Pages : 1
#1 Le 18/05/2017, à 13:48
- crevettehj
[RESOLU]partition luks ajout de passphrase
Bonjour à tous,
J'ai un petit soucis avec une machine utilisant une partition LVM chiffrée. Tout fonctionne bien à l'exception que je peux pas ajouter de passphrase à l'aide de la commande:
cryptsetup luksAddKey /dev/sda5
A chaque fois j'ai la sortie suivante:
Linux@Linux:~$ sudo cryptsetup luksAddKey --key-slot 1 /dev/sda5
Enter any existing passphrase:
No key available with this passphrase.
Pour la petite info, j'utilise une passphrase avec un challenge sur ma Yubikey (cela fonctionne très bien) et j'ai par la suite supprimé la clé que j'ai mise à l'installation (clé bidon "test" pour éviter les éventuelles erreurs AZERTY/QWERTY).
Suite à la suppression de cette clé, j'ai tenté d'en ajouté une autre et je n'y parviens pas. On dirait que "luks" ne challenge pas la Yubikey pour vérifier la passphrase.
Merci d'avance de votre aide !!
Crevette
Dernière modification par crevettehj (Le 18/05/2017, à 17:21)
Hors ligne
#2 Le 18/05/2017, à 14:13
- Arbiel
Re : [RESOLU]partition luks ajout de passphrase
Bonjour
luksAddKey <device> [<key file with new key>]
adds a new passphrase. An existing passphrase must be supplied
interactively or via --key-file. The new passphrase to be added
can be specified interactively or read from the file given as
positional argument.
En clair
Un mot de passe (la différence entre "wordpass" et "passphrase" n'est pas fondamentale) doit être fourni de manière interactive ou par lecture du fichier défini par le paramètre --key-file. Le mot de passe qae l'utilisateur veut ajouter peut être défini de manière interactive ou être fourni sur la ligne de commande.
Je ne comprends pas ce que tu veux dire par
j'utilise une passphrase avec un challenge sur ma Yubikey
…
On dirait que "luks" ne challenge pas la Yubikey
qui me semble plus du charabia que du français.
Si donc la traduction que je t'ai présentée ne te permet pas de résoudre ton problème, reviens sur le forum et essaie d'expliquer ce que tu veux dire en des termes compréhensibles par le commun des mortels.
Arbiel
Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.
Hors ligne
#3 Le 18/05/2017, à 14:21
- crevettehj
Re : [RESOLU]partition luks ajout de passphrase
Ce que je veux dire c'est que lorsque je démarre mon pc, pour décrypter la partition, je rentre un mot de passe, ensuite, ma yubikey, préalablement connectée reçoit une demande de vérification et valide ce mot de passe.
Ici, je n'ai plus que cette seule manière d'ouvrir ma partition, je souhaite ajouter un password "simple" sans vérification de ma Yubikey. C'est ici je pense que le problème survient, lorsque j'entre la commande pour ajouter un password, on dirait que l'outil Luks n'effectue pas de vérification au près de ma Yubikey.
Est-ce plus clair?
Hors ligne
#4 Le 18/05/2017, à 17:12
- Laurent85
Re : [RESOLU]partition luks ajout de passphrase
Ce que je veux dire c'est que lorsque je démarre mon pc, pour décrypter la partition, je rentre un mot de passe, ensuite, ma yubikey, préalablement connectée reçoit une demande de vérification et valide ce mot de passe.
hmm je n'ai jamais rien lu de tel, par défaut sur Ubuntu ça n'existe pas ce type d'authentification. Et cryptsetup (le programme pour déverrouiller le disque) ne gère pas ce type d'authentification non plus. Tu as installé cette méthode d'authentification comment ?
Donne le retour de la commande suivante, copie colle, ne cherche pas à la saisir :
for device in $(sudo lsblk --raw -o name,fstype | grep LUKS | cut -d' ' -f1); do sudo cryptsetup luksDump "/dev/$device"; done
Hors ligne
#5 Le 18/05/2017, à 17:19
- crevettehj
Re : [RESOLU]partition luks ajout de passphrase
Si c'est faisable et ce n'est pas du bricolage
Voici le lien:
https://askubuntu.com/questions/599825/ … n-via-luks
La "seule" erreur que j'ai faite c'est que j'ai supprimé la seule passphrase (sans lien avec la yubikey) avant d'en avoir créée une autre de secours (plus compliquée). Mais je viens de trouver comment résoudre mon problème.
Lorsqu'on tente de créer une nouvelle passphrase, cryptsetup ne fait pas de "challenge" vers la yubikey pour valider la passphrase. Mais, avec le tool de yubikey (yubikey customisation) j'ai pu, via l'interface, tester mon password et avoir le "hash" de réponse. Je l'ai copier coller, et mis à la place de ma passphrase et ça passe nickel !
SI jamais ça peut aider quelqu'un d'autre !
Hors ligne
#6 Le 18/05/2017, à 18:36
- Laurent85
Re : [RESOLU]partition luks ajout de passphrase
Si c'est faisable et ce n'est pas du bricolage
Voici le lien:
Je ne connaissais pas et c'est pas disponible par défaut d'où ma remarque. Donne l'info dès le début sinon c'est incompréhensible ton problème.
La "seule" erreur que j'ai faite c'est que j'ai supprimé la seule passphrase (sans lien avec la yubikey) avant d'en avoir créée une autre de secours (plus compliquée).
hmm ça m'étonnerait, ou c'est un bug de tes outils parce que cryptsetup refuse de supprimer la dernière clé disponible.
Hors ligne
#7 Le 18/05/2017, à 20:53
- Arbiel
Re : [RESOLU]partition luks ajout de passphrase
cryptsetup refuse de supprimer la dernière clé disponible.
C'est tout-à-fait exact.
Avant la suppression de ton mot de passe de test, à la lecture de ta partition chiffrée, soit tu l'entrais à la console, soit il était fourni par ton fichier /etc/crypttab. cryptsetup ignorait totalement la présence de ton dispositif amovible, et n'allait donc pas y chercher quoi que ce soit. 2 emplacements étaient cependant utilisés pour mémoriser deux mots de passe.
Après la suppression de ton mot de passe de test, il restait un emplacement, celui qui correspond à l'information enregistrée sur ton dispositif amovible, et tu n'as pas su indiquer à cryptsetup la valeur attendue.
Je ne comprends rien à la méthode que tu décris pour rétablir la situation, mais je suppose qu'elle a consisté à procurer à cryptsetup le mot de passe attendu.
Pour t'en convaincre passe la commande
s cryptsetup luksDump device
qui devrait confirmer que deux emplacements sont de nouveau utilisés.
Mais je peux me tromper.
Pour conclure, j'ai la conviction qu'il ne faut utiliser que des outils dont on comprend parfaitement le fonctionnement. Tout utilisateur devrait se méfier des boîtes noires qui, en arguant d'une facilité d'utilisation, lui masquent la réalité des choses, et le rendent captif du fournisseur de la dite boîte noire. C'est ce qui fait le bonheur des géants de l'informatique.
cryptsetup n'est finalement pas d'une utilisation si compliquée qu'il faille passer par l'intermédiaire que tu utilises.
Arbiel
Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.
Hors ligne
Pages : 1