Au-delà de Linux® From Scratch (édition systemd) - Version 10.1

Chapitre 4. Sécurité

cryptsetup-2.3.4

Introduction à cryptsetup

cryptsetup est utilisé pour mettre en place le chiffrement transparent de périphériques blocs avec l'API cryptographique du noyau.

This package is known to build and work properly using an LFS-10.1 platform.

Informations sur le paquet

  • Téléchargement (HTTP) : https://www.kernel.org/pub/linux/utils/cryptsetup/v2.3/cryptsetup-2.3.4.tar.xz

  • Téléchargement (FTP) :

  • Somme de contrôle MD5 du téléchargement : 911272e73181fdc850bb4d25103a9f83

  • Taille du téléchargement : 11 Mo

  • Estimation de l'espace disque requis : 29 Mo (plus 115 Mo pour les tests)

  • Estimation du temps de construction : 0.2 SBU (plus 9 SBU pour les tests)

Dépendances de cryptsetup

Requises

JSON-C-0.15, LVM2-2.03.11 et popt-1.18

Facultatives

libpwquality-1.4.4, Python-2.7.18, argon2 et passwdqc

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/cryptsetup

Configuration du noyau

Les périphériques blocs chiffrés requièrent le support du noyau. Pour les utiliser, les paramètres appropriés doivent être utilisés : 

Device Drivers  --->          
  [*] Multiple devices driver support (RAID and LVM) ---> [CONFIG_MD]
       <*/M> Device mapper support                        [CONFIG_BLK_DEV_DM]
       <*/M> Crypt target support                         [CONFIG_DM_CRYPT]

Cryptographic API  --->                                    
  <*/M> XTS support                                       [CONFIG_CRYPTO_XTS]
  <*/M> SHA224 and SHA256 digest algorithm                [CONFIG_CRYPTO_SHA256]
  <*/M> AES cipher algorithms                             [CONFIG_CRYPTO_AES]
  <*/M> User-space interface for symmetric key cipher algorithms
                                                          [CONFIG_CRYPTO_USER_API_SKCIPHER]
  For tests:
  <*/M> Twofish cipher algorithm                          [CONFIG_CRYPTO_TWOFISH]

Installation de cryptsetup

Installez cryptsetup en lançant les commandes suivantes : 

./configure --prefix=/usr &&
make

Pour tester les résultats, lancez en tant qu'utilisateur root : make check. Certains tests échoueront si les options du noyau appropriées ne sont pas activées. Certaines des options supplémentaires requises pour les tests sont : CONFIG_SCSI_LOWLEVEL, CONFIG_SCSI_DEBUG, CONFIG_BLK_DEV_DM_BUILTIN, CONFIG_CRYPTO_USER, CONFIG_CRYPTO_CRYPTD, CONFIG_CRYPTO_LRW, CONFIG_CRYPTO_XTS, CONFIG_CRYPTO_ESSIV, CONFIG_CRYPTO_CRCT10DIF, CONFIG_CRYPTO_AES_TI, CONFIG_CRYPTO_AES_NI_INTEL, CONFIG_CRYPTO_BLOWFISH, CONFIG_CRYPTO_CAST5, CONFIG_CRYPTO_SERPENT, CONFIG_CRYPTO_SERPENT_SSE2_X86_64, CONFIG_CRYPTO_SERPENT_AVX_X86_64, CONFIG_CRYPTO_SERPENT_AVX2_X86_64 et CONFIG_CRYPTO_TWOFISH_X86_64.

Maintenant, en tant qu'utilisateur root : 

make install

Configuration de cryptsetup

À cause du nombre de configurations possibles, la mise en place de volumes chiffrés va au delà de la portée du livre BLFS. Merci de regarder le guide de configuration dans la FAQ de cryptsetup.

Contents

Programmes installés: cryptsetup, cryptsetup-reencrypt, integritysetup et veritysetup
Bibliothèques installées: libcryptsetup.so
Répertoires installés: None

Descriptions courtes

cryptsetup

est utilisé pour mettre en place des liaisons device-mapper gérées par dm-crypt

cryptsetup-reencrypt

est un outil pour le re-chiffrement de périphériques LUKS

integritysetup

est un outil pour gérer les volumes dm-integrity (intégrité au niveau du bloc)

veritysetup

est utilisé pour configurer les liaisons device-mapper gérées par dm-verity. Les cibles device-mapper verity fournissent une vérification d’intégrité transparente en lecture-seule des périphériques blocs avec l'API cryptographique du noyau

Last updated on 2021-02-20 06:13:48 +0000