web-dev-qa-db-fra.com

Spécifiez le chiffrement de chiffrement à utiliser lors de l'installation?

Je viens de suivre le processus d'installation en spécifiant "faire autre chose", puis de choisir ma partition à utiliser en tant que conteneur chiffré, puis d'utiliser ce conteneur pour être formaté avec un système de fichiers. Je n'ai pas vu une option pour utiliser le chiffrement de mon choix et j'ai remarqué que la valeur par défaut semble être sha256.

Y a-t-il un moyen de dire ce que je veux utiliser?

Edit: cela utilisait l'iso 16.10 du bureau.


Edit2: Étant donné l'exemple de la table d'AlexP ci-dessous, je pensais que je listerais les valeurs par défaut après avoir parcouru le programme d'installation Ubuntu comme décrit ci-dessus.

Edit3: compléter par ce que je pense montre que recommandations d'Arch et les valeurs par défaut d'Ubuntu ne diffèrent peut-être pas du tout.

La seule chose qui se démarque est le décalage de la charge utile et, de façon anecdotique, je perçois que le lecteur Ubuntu s'ouvre plus rapidement. Je pense cela peut être dû à son option pour --iter-time. La valeur par défaut est 2000 (millisecondes) et j'aurais spécifié 5000 manuellement. C’est combien de temps il faut pour arriver au résultat final si j’ai bien compris. Chaque fois que vous déverrouillez, vous devez le refaire pour obtenir le hachage de mot de passe correct (correct si faux). Autre que cela, les choses sont identiques.

### ubuntu default
$ Sudo cryptsetup luksDump

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        512

### Arch recommendation
$ Sudo cryptsetup luksDump

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 65535
MK bits:        512


### ubuntu default
$ Sudo cryptsetup status /dev/mapper/ubuntu

  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sdb2
  offset:  4096 sectors
  size:    487393280 sectors
  mode:    read/write

### Arch recommendation
$ Sudo cryptsetup status /dev/mapper/Arch

  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sda2
  offset:  65535 sectors
  size:    233262018 sectors
1
Hendy

Le chiffre par défaut est aes-xts-plain64 avec clé de 256 bits et sommes de contrôle SHA-1. C'est un bon défaut. Un très bon défaut. Sauf si vous êtes un cryptographe qualifié, vous devriez le laisser tel quel. Les personnes compétentes ont choisi ce paramètre par défaut après avoir consacré beaucoup de temps et d'efforts.

Pour savoir quel chiffrement est utilisé pour votre conteneur chiffré, vous pouvez utiliser la commande Sudo cryptsetup status et Sudo cryptsetup luksDump. Par exemple:

$ Sudo lsblk
NAME                  MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda                     8:0    0   40G  0 disk  
├─sda1                  8:1    0  284M  0 part  /boot
└─sda2                  8:2    0 39.7G  0 part  
  └─Machinia          252:0    0 39.7G  0 crypt 
    ├─Machinia-Swap   252:1    0  1.2G  0 lvm   [SWAP]
    ├─Machinia-Home   252:2    0  9.5G  0 lvm   /home
    ├─Machinia-System 252:3    0   20G  0 lvm   /
    └─Machinia-Srv    252:4    0    6G  0 lvm   /srv
sr0                    11:0    1 1024M  0 rom   

$ Sudo cryptsetup status Machinia
/dev/mapper/Machinia is active and is in use.
  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 256 bits
  device:  /dev/sda2
  offset:  4096 sectors
  size:    83298304 sectors
  mode:    read/write
  flags:   discards

$ Sudo cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
...

Ceux-ci étant dit, si vous voulez absolument spécifier un autre chiffre, vous pouvez. Le processus de base est bien décrit par les gens de ArchLinux dans Cryptage d’un système entier . Faites-le comme suit:

  1. Démarrez à partir du support d'installation.

  2. Choisissez "Essayez Ubuntu".

  3. Ouvrez un terminal.

  4. En utilisant fdisk, parted ou le graphique Gparted, créez votre partition /boot manuellement. (Cela suppose que vous utilisez un disque partitionné MBR. Si vous utilisez un disque au format GPT, vous devez créer également une partition système EFI.)

  5. Créez votre partition à chiffrer manuellement. Disons que c'est /dev/sda2.

  6. Formatez-le en tant que conteneur LUKS. C'est ici que vous spécifiez le chiffre:

    Sudo cryptsetup luksFormat /dev/sda2 --cipher=<cipherspec> --keysize=<size>
    

    Par exemple,

    Sudo crypsetup luksFormat /dev/sda2 --cipher=aes-cbc-essiv:sha256 --keysize=512
    

    Permettez-moi de répéter que, sauf si vous avez des connaissances cryptographiques professionnelles, vous ne devriez pas le faire. Mais continuons.

  7. Ouvrez votre partition chiffrée et donnez-lui un nom de conteneur:

    Sudo cryptsetup luksOpen /dev/sda2 <name>
    

    Pour un système informatique "animal", un bon choix consiste à utiliser le nom d'hôte avec une capitale initiale. Par exemple, si vous envisagez d’utiliser le nom d’hôte machinia,

    Sudo cryptsetup luksOpen /dev/sda2 Machinia
    
  8. Formatez /dev/mapper/Machinia (ou le nom que vous avez choisi à l'étape 7) en tant que volume physique LVM:

    Sudo pvcreate /dev/mapper/Machinia # Use the name chosen in step 7
    
  9. Créez un groupe de volumes LVM sur le volume physique:

    Sudo vgcreate Machinia /dev/mapper/Machinia # Use the name chosen in step 7
    
  10. Créez des volumes logiques pour /, /home, /srv, /var, échangez etc. dans le groupe de volumes LVM. Vous devez créer au moins un volume logique pour /. Un volume séparé pour /home est facultatif mais recommandé. La création de volumes distincts pour /var, l’échange, etc. est facultative et dépend de vos projets.

    Sudo lvcreate -L 20g -n System Machinia # /
    Sudo lvcreate -L 3g  -n Swap   Machinia # swap
    Sudo lvcreate -L 10g -n Home   Machinia # /home
    

    Vous souhaiterez peut-être laisser de l'espace non alloué afin de pouvoir utiliser les instantanés LVM. Votre choix.

  11. Maintenant, lancez le programme d'installation et installez Ubuntu en choisissant "Quelque chose d'autre" et en sélectionnant /dev/sda1 (ou autre chose) pour /boot, /dev/mapper/Machinia-System (avec les noms que vous avez choisis, bien sûr) pour /, /dev/mapper/Machinia-Swap pour l’espace de permutation, /dev/mapper/Machinia-Home pour /home.

    Utilisez la partition créée à l'étape 4 pour /boot et les volumes logiques créés à l'étape 10 pour /, permutez, /home etc.

    Si vous utilisez un disque partitionné MBR, vérifiez à nouveau et assurez-vous que GRUB doit être installé sur le disque physique, /dev/sda (ou tout ce qui convient à votre système.)

  12. Laissez l'installateur continuer jusqu'à la fin. Quand il a fini, choisissez "Continuer les tests" et retournez à votre terminal.

  13. Montez votre futur volume racine sur /target, montez des répertoires spéciaux, puis chroot dans /target:

    Sudo mount /dev/mapper/Machinia-System /target
    for d in dev proc run sys; do Sudo mount --bind /$d /target/$d; done
    chroot /target
    
  14. Vous êtes maintenant root dans votre futur volume racine. Allez à /etc et éditez /etc/crypttab:

    cd /etc
    echo Machinia UUID=$(cryptsetup luksUUID /dev/sda2) none luks,discard >crypttab
    

    /etc/crypttab devrait ressembler à ceci:

    # cat /etc/crypttab
    Machinia UUID=016193a0-8a79-416c-95f3-c94bd3745c5c none luks,discard
    

    (Avec votre nom choisi à la place de Machinia et l'UUID renvoyé par cryptsetup luksUUID.)

  15. Mettez à jour le système de fichiers racine initial et GRUB:

    update-initramfs
    update-grub
    
  16. Sortez de la chroot:

    exit
    
  17. Démontez ce que vous avez monté à l'étape 13:

    for d in dev proc run sys; do Sudo umount /target/$d; done
    umount /target
    
  18. Redémarrez et espérez le meilleur.

3
AlexP