🅭

/!\ ATTENTION
en dessous de 2 Go de mémoire, il faut ajouter du swap

depuis environ 2018 Debian sur PC est passé à LUKS2 mais en 2020 sur raspberry c'est toujours LUKS1
une option de convertsion est proposée mais j'ai essayé sans succès
donc si besoin, il faut formater avec l'option :
--type luks1

La commande graphique gnome-disks propose de chiffrer une partition

# exemple pour protéger une clé ou un disque USB

# sous unix, son montage sera automatique après demande d'un mot de passe 

# repérer le nom de périphérique de la clé à la fin généralement
cat /proc/partitions

# ATTENTION, sur un PC, ne jamais prendre /dev/sda si il y a un disque dur, sdb si deux ...

# mieux vaut repartitionner en deux pour laisser la première partition pour W$
# on suppose que c'est fait sinon utiliser fdisk ou gparted

# préparer la partition et définir le mot de passe pour la partition à chiffrer
sudo  cryptsetup luksFormat [--label nom_au_choix]  /dev/sdx2

# on peut vérifier si une partition est au format LUKS
sudo dd if=/dev/sdx2 count=1 status=none | file -

# ouvrir une projection de la partition mais peut être fait automatiquement par un explorateur de fichiers
# saisir un mot de passe
sudo cryptsetup luksOpen /dev/sdx2 nom_data_en_clair  <<< "mot de passe"  # ou saisie en interactif plus sure

# formater la projection de la partition avec système de fichier unix
# si on espère lire la clé sous w$ il faut utiliser mkfs.fat
# il est possible de choisir le nom que prendra la clé
sudo mkfs.ext4 -L nom_de_la_clé /dev/mapper/nom_data_en_clair

# on peut mettre plusieurs mots de passe ( jusqu'à 8 )
sudo cryptsetup luksAddKey /dev/sdx2     # demande une autentification
# pour savoir combien sont déclarées
sudo cryptsetup luksDump /dev/sdx2 | grep -c ': luks2'

# un mot de passe peut être retiré
sudo cryptsetup luksRemoveKey /dev/sdx2    # demande seulement la saisie de celui à enlever
# pb : l'ancien utilisateur peut avoir extrait la maitresse clé pour concerver l'accès ( voir plus bas au sujet des gens indélicats )

# les mots de passes sont rangés dans des "slots" il est possible de supprimer un mot de passe inconnu
# les procédures pour changer la maitresse clé ne sont pas au point (2021)

# une fois monté, le système de fichier appartient à root
sudo chown -R $(id -u):$(id -g) /media/.../nom_de_la_cle

# après démontage, il est plus propre de supprimer la projection
sudo cryptsetup close nom_data_en_clair

# sur certains ubuntu 18 :The function 'bd_crypto_luks_open_blob' called, but not implemented!
sudo apt-get install libblockdev-crypto2
sudo systemctl restart udisks2

# peut être vaut-il mieu formater la clé en 
F2FS (Flash-Friendly File System)

# c'est le protocole utilisé par ubuntu pour chiffrer completement les file systems.
# mais ils ont choisi de le faire sous une couche en plus : LVM (logical volums manager)
# par exemple pour récuperer les données sur la cinquième partition :
sudo cryptsetup open /dev/sda5 volume_physique
# on voit dans /dev/mapper qu'en plus du volume physique les volmues logiques sont définis.
sudo lvdisplay -c
mkdir /tmp/root
sudo mount /dev/lubuntu-vg/root /tmp/root

# ne pas utiliser avec les gens indélicats ou sur les systèmes douteux


# on peut extraire la maitresse clé d'un disque dont on possede le mot de passe:
sudo cryptsetup luksDump --dump-master-key /dev/sdx
# celle-ci ne peut pas changer, il faut reformater le disque en cas de compromission
# même si le mot de passe est changé, elle permet d'ouvrir le disque

# en ubuntu 16 il était très facile d'afficher la maitresse clé d'un disque monté
# ce qui suit n'est plus valable sur des systèmes récents ex debian 10 mais par principe une ressource montée est accessible donc la maitresse clé est stockée quelque part

# et rien n'empêche un pirate de maintenir une vielle version 

# car la maitresse clé de chiffrement de chaque périphérique monté s'affiche sans mot de passe :
sudo dmsetup table --showkeys

# la commande df permet de voir le nom du "mapping"
# par exemple
MK=$(sudo dmsetup table --showkeys /dev/dm-X)

# plus tard il est possible de mapper sans mot de passe
sudo dmsetup create disque_clair <<< $MK
# si .... failed: No such device or address, c'est le mineur de la partition qui a changé, modifier l'avant dernier parametre
# procédure volontairement incomplète