# exemple pour protéger une clé ou un disque USB
# sous unix, son montage sera automatique après demande d'un mot de passe
# repérer le nom de périphérique de la clé à la fin généralement
cat /proc/partitions
# ATTENTION, sur un PC, ne jamais prendre /dev/sda si il y a un disque dur, sdb si deux …
# mieux vaut repartitionner en deux pour laisser la première partition pour W$
# on suppose que c'est fait sinon utiliser fdisk ou gparted
# préformater et définir le mot de passe pour la partition à chiffrer par exemple la seconde
sudo cryptsetup luksFormat /dev/sdx2
# on peut vérifier si une partition est chiffrée avec LUKS
sudo dd if=/dev/sdx2 count=1 status=none | file -
# ouvrir une projection de la partition
# saisir un mot de passe
sudo cryptsetup open /dev/sdx2 nimportequoi
# formater la projection de la partition avec système de fichier unix
# si on espère lire la clé sous w$ il faut utiliser mkfs.fat
# il est possible de choisir le nom que prendra la clé
sudo mkfs.ext4 -L nom_de_la_clé /dev/mapper/nimportequoi
# on peut mettre plusieurs mots de passe ( ⇐ 8 )
# le mot de passe peut être retiré, mais il permet de récupérer la clé principale ….
sudo cryptsetup luksAddKey /dev/sdx2
# une fois monté, le système de fichier appartient à root
sudo chown utilisateur:groupe /media/.../nom_de_la_cle
# après démontage, il est plus propre de supprimer la projection
sudo cryptsetup close nimportequoi
# sur certainn ubuntu 18 :The function 'bd_crypto_luks_open_blob' called, but not implemented!
sudo apt-get install libblockdev-crypto2 sudo systemctl restart udisks2
# c'est le protocole utilisé par ubuntu pour chiffrer completement les file systems.
# en plus il utlise LVM (logical volums manager)
cryptsetup open /dev/sda5 pv
# on voit dans /dev/mapper qu'en plus du volume physique les volmues logiques sont définis.
lvdisplay -c mkdir /tmp/root mount /dev/lubuntu-vg/root /tmp/root
# ne pas utiliser avec les gens indélicats ou sur les systèmes douteux
# car la clé de chiffrement de chaque périphérique monté s'affiche sans mot de passe :
sudo dmsetup table --showkeys
# par exemple
MK=$(sudo dmsetup table --showkeys /dev/dm-2)
# plus tard il est possible de mapper sans mot de passe
echo $MK | sudo dmsetup create disque_clair
# si …. failed: No such device or address, c'est le mineur de la partition qui a changé, modifier l'avant dernier parametre # procédure volontairement incomplète