Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 24/07/2023, à 21:42

yann2000

ZFS et chiffrement

Bonsoir à tous,
Je me suis réinstallé Ubuntu 22.04. J'ai choisi la partition système en ZFS avec chiffrement LUKS.
Une fois installé, je ne suis pas sûr que ma partition sois chiffrée.
Voici ce que Disque me dit:
Unknown (zfs_member 5000) — Non monté
/dev/nvme0n1p4
Solaris Root

Il y a t'il un moyen de vérifier le chiffrement svp ?

Merci d'avance!

Hors ligne

#2 Le 24/07/2023, à 23:09

geole

Re : ZFS et chiffrement

Bonsoir.
Je ne comprends ton problème.
A) Soit tu as installé le logiciel ubuntu dans une partition ZFS chiffrée.
et dans ce cas, la partition est montée si tu as démarré ubuntu et au démarrage, il t'as demandé la clé de déchiffrement.
B) Soit dans un ubuntu standard, tu as fais une partition zfs chiffrée et tu  verras bien lorsque tu la monteras si la clé de chiffrement est demandée.

Nota. Je ne sais pas si disque sait monter une telle partition. Il te suffit d'essayer, tu verras bien si la phrase de chiffrement est demandée,

Dernière modification par geole (Le 24/07/2023, à 23:12)


Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

En ligne

#3 Le 25/07/2023, à 07:52

yann2000

Re : ZFS et chiffrement

J'ai fait cette commande;
zfs get keylocation,encryption,keyformat rpool
NAME   PROPERTY     VALUE                                  SOURCE
rpool  keylocation  file:///run/keystore/rpool/system.key  local
rpool  encryption   aes-256-gcm                            -
rpool  keyformat    raw   
Et oui, je rentre un mot de passe au démarrage du PC.

Par contre, j'aimerais savoir si le hash est de l'argon2id. Sur une partition luks, c'est facile de savoir
mais sur une partion zfs, comment on fait?

Dernière modification par yann2000 (Le 25/07/2023, à 07:53)

Hors ligne

#4 Le 25/07/2023, à 09:05

Nuliel

Re : ZFS et chiffrement

Bonjour,
On parle de conteneur LUKS, pas de partition. Si tu fais

lsblk

je pense que tu verras que ton conteneur LUKS contient ta partition ZFS. Il y a peut-être du chiffrement dans la partition ZFS, mais je ne sais pas comment cela fonctionne.
Supposons que ton conteneur LUKS s'appelle /dev/sdaX, alors tu peux faire

sudo cryptsetup luksDump /dev/sdaX

pour savoir si c'est du argon2i qui est utilisé ou du pbkdf2 (ne donne pas le retour de cette dernière commande).


Edit: en relisant, je commence à douter que tu aies LUKS sur ton disque.

Dernière modification par Nuliel (Le 25/07/2023, à 09:11)

Hors ligne

#5 Le 25/07/2023, à 10:21

yann2000

Re : ZFS et chiffrement

Merci mais ca me dit que le disque n'existe pas.
Je pense que je vais refaire l'installation avec ext4. J'aurais ainsi l'argon2id.

Hors ligne

#6 Le 25/07/2023, à 10:23

Nuliel

Re : ZFS et chiffrement

Si tu as laissé /dev/sdaX, oui c'est normal...
Tu peux donner le retour de

lsblk

?

Par curiosité, pourquoi tiens tu tellement à argon2i?

Dernière modification par Nuliel (Le 25/07/2023, à 10:23)

Hors ligne

#7 Le 25/07/2023, à 10:27

yann2000

Re : ZFS et chiffrement

NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS
loop0                                           7:0    0     4K  1 loop  /snap/bare/5
loop1                                           7:1    0   2,5M  1 loop  /snap/colorwall/16
loop2                                           7:2    0 118,2M  1 loop  /snap/core/15511
loop3                                           7:3    0  55,7M  1 loop  /snap/core18/2785
loop4                                           7:4    0  63,4M  1 loop  /snap/core20/1974
loop5                                           7:5    0  73,9M  1 loop  /snap/core22/817
loop6                                           7:6    0 164,8M  1 loop  /snap/gnome-3-28-1804/198
loop7                                           7:7    0 349,7M  1 loop  /snap/gnome-3-38-2004/143
loop8                                           7:8    0 485,5M  1 loop  /snap/gnome-42-2204/120
loop9                                           7:9    0  91,7M  1 loop  /snap/gtk-common-themes/1535
loop10                                          7:10   0  78,4M  1 loop  /snap/office365webdesktop/5
loop11                                          7:11   0  80,8M  1 loop  /snap/plexmediaserver/403
loop12                                          7:12   0 217,7M  1 loop  /snap/qt5-core22/12
loop13                                          7:13   0 146,5M  1 loop  /snap/qbittorrent-arnatious/86
loop14                                          7:14   0 301,4M  1 loop  /snap/qt5-core20/15
loop15                                          7:15   0  12,3M  1 loop  /snap/snap-store/959
loop16                                          7:16   0  53,3M  1 loop  /snap/snapd/19457
loop17                                          7:17   0   1,8M  1 loop  /snap/torrhunt/19
loop18                                          7:18   0   864K  1 loop  /snap/zerotier/192
sda                                             8:0    0   3,6T  0 disk  
└─sda1                                          8:1    0   3,6T  0 part  
  └─bitlk-2049                                253:3    0   3,6T  0 crypt /media/yann/Plex_Windows
sdb                                             8:16   0   489G  0 disk  
└─sdb1                                          8:17   0   489G  0 part  
sdc                                             8:32   0 931,5G  0 disk  
├─sdc1                                          8:33   0     1K  0 part  
└─sdc5                                          8:37   0 931,5G  0 part  /media/yann/HD EXTERNE
sdd                                             8:48   0   3,6T  0 disk  
└─sdd1                                          8:49   0   3,6T  0 part  
  └─luks-01144b12-2b13-4e72-99e9-fb3c4dd0f07c 253:2    0   3,6T  0 crypt /mnt/Plex_Linux
zd0                                           230:0    0   500M  0 disk  
└─keystore-rpool                              253:0    0   484M  0 crypt /run/keystore/rpool
nvme0n1                                       259:0    0 931,5G  0 disk  
├─nvme0n1p1                                   259:1    0   512M  0 part  /boot/grub
│                                                                        /boot/efi
├─nvme0n1p2                                   259:2    0     2G  0 part  
│ └─cryptoswap                                253:1    0     2G  0 crypt [SWAP]
├─nvme0n1p3                                   259:3    0     2G  0 part  
└─nvme0n1p4                                   259:4    0   927G  0 part  

Hors ligne

#8 Le 25/07/2023, à 10:32

Nuliel

Re : ZFS et chiffrement

J'ai pas l'habitude de voir ce genre de structure.
Effectivement, il y a du LUKS mais pas sur le disque principal j'ai l'impression. Donc tu utilises le chiffrement de ZFS aussi. Bref tu utilises les deux chiffrements, mais de manière indépendante.
Par contre ça me surprend d'avoir /boot/efi et /boot/grub dans la même partition

À noter qu'il n'y a pas d'argon2id dans LUKS par défaut mais argon2i, mais ça peut se changer

Dernière modification par Nuliel (Le 25/07/2023, à 10:34)

Hors ligne

#9 Le 25/07/2023, à 10:34

yann2000

Re : ZFS et chiffrement

Apparemment, c'est du PBKDF2 pour le zfs.
Je vais refaire l'installation.

Hors ligne

#10 Le 25/07/2023, à 10:36

Nuliel

Re : ZFS et chiffrement

Ah, pas incroyable effectivement.
Sur LUKS, je sais qu'on peut changer le KDF sans problème (la clé de déchiffrement est indépendante de la passphrase dans le sens où la clé est générée aléatoirement), j'imagine que sur ZFS c'est pareil.
Donc possiblement pas besoin de réinstaller


Edit: pour expliquer, les KDF (pour key derivation function) sont des fonctions qui prennent par exemple un mot de passe et vont dériver une clé. Les KDF sont généralement lents pour ralentir un potentiel attaquant voulant tester plein de mots de passe.
PBKDF2 en gros c'est une opération répétée beaucoup de fois (comme HMAC-SHA256).
Le problème de PBKDF2, c'est qu'il est possible de tester plusieurs mots de passe en même temps (il suffit de lancer les PBKDF2 en parallèle), et un GPU est adapté pour ça, contrairement à argon2i (qu'on appelle fonction memory-hard) qui consomme beaucoup de RAM aussi, ce qui limite bien l'utilisation de GPU et réduit drastiquement le nombre de tentatives de mot de passe par seconde.

Dernière modification par Nuliel (Le 25/07/2023, à 10:46)

Hors ligne

#11 Le 25/07/2023, à 10:59

yann2000

Re : ZFS et chiffrement

C'est pour ça que je veux argon2id.

Merci pour ton aide.

Hors ligne

#12 Le 25/07/2023, à 12:00

geole

Re : ZFS et chiffrement

yann2000 a écrit :

J'ai fait cette commande
rpool  encryption   aes-256-gcm                            -
Et oui, je rentre un mot de passe au démarrage du PC.
Par contre, j'aimerais savoir si le hash est de l'argon2id. Sur une partition luks, c'est facile de savoir
mais sur une partion zfs, comment on fait?

Je n'ai compris avec l'explication anglaise de cette technique.
Normalement le logiciel en version 22.04 s'installe dans une structure LUKS.
ATTENTION: Il ne me semble absolument pas garanti que ce type d'installation soit encore possible avec la future version 24.04 car ce n'est plus possible en 23.04 et 23.10. Cependant, mettre une partition de données ZFS devrait continuer à l'être.

 lsblk -fe7 | grep MesDonneesPersonnelles
└─sdb6  zfs_member        5000  MesDonneesPersonnelles 16115389389312419455                                
└─sdc11 zfs_member        5000  MesDonneesPersonnelles 16115389389312419455                                

df -htzfs
Sys. de fichiers       Taille Utilisé Dispo Uti% Monté sur
MesDonneesPersonnelles   148G     51G   97G  35% /home/a/data

De mémoire, le disque que tu as utilisé pour installer le logiciel serait

nvme0n1                                       259:0    0 931,5G  0 disk  
├─nvme0n1p1                                   259:1    0   512M  0 part  /boot/grub
│                                                                        /boot/efi
├─nvme0n1p2                                   259:2    0     2G  0 part  
│ └─cryptoswap                                253:1    0     2G  0 crypt [SWAP]
├─nvme0n1p3                                   259:3    0     2G  0 part  
└─nvme0n1p4                                   259:4    0   927G  0 part  

'
et le logiciel serait dans nvme0n1p4. Mais j'ai l'impression que tu n'as pas booté avec l'instance ZFS.

Dernière modification par geole (Le 25/07/2023, à 12:08)


Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

En ligne

#13 Le 25/07/2023, à 12:08

Nuliel

Re : ZFS et chiffrement

@geole: le lien que tu donnes parle de IPsec avec GCM, mais ici il n'est pas question de IPsec.
En gros, AES c'est le chiffrement. Le truc c'est que AES ne chiffre que des blocs de 128 bits, donc il faut ajouter un mode pour pouvoir chiffrer plus d'un bloc (et du padding pour avoir un multiple de 128 bits accessoirement). Ici, le mode est GCM (en gros un mode CTR avec un morceau supplémentaire). AES-GCM est recommandé vu qu'il permet de faire ce qu'on appelle du chiffrement authentifié.
Le problème que souligne yann2000, ce n'est pas le chiffrement mais la méthode pour retrouver la clé de déchiffrement à partir du mot de passe (ici PBKDF2)

Hors ligne

#14 Le 25/07/2023, à 12:27

geole

Re : ZFS et chiffrement

Nuliel a écrit :

Le problème que souligne yann2000, ce n'est pas le chiffrement mais la méthode pour retrouver la clé de déchiffrement à partir du mot de passe (ici PBKDF2)

Je ne suis pas certain  qu'il y ait un lien de la clé de chiffrement ZFS avec le mot de passe.. L'enveloppe est chiffrées luks donc en lien avec le mot de passe. Mais à l'intérieur, il y a très probablement un autre chiffrement qui ne dépend pas du mot de passe. Car si on chiffre  une partition ZFS de façon normale, elle n'est pas LUKS d'après mon expérience et l'application LUKS n'a pas besoin d'être installée pour y accèder.

sudo zpool import -a -f -d /dev/sdc11 -d /dev/sdb6
sudo zfs mount -vl  MesDonneesPersonnelles
Enter passphrase for 'MesDonneesPersonnelles':
a@a:~$ sudo cryptsetup luksDump /dev/sdc11
sudo: cryptsetup : commande introuvable.
....... Installation de luks
sudo cryptsetup luksDump /dev/sdb6
/dev/sdb6 n'est pas un périphérique LUKS valide.
sudo cryptsetup luksDump MesDonneesPersonnelles
Le périphérique MesDonneesPersonnelles n'existe pas ou l'accès y est interdit.
sudo cryptsetup luksDump /home/a/data
Le périphérique /home/a/data n'est pas compatible.

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

En ligne

#15 Le 25/07/2023, à 12:37

Nuliel

Re : ZFS et chiffrement

Sur LUKS la clé est générée aléatoirement et est indépendant du mot de passe, j'imagine que c'est la même chose sur ZFS. Au démarrage, tu tapes ton mot de passe, il est dérivé avec un algorithme comme PBKDF2 ou argon2i ce qui permet de déchiffrer la clé de déchiffrement du disque, et ainsi pouvoir déchiffrer et finir le démarrage.
LUKS et chiffrement ZFS sont totalement indépendants. Là où ext4 n'a pas de chiffrement et a besoin d'une couche supplémentaire (LUKS) pour avoir du chiffrement, ZFS n'en a pas besoin car intègre ce qu'il faut par défaut.

Hors ligne