Au-delà de Linux® From Scratch (édition systemd) - Version 9.1

Chapitre 4. Sécurité

cryptsetup-2.0.6

Introduction à cryptsetup

cryptsetup est utilisé pour mettre en place le chiffrement transparent de périphériques blocs avec l'API cryptographique du noyau.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-9.1.

Informations sur le paquet

  • Téléchargement (HTTP) : https://www.kernel.org/pub/linux/utils/cryptsetup/v2.0/cryptsetup-2.0.6.tar.xz

  • Téléchargement (FTP) :

  • Somme de contrôle MD5 du téléchargement : ec03e09cbe978a19fa6d6194ac642bae

  • Taille du téléchargement : 10 Mo

  • Estimation de l'espace disque requis : 25 Mo (plus 9 Mo pour les tests)

  • Estimation du temps de construction : 0.2 SBU (plus 12 SBU pour les tests)

Dépendances de cryptsetup

Requises

JSON-C-0.13.1, libgcrypt-1.8.5, LVM2-2.03.08 et popt-1.16

Facultatives

libpwquality-1.4.2, Python-2.7.17 et passwdqc

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/cryptsetup

Configuration du noyau

Les périphériques blocs chiffrés requièrent le support du noyau. Pour les utiliser, les paramètres appropriés doivent être utilisés : 

Device Drivers  --->          
  [*] Multiple devices driver support (RAID and LVM) ---> [CONFIG_MD]
       <*/M> Device mapper support                        [CONFIG_BLK_DEV_DM]
       <*/M> Crypt target support                         [CONFIG_DM_CRYPT]

Cryptographic API  --->                                    
  <*/M> XTS support                                       [CONFIG_CRYPTO_XTS]
  <*/M> SHA224 and SHA256 digest algorithm                [CONFIG_CRYPTO_SHA256]
  <*/M> AES cipher algorithms                             [CONFIG_CRYPTO_AES]
  <*/M> AES cipher algorithms (x86_64)                    [CONFIG_CRYPTO_AES_X86_64] 
  <*/M> User-space interface for symmetric key cipher algorithms
                                                          [CONFIG_CRYPTO_USER_API_SKCIPHER]
  For tests:
  <*/M> Twofish cipher algorithm                          [CONFIG_CRYPTO_TWOFISH]

Installation de cryptsetup

Installez cryptsetup en lançant les commandes suivantes : 

./configure --prefix=/usr \
            --with-crypto_backend=openssl &&
make

Pour tester les résultat, lancez en tant qu'utilisateur root : make check. Certains tests peuvent échouer si les paramètres de la configuration du noyau présentés avant ne sont pas appliqués. Un test (sur 12) est connu pour échouer.

Maintenant, en tant qu'utilisateur root : 

make install

Explication des commandes

--with-crypto_backend=openssl : Ce paramètre définie les bibliothèques cryptographiques à utiliser avec l'application. gcrypt par défaut.

Configuration de cryptsetup

À cause du nombre de configurations possibles, la mise en place de volumes chiffrés va au delà de la portée du livre BLFS. Merci de regarder le guide de configuration dans la FAQ de cryptsetup.

Contents

Programmes installés: cryptsetup, cryptsetup-reencrypt, integritysetup et veritysetup
Bibliothèques installées: libcryptsetup.so
Répertoires installés: None

Descriptions courtes

cryptsetup

est utilisé pour mettre en place des liaisons device-mapper gérées par dm-crypt.

cryptsetup-reencrypt

est un outil pour le re-chiffrement de périphériques LUKS.

integritysetup

est un outil pour gérer les volumes dm-integrity (intégrité au niveau du bloc).

veritysetup

est utilisé pour configurer les liaisons device-mapper gérées par dm-verity. Les cibles device-mapper verity fournissent une vérification d’intégrité transparente en lecture-seule des périphériques blocs avec l'API cryptographique du noyau.

Last updated on 2020-02-19 17:47:37 +0100