Chiffrement de votre système d’exploitation Ubuntu à l’aide d’un disque dur SED

Chiffrer Ubuntu

Ressource : https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive (en anglais)

Activer la veille prolongée

1. Ouvrez le terminal.

2. Saisissez la commande suivante pour vérifier si le système peut être mis en veille prolongée :

   # sudo systemctl hibernate

3. Si cela fonctionne, vous pouvez utiliser la commande pour mettre en veille prolongée à la demande ou créer un fichier pour ajouter l’option de veille prolongée aux systèmes de menus :
   
   Créez /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Ajoutez les éléments suivants au fichier et enregistrez :
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Si la veille prolongée ne fonctionne pas, procédez comme suit :

   Vérifiez si votre partition d’échange est au moins aussi grande que votre RAM disponible.
   
   Il a été prouvé que la présence de partitions btrfs entraîne l’échec de la veille prolongée. Par conséquent, vérifiez que vous n’utilisez pas de partitions btrfs. Outre le retrait ou le reformatage de ces partitions, vous devrez peut-être supprimer le package btrfs-tools :

   # sudo apt purge btrfs-tools

Activer sedutil grâce à l’activation de allow_tpm

Ressources : http://jorgenmodin.net/ (en anglais)

Vous devez activer le module TPM :

libata.allow_tpm=1

... doit être ajouté aux paramètres de Grub.

Dans /etc/default/grub, cela signifie qu’une ligne doit indiquer la mention suivante :

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Ensuite, mettez à jour Grub et redémarrez.

# sudo update-grub

Chiffrer votre disque

Ressource : https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive (en anglais)

Préparer un système de secours amorçable

Téléchargez le système de secours pour le BIOS ou la machine UEFI 64 bits .

* La prise en charge UEFI nécessite la désactivation de Secure Boot.
Décompressez le système de secours : (Les utilisateurs Windows doivent utiliser 7-zip )

gunzip RESCUE32.img.gz
--ou--
gunzip RESCUE64.img.gz

Transférez l’image de secours sur la clé USB.
Linux : dd if=RESCUE32.img of=/dev/sd? (/dev/sd? est le nœud du périphérique de base de la clé USB, pas de numéro)
--ou--
dd if=RESCUE64.img of=/dev/sd?

Windows : utilisez Win32DiskImager à partir de sourceforge pour écrire l’image sur la clé USB.
Démarrez la clé USB avec le système de secours sur celle-ci. L’invite de connexion s’affiche. Saisissez root. Il n’existe aucun mot de passe pour obtenir une invite root shell.

TOUTES les étapes ci-dessous doivent être exécutées sur le SYSTÈME DE SECOURS.

Testez sedutil

Saisissez la commande : sedutil-cli --scan

Résultat attendu :

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Vérifiez que votre disque indique le chiffre deux dans la deuxième colonne indiquant la prise en charge d’OPAL 2. Si le processus s’arrête, cela signifie que quelque chose empêche sedutil de prendre en charge votre disque. Si vous continuez, vous risquez d’effacer toutes les données.

Tester l’authentification avant démarrage

Saisissez la commande linuxpba et utilisez une phrase secrète de débogage. Si vous n’utilisez pas le débogage comme phrase secrète, votre système redémarre.

Résultat attendu :

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Vérifiez que votre disque est répertorié et que l’authentification avant démarrage le signale comme étant « OPAL ».

L’émission des commandes dans les étapes suivantes permet d’activer le verrouillage OPAL. Si vous rencontrez un problème, vous devez suivre les étapes à la fin de cette page (Informations de récupération) pour désactiver ou supprimer le verrouillage OPAL.

Les étapes suivantes utilisent /dev/sdc en tant que périphérique et UEFI64-1.15.img.gz pour l’image PBA, remplacez le bon /dev/sd? par votre disque et le nom de l’authentification avant démarrage approprié par votre système.

Retour au début

Activer le verrouillage et l’authentification avant démarrage

Saisissez les commandes ci-dessous : (Utilisez le mot de passe de débogage pour ce test, il est modifié ultérieurement)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Remplacez n.nn par le numéro de version.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Remplacez n.nn par le numéro de version.

Résultat attendu :

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Testez à nouveau l’authentification avant démarrage

Saisissez la commande linuxpba et utilisez une phrase secrète de débogage.
Ce deuxième test vérifie que votre disque est réellement déverrouillé.

Résultat attendu :

#linuxpba

Autorisation préalable au démarrage DTA LINUX

Saisissez la phrase secrète pour déverrouiller les disques OPAL : *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Vérifiez que l’authentification avant démarrage déverrouille votre disque. Le message « is OPAL Unlocked » doit s’afficher. Dans le cas contraire, vous devez suivre les étapes indiquées à la fin de cette page pour supprimer OPAL ou désactiver le verrouillage.

Définir un vrai mot de passe

Il n’est pas nécessaire que les mots de passe SID et Admin1 correspondent, mais cela facilite les choses.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Résultat attendu :

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Testez votre mot de passe pour vérifier que vous n’avez pas fait d’erreurs de saisie.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Résultat attendu :

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Votre disque est maintenant doté du verrouillage OPAL.
Vous devez maintenant METTRE VOTRE SYSTÈME COMPLÈTEMENT HORS TENSION.
Cela verrouille le disque de sorte que, lorsque vous redémarrez votre système, il démarre l’authentification avant démarrage.

Informations de récupération :

En cas de problème après l’activation du verrouillage, vous pouvez désactiver le verrouillage ou supprimer OPAL pour continuer à utiliser votre disque sans le verrouiller.

Si vous souhaitez désactiver le verrouillage et l’authentification avant démarrage :

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Résultat attendu :

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Vous pouvez réactiver le verrouillage et l’authentification avant démarrage à l’aide de cette séquence de commandes.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Résultat attendu :

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Certains disques OPAL rencontrent un bug du firmware qui efface toutes les données si vous exécutez les commandes ci-dessous. Consultez la section Supprimer OPAL (en anglais) pour obtenir la liste des paires de disques/firmware qui ont été testées.

Pour supprimer OPAL, exécutez les commandes suivantes :

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Résultat attendu :

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Retour au début