Chapitre 19. Fonction volume_key
La fonction volume_key fournit deux outils, libvolume_key et
volume_key
. libvolume_key est une bibliothèque pour manipuler des clés de chiffrment du volume de stockage et pour les stocker hors des volumes. volume_key
est un outil de ligne de commande associé utilisé pour extraire les clés et phrases de passe afin de restaurer l'accès à un disque dur chiffré.
Ceci est utile lorsque l'utilisateur principal oublie ses clés et mots de passe, après qu'un employé soit parti soudainement, ou afin d'extraire des données lorsqu'un échec du logiciel ou du matériel corrompt l'en-tête du volume chiffré. Dans un environnement d'entreprise, le service d'assistance informatique peut utiliser
volume_key
pour effectuer des copies de sauvegarde des clés de chiffrement avant de rendre l'ordinateur à l'utilisateur final.
Actuellement,
volume_key
prend uniquement en charge le format de chiffrement de volumes LUKS.
Note
volume_key
n'est pas inclus dans une installation standard du serveur Red Hat Enterprise Linux 6. Pour obtenir des informations sur son installation, veuillez consulter http://fedoraproject.org/wiki/Disk_encryption_key_escrow_use_cases.
19.1. Commandes
Le format de
volume_key
est :
volume_key [OPTION]... OPERAND
Les opérandes et le mode d'opération de
volume_key
sont déterminés par une des options suivantes :
--save
- Cette commande attend l’opérande volume [paquet]. Si un paquet est fourni, alors
volume_key
en extraira les clés et les phrases secrètes. Si le paquet n’est pas fourni, alorsvolume_key
va extraire les clés et phrases secrètes du volume, en invitant l’utilisateur si nécessaire. Ces clés et les phrases secrètes seront alors stockées dans un ou plusieurs paquets de sortie. --restore
- Cette commande attend les opérandes de paquets de volume. Puis, il ouvre le volume et utilise les clés et phrases secrètes du paquet pour rendre le volume accessible à nouveau, invitant l’utilisateur à saisir un nouveau mot de passe, par exemple.
--setup-volume
- Cette commande s'attend aux opérandes nom de paquet de volume, puis, ouvre le volume et utilise les clés et phrases secrètes du paquet pour configurer le volume à utiliser des données déchiffrées comme un nom.Nom est le nom d’un volume de dm-crypt. Cette opération rend le volume décrypté disponible comme
/dev/mapper/nom
.Cette opération ne modifie pas en permanence le volume en ajoutant une nouvelle phrase secrète, par exemple. L’utilisateur peut accéder et modifier le volume décrypté, en modifiant le volume dans le processus. --reencrypt
,--secrets
, et--dump
- Ces trois commandes exécutent des fonctions semblables avec diverses méthodes de sortie. Chacune d’entre elle requiert l'opérande paquet et ouvre le paquet, décryptant si nécessaire.
--reencrypt
stocke ensuite les informations dans un ou plusieurs nouveaux paquets de sortie. Les sorties de--secrets
sont des clés et des phrases secrètes contenues dans le paquet.--dump
affiche le contenu du paquet, bien que les clés et les phrases secrètes ne soient pas des sorties par défaut. Ceci peut être changé en ajoutant--with-secrets
à la commande. Il est également possible de vider uniquement les pièces non cryptées du paquet, le cas échéant, à l’aide de la commande--unencrypted
. Cela ne nécessite pas de phrase secrète ou d'accès de clé privée.
On peut ajouter à chacune d'entre elle les options suivantes :
-o
,--output packet
- Cette commande écrit la phrase secrète ou le mot de passe par défaut dans le paquet. La phrase secrète ou le mot de passe par défaut dépendent du format de volume. S’assurer qu'ils ne risquent pas d’expirer, et qu'ils permettront à
--restore
de restaurer l’accès au volume. --output-format format
- Cette commande utilise le format spécifié pour tous les paquets de sortie. Actuellement, le format peut correspondre à l'une des conditions suivantes :
asymmetric
: utilise CMS pour encrypter le paquet, et exige un certificatasymmetric_wrap_secret_only
: englobe seulement le secret, ou les clés et les phrases secrètes et exige un certificatpassphrase
: utilise GPG pour déchiffrer tout le paquet, et exige une phrase secrète
--create-random-passphrase packet
- Cette commande génère une phrase secrète alphanumérique au hasard, l'ajoute au volume (sans affecter les autres phrases secrètes) et stocke ensuite ce mot de passe aléatoire dans le paquet.