C.2. Périphériques bloc à chiffrement utilisant dm-crypt/LUKS
LUKS (Linux Unified Key Setup) est une spécification pour le chiffrement de périphérique bloc. LUKS établit un format sur disque pour les données, ainsi qu'une politique de gestion de phrase de passe et/ou de clé.
LUKS utilise le sous-système de mappage de périphérique du noyau via le module
dm-crypt
. Cet arrangement offre un mappage de bas niveau qui gère le cryptage et le décryptage des données du périphérique. Les opérations au niveau de l'utilisateur, telles que la création et l'accès aux périphériques chiffrés, sont réalisées à l'aide de l'utilitaire cryptsetup
.
C.2.1. Aperçu de LUKS
- Ce que LUKS fait :
- LUKS chiffre des périphériques blocs entiers
- LUKS est ainsi bien conçu pour la protection du contenu de périphériques mobiles tels que :
- Médias de stockage amovibles
- Disques durs d'ordinateurs portables
- Le contenu sous-jacent du périphérique bloc est arbitraire.
- Ceci rend le chiffrement des périphériques
swap
utile. - Ceci peut aussi être utile avec certaines bases de données qui utilisent des périphériques blocs spécialement formattés pour le stockage de données.
- LUKS utilise le sous-système de mappage de périphérique du noyau existant.
- Il s'agit du même sous-système que celui utilisé par LVM, il a donc été bien testé.
- LUKS permet le renforcement de la phrase de passe.
- Ceci protège des attaques par dictionnaire.
- Les périphériques LUKS contiennent de multiples emplacements de clés.
- Ceci permet aux utilisateurs d'ajouter des sauvegardes de clés/mots de passe.
- Ce que LUKS ne fait pas :
- LUKS n'est pas adapté pour les applications ayant besoin de plusieurs utilisateurs (plus de huit) avec différentes clés d'accès pour le même périphérique.
- LUKS n'est pas adapté pour les applications nécessitant un chiffrement au niveau du fichier.
De plus amples informations sur LUKS sont disponibles sur le site web du projet, http://code.google.com/p/cryptsetup/.