aussi appliqué ces correctifs.
</para>
</sect1>
<sect1 id="loopdevice-setup">
<title>Configurer le périphérique de boucle</title>
<para>
Cryptoloop peut aussi bien être utilisé sur un fichier que sur un
système de fichiers entier. La suite décrit la façon de le configurer
sur une partition particulière. cette partition peut être n'importe
quelle partition que vous désirez, l'exemple utilisé dans la suite est
<filename>/dev/sda1</filename>. J'ai choisit d'utiliser l'algorithme de
chiffrement AES, mais vous pouvez le remplacer par n'importe quel autre
algorithme activé dans votre noyau. Vous pouvez obtenir une liste de
tous les algorithmes gérés par votre noyau actuel en éditant le fichier
<filename>/proc/crypto</filename>. Le livre de Bruce Scheier,
<foreignphrase lang="en">Applied Cryptography and Practical
Cryptography</foreignphrase>, est un excellent ouvrage présentant les
différents algorithmes de chiffrement. Les algorithmes AES et Serpent
sont probablement le choix le plus raisonnable. AES a été beaucoup
utilisé pour le chiffrement et aucune vulnérabilité sérieuse n'a été
trouvée depuis longtemps. Serpent n'a pas encore été beaucoup analysé,
mais il est considéré être un peu plus sécurisé que AES. Cependant,
Serpent est par contre plus lent que AES. N'utilisez pas DES, il est le
plus lent et le moins sécurisé. Triple-Des peut aussi être une
possibilité, mais AES est probablement plus sécurisé et plus rapide,
donc il n'existe pas réellement de raison d'utiliser triple-DES.
</para>
<orderedlist>
<listitem><para>
Il est recommandé de formater la partition et de la remplir avec des
données aléatoires avant de créer le système de fichiers chiffré dessus.
Ce qui rendra plus difficile à un pirate la détection des signatures
dans votre partition chiffrée.
</para>
<warning>
<title>Attention !</title>
<para>
Faite très attention au nom de la partition que vous inscrivez. Si vous
faites une erreur, vous pouvez facilement écraser une autre partition
avec des données aléatoires.
</para></warning>
<para>
Une partition remplie avec des données aléatoires peut être obtenue
grâce à la commande suivante :
</para>
<screen>
dd if=/dev/urandom of=/dev/sda1 bs=1M
</screen>
<para>
Vous pouvez avoir un message d'erreur indiquant que le périphérique est
plein. Vous pouvez l'ignorer.
</para></listitem>
<listitem><para>
Sélectionnez un algorithme et une taille de clef. Une liste
d'algorithmes gérée par votre noyau peut être obtenu depuis le
fichier <filename>/proc/crypto</filename>. Je recommande l'utilisation
de AES avec une clef de 256 bits.
</para></listitem>
<listitem><para>
Configurez le périphérique de boucle. Vous pouvez utiliser la commande
<command>losetup</command> provenant du paquet util-linux. La commande
suivante crée un système de fichiers chiffré sur le périphérique de
boucle 0 en utilisant l'algorithme de chiffrage AES avec une clef
de 256 bits sur le périphérique <filename>/dev/sda1</filename> :
</para>
<screen>
losetup -e aes-256 /dev/loop0 /dev/sda1
</screen>
<para>
La commande vous demandera un mot de passe. Choisissez un mot de passe
robuste et essayez de vous en souvenir sans utiliser un post-it collé à
votre moniteur. C'est le mauvais côté de l'utilisation de cryptoloop.
Puisque le mot de passe est haché pour créer la clef de chiffrement, il
n'est pas facile après de changer de mot de passe. La meilleur manière
de changer un mot de passe est de créer une nouvelle partition ou un
nouveau fichier chiffré et de déplacer toute les données dessus. Pour
cette raison, soyez sûr de choisir un mot de passe robuste dès le début.
AES peut être un algorithme de chiffrement très robuste, mais si vous
choisissez un mauvais mot de passe, alors la sécurité ne sera pas bonne.
</para>
<para>
Si la commande <command>losetup</command> échoue avec le message
d'erreur <computeroutput>INVALID ARGUMENT</computeroutput>, le problème
vient du paquet util-linux. Assurez-vous d'avoir suivi les instructions
précédentes sur la façon d'installer le correctif pour util-linux. Les
anciennes versions ainsi que les versions non corrigés utilisent une
méthode différente pour passer la taille de la clef et ne fonctionnent
pas avec l'API Crypto 2.6.
</para></listitem>
<listitem><para>
Créez un système de fichier. Vous pouvez choisir le type de système de
fichier que vous souhaitez. L'exemple suivant crée un système de
fichiers ext3 sur le périphérique de boucle :
</para>
<screen>
mkfs.ext3 /dev/loop0
</screen></listitem>
<listitem><para>
Montez le système de fichiers chiffré. Premièrement vous devez créer un
point de montage, par exemple <filename>/mnt/crypto</filename> :
</para>
<screen>
mkdir /mnt/crypto
</screen>
<para>
Ensuite vous devez monter le système de fichiers. À ce niveau, vous
devez indiquer explicitement à la commande mount le périphérique de
boucle utilisé :
</para>
<screen>
mount -t ext3 /dev/loop0 /mnt/crypto
</screen></listitem>
<listitem><para>
Vous pouvez maintenant jouer avec votre fichier chiffré jusqu'à l'ennui.
</para></listitem>
<listitem><para>
Démontez le système de fichiers. Après avoir suffisamment joué avec,
démontez le système de fichiers :
</para>
<screen>
umount /mnt/crypto
</screen></listitem>
<listitem><para>
Détachez le périphérique de boucle. Le périphérique de boucle est encore
attaché à votre partition, détachez le avec la commande :
</para>
<screen>
losetup -d /dev/loop0
</screen></listitem>
</orderedlist>
</sect1>
<sect1 id="mounting-filesystem">
<title>
Monter le système de fichiers chiffré
</title>
<para>
Pour toutes les opérations sur le périphérique cryptoloop, il est
important que les modules nécessaires soient chargés. Vous avez besoin
de charger au moins le module cryptoloop et les modules pour chaque
algorithme de chiffrement avec la commande <command>modprobe</command>.
Si les options ont été compilées directement dans le noyau, alors ce
n'est pas nécessaire.
</para>
<para>
Afin de monter le système de fichiers chiffré créé ci-dessus, vous
pouvez employer la commande <command>mount</command> du paquet
util-linux.
</para>
<screen>
mount -t ext3 /dev/sda1 /mnt/crypto/ -o encryption=aes-256
</screen>
<para>
Le mot de passe vous sera demandé et ensuite le système de fichiers sera
monté comme n'importe quel autre. L'option <quote>encryption</quote>
indique que le périphérique contient un système de fichiers chiffré, la
sélection du périphérique de boucle se fera automatiquement parmi les
périphériques disponibles.
</para>
<para>
Quand vous aurez fini de travailler, vous pouvez le démonter avec la
commande :
</para>
<screen>
umount /mnt/crypto
</screen>
<para>
Vous pouvez ajouter la ligne suivante dans le fichier
<filename>/etc/fstab</filename> :
</para>
<screen>
/dev/sda1 /mnt/crypto ext3 noauto,encryption=aes-256 0 0
</screen>
<para>
Maintenant vous pouvez simplement monter le périphérique avec :
</para>
<screen>
mount /mnt/crypto
</screen>
<para>
C'est tout. Amusez-vous.
</para>
</sect1>
<sect1 id="filebased">
<title>
Utiliser un fichier au lieu d'une partition
</title>
<para>
Il est très facile de créer un système de fichiers chiffré directement à
l'intérieur d'un fichier. Ceci est particulièrement intéressant, si vous
souhaitez sauvegarder ce fichier sur un DVD, ou sur tout autre média. Il
vous sera aussi très facile de déplacer ce fichier sur d'autres
machines.
</para>
<para>
Pour commencer, créez un fichier de 100 Mo contenant des données
aléatoires en utilisant la commande suivante :
</para>
<screen>
dd if=/dev/urandom of=/mestrucs.aes bs=1k count=100000
</screen>
<para>
Si vous souhaitez changer la taille du fichier, changez la valeur de
<varname>count</varname>. La commande précédente crée
100 000 blocs d'une taille de 1 ko, mais vous pouvez
mettre la valeur que vous désirez. Assurez-vous juste qu'elle ne soit
pas trop petite et qu'il pourra contenir le système de fichiers que vous
avez choisi. Vous pouvez remplacer <filename>/mestrucs.aes</filename>
par n'importe quel nom de fichier du moment que vous avez suffisamment
de place libre sur la partition.
</para>
<para>
Vous pouvez créer le système de fichiers chiffré dans ce fichier, de la
même façon que nous l'avons fait précédemment :
</para>
<screen>
losetup -e aes-256 /dev/loop0 /mestrucs.aes
</screen>
<para>
Maintenant créez le système de fichiers :
</para>
<screen>
mkfs.ext3 /dev/loop0
</screen>
<para>
et montez le :
</para>
<screen>
mount -t ext3 /dev/loop0 /mnt/crypto
</screen>
<para>
Pour finir, démontez et détachez le périphérique de boucle
</para>
<screen>
umount /mnt/crypto
losetup -d /dev/loop0
</screen>
<para>
Vous pourrez alors monter le système de fichiers plus tard avec la
commande :
</para>
<screen>
mount /mestrucs.aes /mnt/crypto -oencryption=aes-256
</screen>
<para>
Si vous souhaitez déplacer le fichier ou le graver sur un CD-ROM ou un
DVD, assurez-vous qu'il ait bien été <emphasis>démonté</emphasis> avant.
</para>
</sect1>
</article>
