Chiffrement de fichiers et de dossiers avec encfs et Cryptkeeper
Par Alex le mercredi 14 décembre 2011, 15:39 - Linux - Lien permanent
encfs permet de chiffrer les fichiers et les dossiers d'une
arborescence sans installer de module supplémentaire dans le noyau du système.
CryptKeeper est une interface Gnome qui simplifie la manipulation des dossiers
chiffrés.
Avec encfs, les données sont chiffrées fichier par fichier. Il
ne s'agit pas d'un système de chiffrement par bloc, qui crée une partition
virtuelle chiffrée dans laquelle on peut stocker des documents.
Dans le système de fichiers courant, encfs crée un dossier
caché qui contient les données chiffrées, et le monte au point indiqué de
l'arborescence. Quand on place des fichiers et des dossiers dans ce dernier,
ils sont chiffrés à la volée. Quand on démonte le dossier caché, les données ne
sont plus accessibles en clair.
Les dossiers chiffrés peuvent être montés et démontés par l'utilisateur
standard, sans privilèges root.
Installation
encfs utilise la bibliothèque FUSE (Filesystem in Userspace),
qui doit être présente dans le noyau du système. Le module correspondant doit
donc être chargé.
$ lsmod | grep fuse fuse 42395 3
1. Installer les paquets :
# aptitude install encfs cryptkeeper
2. Vérifier que le groupe fuse existe et que votre nom
d'utilisateur y figure. L'ajouter si nécessaire.
$ cat /etc/group | grep fuse fuse:x:117: # adduser alex fuse
Pour que l'ajout de l'utilisateur au groupe fuse soit pris en
compte, il est nécessaire de rouvrir une session dans Gnome.
Chiffrement en ligne de commande
Pour créer un dossier chiffré, ou monter un dossier préexistant :
(version utilisée : 1.7.2)
$ encfs ~/trv/.test/ ~/trv/test
Le premier argument est le nom du dossier chiffré, et le deuxième le point de montage.
Lors de la création d'un dossier chiffré, les messages suivants apparaissent :
Création d'un nouveau volume chiffré. Veuillez choisir au moins une des options suivantes : entrez "x" pour le mode de configuration expert, entrez "p" pour un mode pré-configuré paranoïaque, n'importe quoi d'autre ou une ligne vide sélectionnera le mode standard. ?> Configuration standard sélectionnée. Configuration terminée. Le système de fichiers sur le point d'être créé a les caractéristiques suivantes : Chiffrement de système de fichiers "ssl/aes", version 3:0:2 Encodage du nom de fichier : "nameio/block", version 3:0:1 Taille de clé : 192 bits Taille de bloc : 1024 octets Chaque fichier comprend un en-tête de 8 octets avec des données IV uniques. Nom de fichiers chiffrés en utilisant le mode de chaînage IV. File holes passed through to ciphertext. Vous allez maintenant devoir entrer un mot de passe pour votre système de fichiers. Vous allez devoir absolument vous souvenir de ce mot de passe, car il n'y a aucun mécanisme de secours. Cependant, le mot de passe pourra être changé plus tard en utilisant encfsctl. Nouveau mot de passe EncFS : Vérifiez le mot de passe EncFS :
Le dossier chiffré créé est monté à l'adresse indiquée, en l'occurrence
~/trv/test.
Les fichiers et dossiers qui y sont placés sont chiffrés de manière transparente.
Pour en savoir plus sur les autres options de encfs :
$ encfs --help $ man encfs
Tant que les dossiers chiffrés ne sont pas tous démontés, encfs
reste chargé sous forme de démon :
$ ps aux | grep encfs alex 4083 0.0 0.3 8008 1968 ? Ss 14:58 0:00 encfs /home/alex/trv/.test/ /home/alex/trv/test
Pour démonter un dossier :
$ fusermount -u ~/trv/test/
Pour afficher des informations sur un dossier :
$ encfsctl ~/trv/.test/ Configuration de la version 6; créée par EncFS 1.7.2 (révision 20100713) Chiffrement de système de fichiers "ssl/aes", version 3:0:0 (utilisation de 3:0:2) Encodage du nom de fichier : "nameio/block", version 3:0:0 (utilisation de 3:0:1) Taille de clé : 192 bits Using PBKDF2, with 73944 iterations Salt Size: 160 bits Taille de bloc : 1024 octets Chaque fichier comprend un en-tête de 8 octets avec des données IV uniques. Nom de fichiers chiffrés en utilisant le mode de chaînage IV. File holes passed through to ciphertext.
Pour modifier le mot de passe d'un dossier :
$ encfsctl passwd ~/trv/.test/ Entrez le mot de passe actuel d'Encfs Mot de passe EncFS : Entrez le nouveau mot de passe d'Encfs Nouveau mot de passe EncFS : Vérifiez le mot de passe EncFS : La clé de volume a bien été mise à jour.
Cette commande permet également de déchiffrer et d'afficher des fichiers, voir :
$ encfsctl
Utilisation de CryptKeeper
Lancer CryptKeeper en choisissant Application > Outils système > CryptKeeper.
Une icône de trousseau de clefs apparaît en haut à droite du bureau Gnome.
Pour créer un dossier chiffré, choisir Nouveau dossier chiffré. Indiquer le nom du dossier chiffré (qui sera un dossier caché), puis son point de montage.
Voir aussi les préférences (menu contextuel > Préférences) :
- Démontage automatique en cas d'inactivité.
- Suppression automatique du point de montage quand le dossier chiffré est démonté (activé par défaut).
Par défaut dans CryptKeeper (version testée : 0.9.4), les données sont chiffrées avec AES 256.
Pour gérer avec CryptKeeper un dossier chiffré préexistant (créé en ligne de commande, par exemple), choisir Importer un dossier EncFS). Pour déplacer un dossier chiffré, on peut utiliser la même méthode.
Pour démonter un dossier, désélectionner la case à cocher dans la liste des dossiers.
Pour afficher des informations sur un dossier, modifier son mot de passe ou le supprimer, le sélectionner dans la liste des dossiers, puis choisir une option dans le menu contextuel.