Chapitre 22. Verrouillage des données avec le mot de passe LUKS dans la console web RHEL

Dans l'onglet Storage de la console web, vous pouvez maintenant créer, verrouiller, déverrouiller, redimensionner et configurer d'une autre manière les appareils cryptés en utilisant le format LUKS (Linux Unified Key Setup) version 2.

Cette nouvelle version des offres LUKS :

  • Des politiques de déblocage plus souples
  • Une cryptographie plus forte
  • Meilleure compatibilité avec les changements futurs

Conditions préalables

  • La console web RHEL 8 a été installée.

    Pour plus de détails, voir Installation de la console web.

  • Le package cockpit-storaged est installé sur votre système.

22.1. Cryptage du disque LUKS

Le Linux Unified Key Setup-on-disk-format (LUKS) vous permet de crypter les périphériques de blocage et il fournit un ensemble d'outils qui simplifie la gestion des périphériques cryptés. LUKS permet à plusieurs clés utilisateur de décrypter une clé principale, qui est utilisée pour le cryptage en masse de la partition.

RHEL utilise LUKS pour effectuer le cryptage des dispositifs de blocage. Par défaut, l'option de cryptage du périphérique de blocage est décochée lors de l'installation. Si vous sélectionnez l'option de cryptage de votre disque, le système vous demande une phrase de passe chaque fois que vous démarrez l'ordinateur. Cette phrase de passe « déverrouille » la clé de chiffrement en bloc qui décrypte votre partition. Si vous choisissez de modifier la table des partitions par défaut, vous pouvez choisir les partitions que vous souhaitez chiffrer. Cela est défini dans les paramètres de la table des partitions.

Ce que fait LUKS

  • LUKS crypte des blocs entiers d'appareils et convient donc parfaitement à la protection des contenus des appareils mobiles tels que les supports de stockage amovibles ou les lecteurs de disques d'ordinateurs portables.
  • Le contenu sous-jacent du dispositif de bloc crypté est arbitraire, ce qui le rend utile pour le cryptage des dispositifs d'échange. Cela peut également être utile avec certaines bases de données qui utilisent des périphériques de bloc spécialement formatés pour le stockage des données.
  • LUKS utilise le sous-système du noyau du device mapper existant.
  • LUKS permet de renforcer les mots de passe, ce qui protège contre les attaques des dictionnaires.
  • Les appareils LUKS contiennent plusieurs emplacements pour les clés, ce qui permet aux utilisateurs d'ajouter des clés de sauvegarde ou des phrases de passe.

Ce que fait LUKS not

  • Les solutions de cryptage de disque comme LUKS protègent les données uniquement lorsque votre système est éteint. Une fois que le système est allumé et que LUKS a décrypté le disque, les fichiers de ce disque sont accessibles à toute personne qui y aurait normalement accès.
  • LUKS n'est pas adapté aux scénarios qui exigent que de nombreux utilisateurs aient des clés d'accès distinctes au même appareil. Le format LUKS1 offre huit emplacements pour clés, LUKS2 jusqu'à 32 emplacements pour clés.
  • LUKS n'est pas adapté aux applications nécessitant un cryptage au niveau du fichier.

Chiffres

Le chiffre par défaut utilisé pour LUKS est aes-xts-plain64. La taille de la clé par défaut pour LUKS est de 512 bits. La taille de clé par défaut pour LUKS avec Anaconda (mode XTS) est de 512 bits. Les chiffres disponibles le sont :

  • AES - Norme de cryptage avancée - FIPS PUB 197
  • Twofish (un bloc de 128 bits)
  • Serpent

Ressources complémentaires