dm-crypt (Français)

From ArchWiki
Jump to navigation Jump to search

LUKS pour Linux Unified Key Setup est une norme de chiffrement de disque. On peut l'utiliser pour chiffrer une ou plusieurs partition et ainsi améliorer la sécurité de son système.

dm-crypt est le système utilisé par le noyau Linux pour la gestion des clefs et des disques. Son utilitaire cryptsetup permet de gérer les disques au format LUKS. L'on parle donc de dm-crypt avec LUKS, habituellement simplifié à juste "LUKS".

Dm-crypt est très souple et permet de nombreux modes de chiffrement. Les clefs peuvent être stockées de plusieurs façon différentes (mot de passe, fichier binaire, clef USB...) permettant des variations du niveau de sécurité avec plus ou moins de contraintes. Quelle partie du système chiffré est également à prendre en considération.

Si le but est de protéger ses fichiers personnels sur une machine partagée, un chiffrement du dossier home de l'utilisateur via un outil comme eCryptfs est sans doute plus adapté.

Le chiffrement du disque n'apporte aucune protection supplémentaire une fois la machine déchiffrée. Les potentielles failles de vulnérabilité dans les logiciels utilisés seront tout aussi efficace.

En fonction du mode de stockage des clefs et par du fait que le contenu du dossier /boot ne peut être chiffré, il faut envisager la possibilité d'un attaquant de modifier ceux ci pour y installer un keylogger ou logiciel de capture. Une méthode pour diminuer ce risque est expliquée à Vérification des modifications dans /boot[broken link: invalid section].