Retour au cours

chiffrement disque luks2 et tpm

Apprenez à chiffrer un disque avec LUKS2, gérer les slots de clés et intégrer un déverrouillage automatique sécurisé.

objectifs d’apprentissage

  • Initialiser LUKS2.
  • Gérer plusieurs clés/slots.
  • Configurer un déverrouillage au boot (TPM/hook).

prérequis

  • Accès root.
  • Disque ou partition de test (ex: /dev/sdb1).

notions clés

  • cryptsetup luksFormat.
  • slots de clés.
  • initramfs hooks.

démonstration guidée

étape 1

Initialiser LUKS2 et ouvrir le volume.

# ATTENTION: détruira les données de /dev/sdb1
# sudo cryptsetup luksFormat --type luks2 /dev/sdb1
# sudo cryptsetup open /dev/sdb1 cryptdata
# sudo mkfs.ext4 /dev/mapper/cryptdata
# sudo mkdir -p /mnt/secure && sudo mount /dev/mapper/cryptdata /mnt/secure

étape 2

Ajouter une seconde clé et activer un hook d’ouverture au boot (concept).

# sudo cryptsetup luksAddKey /dev/sdb1
# echo 'cryptdata /dev/sdb1 none luks,discard' | sudo tee -a /etc/crypttab
# sudo update-initramfs -u || sudo dracut -f

exercice

Ajoutez une clé de secours puis listez les slots actifs.

correction

Liste des slots et suppression si nécessaire.

sudo cryptsetup luksDump /dev/sdb1 | sed -n '1,80p' || true
# sudo cryptsetup luksKillSlot /dev/sdb1 1

quiz éclair

  1. Quelle commande initialise un conteneur LUKS2 ?
  • a) cryptsetup luksFormat
  • b) mkfs.ext4
  • c) luks2 init

ressources

Sujets abordés