Discussion :

[Tymk]

Salut,

Je viens de passer les 3 derniers jours à essayer de chiffrer la partition système d'un serveur avec truecrypt, sans résultat.

Voici ce que j'ai tenté :

Tentative 1 :

- J'ai d'abord essayé d'installer mon système (CentOS 5.4 i386 noyau 2.6.18) en partitionnant, dans l'ordre, le /boot, la racine /, le swap et le /home.

- Ensuite, j'ai télécharger truecrypt v7.0-console (en vérifiant les clef/signature gpg)

- Puis j'ai essayé de recréer ma partition racine (/dev/sda2) avec truecrypt pensant qu'il conserverait mes fichiers. A la fin du chiffrement, j'ai obtenu une erreur indiquant que la partition était utilisée. Bien sûr tout a été écrasé.

Dans la doc il est écrit que ça doit marcher. Mais apparemment cette documentation a été écrite pour windows. Pour linux on nous renvoie vers truecrypt -h qui ne décrit pas d'option pour "sauver" le système.

Tentative 2 :

- Je lance un live CD d'Ubuntu et j'installe truecrypt dessus.

- Je chiffre la future partition système.

- Oui, mais maintenant que ma partition est chiffrée, comment je fais pour installer mon système dessus ? J'ai bien pensé à sauver ma clef de chiffrement sur une clef USB mais je ne sais pas comment dire au CD d'installation de déchiffrer le disque avant d'installer.

Quelqu'un a-t-il une idée pour ma tentative numéro 3 ?

Merci d'avance.

PS : Je précise que les discussions sur la nécessité de chiffrer un serveur ne m'intéressent pas. Pas plus que les autres moyens de chiffrement tels que LUKS.

[Elboras]

- Puis j'ai essayé de recréer ma partition racine (/dev/sda2) avec truecrypt pensant qu'il conserverait mes fichiers. A la fin du chiffrement, j'ai obtenu une erreur indiquant que la partition était utilisée. Bien sûr tout a été écrasé.

Dans la doc il est écrit que ça doit marcher. Mais apparemment cette documentation a été écrite pour windows. Pour linux on nous renvoie vers truecrypt -h qui ne décrit pas d'option pour "sauver" le système.

Tentative 2 :

- Je lance un live CD d'Ubuntu et j'installe truecrypt dessus.

- Je chiffre la future partition système.

- Oui, mais maintenant que ma partition est chiffrée, comment je fais pour installer mon système dessus ? J'ai bien pensé à sauver ma clef de chiffrement sur une clef USB mais je ne sais pas comment dire au CD d'installation de déchiffrer le disque avant d'installer.

Ce que tu cherches a faire n'est pas possible (si j'ai bien compris ce que tu cherches à faire.
En effet si tu regarde la documentation de truecrypt, il n'est possible de chiffrer une partition systeme que sous windows.

Ici sous linux tu pourra chiffrer des partitions, mais pas celle ou ton systeme d'exploitation est installé.


Pour ta culture personnel, sous windows la marche a suivre est plutot d'installer windows, d'installer truecrypt et de lui dire de chiffrer ce windows.
Tu semblais essayer de faire les choses à l'envers.

En effet, pour que le chiffrement systeme marche, truecrypt installe son bootloader avant le chargement de windows, qui te demande ton mot de passe pour déchiffrer. Sans ca, windows ne pourrait pas être executé.

Je ne connais pas exactement les raisons qui font que truecrypt ne chiffre que la partition systeme sous windows, c'est dommage

[Tymk]

Je suis effectivement tombé sur la partie de la doc qui mentionne l'incapacité de truecrypt à chiffrer un système installé.

Mais je pensais tout de même y parvenir en installant le système sur une partition, en chiffrant une autre partition puis en copiant le système vers la partition chiffrée.

Le problème c'est que je ne sais pas comment faire pour que la partition de /boot demande la clef et déchiffre le système de fichier.

[Elboras]

C'est pas aussi facile que ca en à l'air.
Il faudrait que tu recode un bootloader en portant celui de truecrypt pour windows, que tu adaptes les drivers pour que ca soit un vrai systeme de chiffrement full disc sous linux ainsi de suite.

Si c'etait aussi facile, cette methode serait documenté, la cela demande un vrai travail pour faire évoluer le projet.

Je me demande d'ailleur pourquoi il n'ont pas fait de full disc sous d'autre systemes que windows, cela doit etre parce qu'il y avait des problématiques importantes

[Tymk]

Effectivement, vu comme ça, c'est un peu compliqué à faire.

Je ne vais pas me lancer dans une telle entreprise. Je déleste le sujet en attendant une évolution de truecrypt.

Merci pour ton aide.