[installation cryptée] Demande d'aide (Résolu)

[Pafrapé]

Je suis en train d'installer Arch sur un nouveau disque dur.
S'agissant d'un portable l'installation sera cryptée et sera composée d'une partition sda pour le boot et une partion sda2 cryptée dans lequel il y a un LVM contenant root et swap.

Ayant lu le dernier topic (en anglais) sur le cryptage, j'aurais besoin de certitudes.
Voici donc quelques questions :

- Pour créer la partition cryptée, faut-il écrire :

Code : Tout sélectionner

cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2

ou

Code : Tout sélectionner

cryptsetup --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2

ou

Code : Tout sélectionner

cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2

ou

Code : Tout sélectionner

cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2

ou

Code : Tout sélectionner

cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random –verify-passphrase luksFormat /dev/sda2

ou...
Merci de me préciser les arguments exacts à utiliser, notament le "-v", le "--iter-time 5000", le "--use-random" ou "--use-urandom" et le "--verify-passphrase".

-Pour ouvrir la partition crypté, sachant que l'ensemble est sur un SSD, faut-il rajouter --allow-discards ou non au code suivant :

Code : Tout sélectionner

cryptsetup luksOpen /dev/sda2 sda2_crypt

pour obtenir

Code : Tout sélectionner

cryptsetup --allow-discards luksOpen /dev/sda2 sda2_crypt

Une fois tout ou presque installé, j'édite /etc/mkinitcpio.conf
le bon code est-il celui-ci

Code : Tout sélectionner

HOOKS="... keymap encrypt lvm2 resume filesystems ..."

ou faut-il modifier des éléments et rajouter "keyboard" et "resume" ?

- Pour l'instalation du grub, dans le /etc/default/grub, faut-il écrire

Code : Tout sélectionner

GRUB_CMDLINE_LINUX="cryptdevice=/dev/sda2:sda2_crypt::allow-discards root=/dev/system/root 

ou rajouter "resume=/dev/system/swap" ou apporter d'autres modifications ?

Je vous remercie pour votre aide.

[Pafrapé]

N'ayant pas eu de réponse, j'ai donc approfondi mes recherches et trouver les réponses à mes questions, réponses qui j'espère pourront servir à d'autres :

1. Pour créer la partition cryptée, l’idéal est d'utiliser la commande suivante :

Code : Tout sélectionner

cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2

C'est actuellement une des techniques les plus sécurisées tout en étant simple à mettre en place

2. Pour ouvrir la partition crypté, sachant que l'ensemble est sur un SSD, il convient de rajouter --allow-discards SSD, pour obtenir :

Code : Tout sélectionner

cryptsetup --allow-discards luksOpen /dev/sda2 sda2_crypt

3. Pour la création du HOOKS dans /etc/mkinitcpio.conf, il convient de rajouter "keyboard" (pour le clavier) et "resume" (pour le swap sur SSD) et écrire :

Code : Tout sélectionner

HOOKS="... keyboard keymap encrypt lvm2 resume filesystems ..."

4. Pour le grub, il faut bien écrire à la ligne GRUB_CMDLINE_LINUX dans /etc/default/grub :

Code : Tout sélectionner

GRUB_CMDLINE_LINUX="cryptdevice=/dev/sda2:sda2_crypt:allow-discards root=/dev/system/root resume=/dev/system/swap 

le resume servant pour le swap.

J'ai fait mon installation comme cela et tout s'est parfaitement déroulé.

En espérant que cela puisse servir à d'autres