Mise à jour
Mise à jour de la base de données, veuillez patienter...
Aujourd’hui, j’ai chiffré mon disque dur 
Contexte: j’utilise 2 volumes de stockage internes, à savoir un SSD (pour le système, le /home etc) et un disque dur bien gros (pour l’archive du Mitsu’Media, les fichiers de jeux Steam, …). Le SSD se compose ainsi:
- partitionnement MBR
- une partition de 255 Mo en ext2 pour le /boot
- une partition LUKS
- → un groupe de volumes LVM
Ça, c’est une combinaison de flemmardise et de bidouilles: l’assistant installation d’Antergos permet de chiffrer le périphérique avec LUKS-dmcrypt, mais pour cette opération il crée un « plan standard » de partitionnement: un /home, un /, et un espace swap. C’est pourquoi j’ai choisi LVM, car alors avec un peu de bidouille on peut supprimer le swap et fusionner le /home au sein du /. Pratique, car GParted n’est d’aucune aide, car ne traitant pas les conteneurs LUKS-dmcrypt.
Bref ! Le disque dur de stockage était bêtement sous partitionnement MBR et type ext4 avec montage automatique défini dans /etc/fstab.
Dans un premier temps, j’ai transféré toutes les données de ce disque dur interne vers des disques durs externes. Puis une fois le disque dur vidé, je l’ai formaté ainsi:
- partitionnement GPT
- chiffrement LUKS-dmcrypt avec mot de passe
- type de partition ext4
Jusque là, c’est cool: gnome-disk-utility (ou palimpsest) dispose d’une fonction de formatage LUKS-dmcrypt, c’est enfantin.
À présent, au démarrage de l’ordinateur, après m’avoir demandé le mot de passe pour déchiffrer le SSD, le système me demande le mot de passe pour déchiffrer le DD. Rébarbatif ! On va automatiser ça.
LUKS est super pratique, car il dispose de « slots » où l’on peut définir un mot de passe, ou un keyfile (dont les X premiers octets sont utilisés comme clé). On peut à tout moment ajouter ou supprimer des clés dans ces slots (en veillant à toujours garder au moins 1 slot utilisé, car sinon après on peut plus déchiffrer, normal). Et si l’on définit un keyfile, il est possible de faire un montage automatique au démarrage. L’intérêt étant bien sûr de placer ce keyfile dans le SSD déjà chiffré par mot de passe.
Ainsi donc, au démarrage, le PC demande le mot de passe pour booter sur le SSD, SSD sur lequel se trouve le keyfile utilisé par crypptab pour déverrouiller le DD, DD qui est ensuite monté automatiquement par fstab.
Mon dernier problème: si le /home est intégralement sauvegardé 2 fois sur disques durs externes, ce n’est pas le cas du DD, beaucoup trop gros. Donc je me cherche une solution:
- passer mes 6 disques durs externes de sauvegarde de 1 To à 2 To (voire 4 To) – sachant que c’est des 2.5″
- sauvegarder que l’essentiel tant que j’ai de la place, en attendant que les SSD de 1 To+ soient abordables
- chiffrer les fichiers dont je n’ai pas souvent besoin (genre les japanimations) et les envoyer dans le cloud (hubiC + Mediafire) et utiliser la place ainsi libérée pour les sauvegardes restantes
Financièrement la dernière solution semble meilleure, mais avec quelle solution de chiffrement ? Je pensais par exemple à du 7-zip à mot de passe: chiffrement AES donc assez solide, les noms de fichiers dans l’archive sont aussi chiffrés, et il y a un contrôle d’intégrité… bref, déjà finir le retransfert des données ^^