{{tag>sysadmin linux chiffrement confidentialité}}

====== Utiliser un fichier périphérique chiffré ======

Le fichier périphérique est l’équivalent d'un disque virtuel chiffré. Le système de fichier est dans un conteneur chiffré.

Si l'utilitaire cryptsetup n'est pas disponible, installer le paquet cryptsetup-bin:
<code bash>
sudo apt-get install cryptsetup-bin
</code>
===== Création du périphérique chiffré =====

Créer un fichier avec du contenu aléatoire. Ici on crée un fichier de 512 Mo

<code bash>
dd if=/dev/urandom of=/data/fdisk-9lz0 bs=1M count=512
</code>

Déterminer le premier périphérique loop disponible
<code bash>
sudo losetup -f
</code>


Attacher le fichier sur le périphérique loop
<code bash>
sudo losetup /dev/loop0 /data/fdisk-9lz0
</code>

Initialiser le type d'encryption
<code bash>
sudo cryptsetup luksFormat -c aes -h sha256 /dev/loop0 -y
</code>

Ouvrir le volume chiffré:

<code bash>
sudo cryptsetup open --type=luks /dev/loop0 my_secret
</code>

Créer le système de fichier sur le périphérique
<code bash>
sudo mkfs.ext3 /dev/mapper/my_secret
</code>

Monter le système de fichier chiffré sur l'arborescence locale
<code bash>
sudo mount -o user,noatime,nodiratime /dev/mapper/my_secret ~/private
</code>

===== Utilisation de la partition chiffrée =====

Attacher le fichier au périphérique loop disponible
<code bash>
$ sudo losetup /dev/loop0 /path/file-disk
</code>

Ouvrir la partition chiffrée LUKS:
<code bash>
$ sudo cryptsetup open --type=luks /dev/loop0 map-name
</code>

Monter le périphérique sur l'arborescence logique:
<code bash>
$ sudo mount /dev/mapper/map-name ~/private/
</code>

===== Fermeture du périphérique chiffré =====

Démonter le périphérique
<code bash>
$ sudo umount ~/private
</code>

Refermer le volume chiffré
<code bash>
$ sudo cryptsetup close map-name
</code>

Démonter le fichier spécial du périphérique loop:
<code bash>
$ sudo losetup -d /dev/loop0
</code>

<note>
Les partitions LUKS sont multi-plateformes, le disque virtuel crypté peut être utilisé sous Windows avec l'outil libre **FreeOTFE** Free On The Fly Encryption program
</note>

===== Destruction d'un fichier sensible =====

Pour effacer des données sensibles, l'utilitaire **shred** est recommandé. Il permet entre autre:
  * D'écrire plusieurs fois sur le disque à l'emplacement des données du fichier,
  * De déchiqueter et de supprimer le fichier
  * D'ajouter une écriture finale de 0 pour camoufler le déchiquetage.


<code bash>
$ shred -n 35 -z -u nomDuFichier
</code>