Chiffrement complet du disque avec dm-crypt (sans LUKS)

8

J'essaie actuellement d'obtenir un cryptage complet du disque en utilisant dm-crypt en mode clair sans en-tête LUKS avec une /bootclé USB séparée .

Mon objectif principal est de parvenir à un déni plausible sur une distribution basée sur Debian. Pour l'instant, j'ai réussi à chiffrer les partitions en utilisant cryptsetupet à installer la /bootpartition sur une clé USB distincte. Tout se passe comme il se doit et parce que l'en-tête pour le chiffrement n'est pas stocké dans LUKS, je dois le saisir manuellement sur l'écran initramfs, mais à cette étape, j'obtiens simplement une erreur qui indique qu'il n'y a pas de cryptage dans initramfs ("/ bin / sh: cryptsetup: not found ") lors de l'analyse de l'en-tête.

En conclusion:

  • dev/sdachiffré à l'aide dm-crypt( /rootet des /homevolumes) avec:
cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda
  • dev/sdb bâton de démarrage avec grub installé

Je peux démarrer avec succès à partir du bootstick. Je vois l'écran de démarrage Ubuntu pendant environ 20 secondes, ce que je voulais atteindre pour un déni plausible, puis il tombe sur les initramfs se plaignant de ne pas pouvoir trouver /dev/mapper/root- ce qui est également quelque chose que je voulais réaliser.

Le problème est que lorsque je veux analyser la ligne cryptsetup qui me permettrait d'entrer un mot de passe et de continuer le démarrage, alors l'initramfs se plaint de "cryptsetup: not found".

Je suppose que cette plainte est vraie. Ma question est: comment installer cryptsetup dans les initramfs pour permettre un démarrage plus rapide de l'invite de mot de passe?

De plus, je sais que j'omets quelque chose en ajoutant les entrées appropriées dans /etc/fstab, /etc/crypttabet les appareils ne sont pas trouvés au démarrage.

Ce sont les guides que j'ai trouvés et utilisés pour configurer toutes les configurations actuelles, peut-être que cela éclaircira les choses que je n'ai pas couvert dans ma question:

Le premier est un peu dépassé et le second est pour Arch Linux, mais j'en ai utilisé deux avec la dernière installation de Lubuntu avec peu de réglages.

Rowen
la source
1
attendez le fork de truecrypt et faites une demande de fonctionnalité ...
RobotHumans

Réponses:

2

Selon initramfs-tools (8) , on peut ajouter des programmes à l'image initrd en ajoutant par exemple ce qui suit à un script de hook :

copy_exec / sbin / cryptsetup / sbin

Des exemples de scripts de hook peuvent être trouvés dans /usr/share/initramfs-tools/hookset sur mon système Ubuntu, /usr/share/initramfs-tools/hooks/cryptrootajoute en effet /sbin/cryptsetupà l' initrdimage.

Exemple:

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
=> Pas encore de cryptsetup inclus.

$ cat / etc / initramfs-tools / hooks / fde
#! / bin / sh

. / usr / share / initramfs-tools / hook-functions
copy_exec / sbin / cryptsetup / sbin

$ sudo chmod 0755 / etc / initramfs-tools / hooks / fde
$ sudo update-initramfs -u

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
-rwxr-xr-x 1 racine root 59248 21 août 04:04 sbin / cryptsetup
-rw-r - r-- 1 racine root 158848 21 août 04:04 lib / x86_64-linux-gnu / libcryptsetup.so.4
ckujau
la source