--- Cryptoloop-HOWTO.xml 2005-06-15 13:55:00.000000000 +0200
+++ Cryptoloop-HOWTO.xml.relu 2005-06-15 23:03:50.225818080 +0200
@@ -31,10 +31,10 @@
@@ -89,7 +89,7 @@
Ce document pr�sente la fa�on de cr�er un syst�me de fichiers chiffr� en utilisant les fonctionnalit�s de cryptoloop.
- cryptoloop est une partie de CryptoAPI des versions 2.6 des noyaux Linux.
+ Cryptoloop est une partie de CryptoAPI des versions 2.6 des noyaux Linux.
@@ -103,12 +103,12 @@
versions 2.6 des noyaux Linux. Cryptoloop permet de cr�er un syst�me de fichiers chiffr� sans ajouter de
partition ou aucun autre fichier dans le syst�me de fichiers. Ce fichier chiffr� peut �tre d�plac� sur un CD-ROM,
un DVD, une clef m�moire USB, etc. Cryptoloop utilise le p�riph�rique de boucle. Ce p�riph�rique
- est un pseudo-p�riph�rique qui sert comme une boucle
� travers du quel chaque appel au syst�me
- de fichier doit passer. De cette fa�on, les donn�es peuvent �tre trait�es afin d'�tre chiffrer et d�chiffrer.
- depuis les noyaux 2.6, l'interface de programmation Crypto a �t� int�gr� directement dans le noyau,
- et donc la configuration d'un syst�me de fichiers chiffr� en est rendu plus facile. Aucun correctif du noyau
- n'est n�cessaire. Par contre une mise � jour de certain utilitaire est requise. Malheureusement, l'utilisation
- de cryptoloop n'est pas encore bien document�. Ce guide est un essai pour rendre plus facile pour tout le monde
+ est un pseudo-p�riph�rique qui sert comme une boucle
� travers duquel chaque appel au syst�me
+ de fichier doit passer. De cette fa�on, les donn�es peuvent �tre trait�es afin d'�tre chiffr�es et d�chiffr�es.
+ Depuis les noyaux 2.6, l'interface de programmation Crypto a �t� int�gr�e directement dans le noyau,
+ et donc la configuration d'un syst�me de fichiers chiffr� en est rendue plus facile. Aucun correctif du noyau
+ n'est n�cessaire. Par contre une mise � jour de certains utilitaires est requise. Malheureusement, l'utilisation
+ de cryptoloop n'est pas encore bien document�e. Ce guide est un essai pour rendre plus facile pour tout le monde
la cr�ation d'un syst�me de fichiers chiffr� utilisant les fonctionnalit�s standards de cryptoloop. Cryptoloop est
bas� sur l'API Crypto des noyaux Linux 2.6. Il ne faut pas confondre avec Loop-AES qui est un projet totalement
diff�rent. Cryptoloop est similaire � l'API Crypto qui �tait disponible comme un correctif s�par� pour les versions
@@ -204,25 +204,25 @@
Il existe plusieurs alternatives � l'utilisation de cryptoloop. Loop-AES (
http://loop-aes.sourceforge.net) est probablement le plus connu. Il fournit des fonctions similaires
- � cryptoloop. Aes-loop est probablement plus mature que cryptoloop et est aussi plus rapide (environ deux
+ � cryptoloop. Aes-loop est probablement plus mature que cryptoloop, et est aussi plus rapide (environ deux
fois plus rapide, selon l'auteur de loop-AES) parce qu'il utilise une impl�mentation hautement optimis�e d'un
assembleur pour AES. Cela ne veut pas dire que cryptoloop est lent. Je n'ai pas not� de diff�rence significative
de vitesse entre une partition chiffr�e avec cryptoloop et une partition non chiffr�e durant mon travail avec
- un nombre normal d'entr�e sortie (I/O). A moins que les performances I/O soient extr�mement importante pour vous,
- cryptoloop est suffisant. Loop-AES offre certaines fonctionnalit�s qui ne sont pas encore pr�sente dans
- l'impl�mentation noyau de cryptoloop. Loop-AES demande de modifier certain utilitaires utilisateur (mount,
+ un nombre normal d'entr�e/sortie (I/O). A moins que les performances I/O soient extr�mement importantes pour vous,
+ cryptoloop est suffisant. Loop-AES offre certaines fonctionnalit�s qui ne sont pas encore pr�sentes dans
+ l'impl�mentation noyau de cryptoloop. Loop-AES demande de modifier certains utilitaires utilisateur (mount,
losetup) et ces modifications sont incompatibles avec une utilisation de cryptoloop. Vous ne pouvez pas utiliser
cryptoloop et Loop-AES en m�me temps.
- En terme de s�curit�, cryptoloop est bon. La clef est g�n�ralement cr��e depuis un mot de passe et un hachage de cette
+ En terme de s�curit�, cryptoloop est bon. La clef est g�n�ralement cr��e depuis un mot de passe, et un hachage de cette
clef est utilis� comme pour les clefs AES. Ce qui laisse la possibilit� d'une
attaque � texte clair connu (� known-plaintext attack �).
Loop-Aes est de ce point de vue sup�rieur, parce qu'il g�n�re une clef al�atoire et chiffre cette cl� s�par�ment,
- rendant une attaque par texte clair connu plus difficile. Loop-AES utilise aussi un mode � plusieurs clef, o� chaque
- secteurs sont chiffr�s avec 64 clef AES diff�rentes. En g�n�ral, une attaque sur votre mot de passe peut r�ussir,
- si vous choisissez un mot de passe trop simple. Pour �tre s�curis� votre mot de passe doit avoir au moins 20
+ rendant une attaque par texte clair connu plus difficile. Loop-AES utilise aussi un mode � plusieurs clefs, o� chaque
+ secteur est chiffr� avec 64 clefs AES diff�rentes. En g�n�ral, une attaque sur votre mot de passe peut r�ussir,
+ si vous choisissez un mot de passe trop simple. Pour �tre s�curis�, votre mot de passe doit avoir au moins 20
caract�res. Cependant une attaque par force brute sur votre mot de passe sera sans doute plus facile que d'essayer
directement sur les donn�es chiffr�es par AES.
@@ -239,19 +239,19 @@
dm-crypt. Dm-crypt est disponible dans le noyau principal 2.6.4. Cryptoloop sera encore disponible dans
le noyau pendant encore quelque temps, mais dm-crypt devrait devenir la m�thode choisit pour le chiffrement des
disques durs dans le futur. Dm-crypt est bas� sur le device mapper et offre plus ou moins les m�me fonctionnalit�s
- que cryptoloop. Il est encore tr�s r�cent et il existe encore peu d'outils utilisateur facile d'utilisation disponible.
+ que cryptoloop. Il est encore tr�s r�cent et il existe encore peu d'outils utilisateur simples, disponibles.
Le code de dm-crypt est consid�r� comme plus propre que celui de cryptoloop, il existe des diff�rences notables entre
- les deux. Par exemple, la cr�ation d'un syst�me de fichiers chiffr� autrement que dans un fichier n�cessite encore
+ les deux. Par exemple, la cr�ation d'un syst�me de fichiers chiffr� autrement que dans un fichier, n�cessite encore
de passer par un p�riph�rique de boucle, mais la gestion est encore en d�veloppement.
- Il existe d'autre outils vous permettant de cr�er un syst�me de fichiers chiffr�s. BestCrypt est un
+ Il existe d'autres outils vous permettant de cr�er un syst�me de fichiers chiffr�s. BestCrypt est un
produit commercial de Jetico. Il vous permet de cr�er un r�cipient chiffr� et d'utiliser un large �ventail
d'algorithme de chiffrement. Il offre �galement certains dispositifs ing�nieux tels que les r�cipients cach�s.
- Il est disponible pour les syst�mes Windows et Linux, ce qu'il fait qu'il est pr�f�rable pour l'�change de
+ Il est disponible pour les syst�mes Windows et Linux, ce qui fait qu'il est pr�f�rable pour l'�change de
r�cipient chiffr� entre Window et Linux. BestCrypt se compile maintenant tr�s bien sur les noyaux 2.6.
- Cryptoloop peut �galement cr�er des r�cipients pouvant �tre d�plac�, en cr�ant un syst�me de fichiers chiffr�
+ Cryptoloop peut �galement cr�er des r�cipients pouvant �tre d�plac�s, en cr�ant un syst�me de fichiers chiffr�
dans un fichier comme d�crit ci-dessous. Je ne sais pas comment acc�der � un fichier chiffr� avec cryptoloop
depuis un autre syst�me d'exploitation comme Windows. Dans ce cas, BestCrypt est peut �tre votre seul choix.
@@ -266,7 +266,7 @@
Configurer le noyau
Avant de pouvoir utiliser cryptoloop, vous devez activer certaines options dans le noyau.
- Vous avez la possibilit� de compiler cryptoloop comme modules ou alors directement dans le noyau.
+ Vous avez la possibilit� de compiler cryptoloop comme module ou alors directement dans le noyau.
Les �tapes suivantes activeront cryptoloop en tant que module.
Si vous n'�tes pas familiaris� avec la compilation d'un noyau 2.6, vous devriez consulter le
Linux Kernel HOWTO.
@@ -318,7 +318,7 @@
- Si vous avez d�cid� de les compil� en module, assurez-vous de charger les modules appropri�s
+ Si vous avez d�cid� de les compiler en module, assurez-vous de charger les modules appropri�s
(cryptoloop, aes, etc.) au d�marrage avant de continuer.
@@ -344,7 +344,7 @@
Par exemple sur la distribution Gentoo, les modules peuvent �tre ajout�s dans le fichier
/etc/modules.autoload/kernel-2.6. Si vous avez compil� cryptoloop en tant que module,
il doit �tre charg� en premier. Le module du p�riph�rique de boucle sera alors automatiquement charg�.
- Vous pouvez aussi charg� manuellement le module avec la commande suivante :
+ Vous pouvez aussi charger manuellement le module avec la commande suivante :
modprobe cryptoloop
@@ -361,9 +361,9 @@
le syst�me de fichiers chiffr�. Une mise � jour du paquet util-linux est n�cessaire et peut �tre obtenu
� l'adresse suivante : .
La version la plus r�cente est la version 2.12. Il y aura s�rement de nouvelles versions introduisant
- probablement des changements majeurs, pour �tre sure vous devriez v�rifier les mises � jours de ce
+ probablement des changements majeurs. Pour �tre s�r vous devriez v�rifier les mises � jours de ce
guide pratique avant de mettre � jour vers une version plus r�cente. Malheureusement, il existe plusieurs
- correctifs pour le paquet util-linux. Il y a diff�rentes fa�on de cr�er et de monter une partition chiffr�e.
+ correctifs pour le paquet util-linux. Il y a diff�rentes fa�ons de cr�er et de monter une partition chiffr�e.
Afin d'utiliser la version 2.12 de l'utilitaire util-linux avec un noyau 2.6, les deux correctifs suivants
doivent �tre appliqu�s :
@@ -383,7 +383,7 @@
T�l�chargez le paquetage util-linux et les deux correctifs disponibles.
- Premi�rement d�sarchivez util-linux et appliquez les correctifs :
+ Premi�rement extraire l'archive util-linux et appliquez les correctifs :
tar xvfz util-linux-2.12.tar.gz
@@ -401,8 +401,8 @@
Je recommande d'utiliser Gentoo Linux, car ces correctifs sont
- automatiquement appliqu�s quand apparaisse les correctifs pour util-linux. D'autres distributions peuvent
- avoir aussi des versions de util-linux disponible, et avoir aussi appliqu�s ces correctifs.
+ automatiquement appliqu�s quand apparaissent les correctifs pour util-linux. D'autres distributions peuvent
+ avoir aussi des versions de util-linux disponibles, et avoir aussi appliqu� ces correctifs.
@@ -413,13 +413,13 @@
Cryptoloop peut aussi bien �tre utilis� sur un fichier que sur un syst�me de fichiers entier. La suite
-d�crit la fa�on de le configurer sur une partition particuli�re. cette partition peut �tre n'importe quel
+d�crit la fa�on de le configurer sur une partition particuli�re. cette partition peut �tre n'importe quelle
partition que vous d�sirez, l'exemple utilis� dans la suite est /dev/sda1.
J'ai choisit d'utiliser l'algorithme de chiffrement AES, mais vous pouvez le remplacer par n'importe
quel autre algorithme activ� dans votre noyau. Vous pouvez obtenir une liste de tous les algorithmes
g�r�s par votre noyau actuel en �ditant le fichier /proc/crypto.
Le livre de Bruce Scheier, Applied Cryptography and Practical Cryptography,
-est un excellent ouvrage pr�sentant les diff�rents algorithme de chiffrement.
+est un excellent ouvrage pr�sentant les diff�rents algorithmes de chiffrement.
Les algorithmes AES et Serpent sont probablement le choix le plus raisonnable. AES a �t� beaucoup utilis�
pour le chiffrement et aucune vuln�rabilit� s�rieuse n'a �t� trouv�e depuis longtemps. Serpent n'a pas encore
�t� beaucoup analys�, mais il est consid�r� �tre un peu plus s�curis� que AES. Cependant, Serpent est par contre plus
@@ -430,7 +430,7 @@
- Il est recommand� de formater la partition et de la remplir avec des donn�es al�atoires avant de cr�er le syst�me de fichiers chiffr� dessus. Ce qui rendra plus difficile � un pirate la d�tection des signatures dans votre partition chiffr�.
+ Il est recommand� de formater la partition et de la remplir avec des donn�es al�atoires avant de cr�er le syst�me de fichiers chiffr� dessus. Ce qui rendra plus difficile � un pirate la d�tection des signatures dans votre partition chiffr�e.
ATTENTION
@@ -440,7 +440,7 @@
�craser une autre partition avec des donn�es al�atoires.
- Une partition remplit avec des donn�es al�atoires peut �tre obtenu gr�ce � la commande suivante :
+ Une partition remplie avec des donn�es al�atoires peut �tre obtenue gr�ce � la commande suivante :
dd if=/dev/urandom of=/dev/sda1 bs=1M
@@ -450,7 +450,7 @@
- S�lectionnez un algorithme et une taille de clef. Une liste d'algorithmes g�r�e par votre noyau peut �tre obtenu depuis
+ S�lectionnez un algorithme et une taille de clef. Une liste d'algorithmes g�r�s par votre noyau peut �tre obtenu depuis
le fichier /proc/crypto. Je recommande l'utilisation de AES avec une clef de 256 bits.
@@ -467,18 +467,18 @@
La commande vous demandera un mot de passe. Choisissez un mot de passe robuste et essayez de vous
- en souvenir sans utiliser un post-it coll� � votre moniteur. C'est le mauvais cot� de l'utilisation
+ en souvenir sans utiliser un post-it coll� � votre moniteur. C'est le mauvais c�t� de l'utilisation
de cryptoloop. Puisque le mot de passe est hach� pour cr�er la clef de chiffrement, il n'est pas facile
apr�s de changer de mot de passe. La meilleur mani�re de changer un mot de passe est de cr�er une nouvelle
- partition ou un nouveau fichier chiffr� et de d�placer toute les donn�es dessus. Pour cette raison,
- soyez sur de choisir un mot de passe robuste d�s le d�but. AES peut �tre un algorithme de chiffrement
+ partition ou un nouveau fichier chiffr�, et de d�placer toute les donn�es dessus. Pour cette raison,
+ soyez s�r de choisir un mot de passe robuste d�s le d�but. AES peut �tre un algorithme de chiffrement
tr�s robuste, mais si vous choisissez un mauvais mot de passe, alors la s�curit� ne sera pas bonne.
- Si la commande losetup �choue avec le message d'erreur INVALID ARGUMENT, le probl�me vient du
- paquet util-linux. Assurez-vous d'avoir suivit les instructions pr�c�dentes sur la fa�on d'installer le correctif
+ Si la commande losetup �choue avec le message d'erreur INVALID ARGUMENT, le probl�me vient du
+ paquet util-linux. Assurez-vous d'avoir suivi les instructions pr�c�dentes sur la fa�on d'installer le correctif
pour util-linux. Les anciennes versions ainsi que les versions non corrig�s utilisent une m�thode diff�rente
- pour passer la taille de la clef, et ne fonctionne pas avec l'API Crypto 2.6.
+ pour passer la taille de la clef, et ne fonctionnent pas avec l'API Crypto 2.6.
@@ -531,7 +531,7 @@
Pour toutes les op�rations sur le p�riph�rique cryptoloop, il est important que les modules n�cessaires soient charg�s.
Vous avez besoin de charger au moins le module cryptoloop et les modules pour chaque algorithme de chiffrement avec la commande
-modprobe. Si les options ont �t� compil� directement dans le noyau, alors ce n'est pas n�cessaire.
+modprobe. Si les options ont �t� compil�es directement dans le noyau, alors ce n'est pas n�cessaire.
@@ -580,22 +580,22 @@
-Pour commencer cr�ez un fichier de 100MB contenant des donn�es al�atoires en utilisant la commande suivante :
+Pour commencer, cr�ez un fichier de 100MB contenant des donn�es al�atoires en utilisant la commande suivante :
dd if=/dev/urandom of=/mystuff.aes bs=1k count=100000
Si vous souhaitez changer la taille du fichier, changez la valeur de count.
-La commande pr�c�dente cr�e 100 000 bloques d'une taille de 1Ko, mais vous pouvez mettre la valeur que
-vous d�sirez. Assurez-vous juste qu'ellle ne soit pas trop petite et qu'il pourra contenir le syst�me de fichiers
-que vous avez choisi. Vous pouvez remplacer /mystuff.aes par n'importe qu'elle nom de fichier
+La commande pr�c�dente cr�e 100 000 blocs d'une taille de 1Ko, mais vous pouvez mettre la valeur que
+vous d�sirez. Assurez-vous juste qu'elle ne soit pas trop petite et qu'il pourra contenir le syst�me de fichiers
+que vous avez choisi. Vous pouvez remplacer /mystuff.aes par n'importe quel nom de fichier
du moment que vous avez suffisamment de place libre sur la partition.
-Vous pouvez cr�er le syst�me de fichiers chiffr� dans ce fichier, de la m�me fa�on que nous l'avons fais pr�c�demment :
+Vous pouvez cr�er le syst�me de fichiers chiffr� dans ce fichier, de la m�me fa�on que nous l'avons fait pr�c�demment :
losetup -e aes-256 /dev/loop0 /mystuff.aes
@@ -630,7 +630,7 @@
mount /mystuff.aes /mnt/crypto -oencryption=aes-256
-Si vous souhaitez d�placer le fichier ou le graver sur un CD-ROM ou un DVD, assurez-vous qu'il a bien �t� d�monter avant.
+Si vous souhaitez d�placer le fichier ou le graver sur un CD-ROM ou un DVD, assurez-vous qu'il a bien �t� d�mont� avant.