If you’re in the UK, then you may be involved in the current (as I write this) panic to become GDPR (General Data Protection Regulation) compliant. The UK’s data protection laws were last updated over a decade ago. Now, they’re being updated to bring the UK more in line with the rest of Europe, as we exit Europe. Should be interesting. Anyway, as an experiment (at work), I decided to try full-drive encryption on a Windows 7 machine using Veracrypt. Veracrypt is the successor to the somewhat flawed Truecrypt. Although this tutorial uses Windows 7, the procedure, and software, are exactly the same for Linux.
Si vous êtes au Royaume-Uni (RU), vous pourriez être enrôlé dans la panique actuelle (au moment où j'écris) pour devenir conforme aux GDPR (General Data Protection Regulation - Règlement général pour la protection des données). Au RU, la dernière mise à jour des lois sur la protection des données date d'une dizaine d'années. Maintenant, elles sont mises à jour pour mieux aligner le RU au reste de l'Europe, alors qu'il sort de l'Europe. C'est intéressant.
Quoi qu'il en soit, à titre d'expérience (au travail), j'ai décidé d'essayer le cryptage d'un disque entier sur une machine sous Windows 7, en utilisant Veracrypt. Veracrypt est le successeur de Truecrypt, quelque peu vérolé. Bien que ce tutoriel utilise Windows 7, la procédure et le logiciel sont identiques pour Linux.
The basic idea behind full-drive encryption is that you generate a unique key and password. On booting the PC, you must enter the encryption password before the machine will even boot the OS. Once the OS has booted, you log in as normal. And everything looks/feels normal. It’s just that initial encryption password that’s the only noticeable difference. Should anything go wrong at the booting stage, you have a boot disc, which is unique to that machine, which will force the machine to boot as the disc (or USB, I suppose) has the encryption key on it. Even when booting from the disc, you still need the encryption password. So, even if your PC and boot disc were lost/stolen, you’re still safe. Well, assuming you didn’t cellotape the encryption password to the device… NOTE: please be very careful with full-drive encryption if you are dual-booting Windows and Linux. I have no experience at all with that setup.
L'idée de base derrière le cryptage complet du disque est que vous générez une clé et un mot de passe uniques. Au démarrage du PC, vous devez fournir le mot de passe de cryptage avant même que la machine ne lance l'OS. Une fois que l'OS a démarré, vous vous connectez comme d'habitude. Et tout semble normal. C'est uniquement ce mot de passe initial de cryptage qui est la seule différence notable.
Si quelque chose se passe mal au lancement, vous avez un disque de démarrage, qui est unique pour cette machine précise, qui forcera la machine à démarrer, car le disque (ou un USB, je suppose) contient la clé de cryptage. Même en démarrant sur le disque, vous aurez besoin du mot de passe de cryptage. Aussi, même si votre PC et votre disque sont perdus/volés, vous êtes encore en sécurité. Bien sûr, en supposant que vous n'ayez pas scotché votre mot de passe sur l'appareil…
NOTE : S'il vous plaît, faites très attention au cryptage du disque entier si vous avez un dual-boot Windows et Linux. Je n'ai aucune expérience avec ce paramétrage.
Installing Veracrypt First, I downloaded Veracrypt – which has a version for Windows, Linux, and Mac (even FreeBSD and Raspbian): https://www.veracrypt.fr/en/Downloads.html Go through the Install procedure of downloading the archive file, unarchiving it, and running the executable file. Finally, after the install has finished, run Veracrypt.
Installation de Veracrypt
D'abord, j'ai téléchargé Veracrypt, qui a une version pour Windows, Linux et Mac (et même FreeBSD et Raspbian) : https://www.veracrypt.fr/en/Downloads.html
Suivez la procédure d'installation : téléchargez le fichier archive, décompressez-le, et lancez le fichier exécutable. Enfin, quand l'installation est terminée, lancez Veracrypt.
Getting Prepared I clicked the ‘Create Volume’ button. This got me a popup that lets me choose what it is I’m going to encrypt. I chose ‘Encrypt the system partition or entire system drive’, and clicked Next. If you were encrypting a USB stick, you’d choose ‘non-system partition/drive’, and if you were creating an encrypted container to store files in, you’d choose the ‘encrypted file container’ option. For type of System Encryption, I chose ‘Normal’, and clicked Next. For Area to Encrypt, I chose ‘Encrypt the whole drive’, and clicked Next. For Encryption of Host Protected Area, I wasn’t sure. So I chose No, and clicked Next. For ‘Number of Operating Systems’ - in my case - I chose single-boot, and clicked Next. For Encryption Options - I kept the defaults (AES and SHA-256), and clicked Next.
Préparation
J'ai cliqué sur le bouton « Create Volume » (Créer un volume). Ceci ouvre une fenêtre qui me dit de choisir ce que je veux crypter. J'ai choisi « Encrypt the system partition or entire system drive » (Crypter la partition système ou le disque en entier) et j'ai cliqué sur Next (Suivant).
Si vous cryptiez une clé USB, vous choisiriez « non-system partition/drive » (Partition/disque non-système) et si vous créiez un conteneur crypté pour y stocker des fichiers, vous choisiriez « encrypted file container » (Conteneur de fichier crypté).
Pour le type de cryptage, j'ai choisi « Normal » et cliqué sur Next.
Pour Area to Encrypt, j'ai choisi « Encrypt the whole drive » (Crypter tout le disque) et cliqué sur Next.
Pour Encryption of Host Protected Area, (Chiffrement de toute la zone protégée de l'hôte) j'ai hésité. Aussi, j'ai choisi « No » (Non) et cliqué sur Next.
Pour « Number of Operating Systems » (Nombre de systèmes d'exploitation), dans mon cas j'ai choisi Single-boot (un seul) et cliqué sur Next.
Pour Options de cryptage, j'ai conservé les valeurs par défaut (AES et SHA-256) et cliqué sur Next.
I used a random password generator to create a ten-digit password which I entered here. Then clicked Next. You’ll get a warning for any password less than 20 characters. I’m OK with that in this case. Collecting Random Data will show gibberish, but you keep moving the mouse to randomise it more. You can keep going until the green bar fills up, or click Next when you’re ready to proceed. Keys Generated just informs you that you’re ready to move to the next step, so I clicked Next. Rescue Disk is called that for a reason. MAKE A RESCUE DISK. Do it just in case of a problem. DO NOT SKIP THIS STEP. The idea behind it is that, if there’s a problem later on (ie: your drive doesn’t boot), then you can use this disk to boot from. The disk apparently has a copy of the keys on it. The combination of this boot disk, with keys, and your password may save your bacon. So make the disk.
J'ai utilisé un générateur de mot de passe aléatoire pour créer un mot de passe à dix caractères que j'ai entré ici. Puis j'ai cliqué sur Next.
Vous verrez un avertissement pour tout mot de passe de moins de 20 caractères. Dans mon cas, cela ne me dérange pas.
« Collecting Random Data » affichera du charabia, mais vous continuez à bouger la souris pour le rendre encore plus aléatoire. Vous pouvez faire durer jusqu'à ce que la barre verte soit complètement remplie ou cliquer sur Next quand vous êtes prêt à continuer.
Keys Generated vous informe simplement que vous êtes prêt à passer à l'étape suivante ; aussi, cliquez sur Suivant.
Rescue Disk est appelé ainsi pour une seule raison, FAITES un DISQUE de SAUVEGARDE. Faites-le simplement en cas de problème, NE SAUTEZ PAS CETTE ÉTAPE. L'idée derrière tout ça est que s'il y a un problème plus tard (par ex. votre disque ne démarre pas), vous pouvez alors utiliser ce disque pour démarrer dessus. Le disque contient apparemment une copie des clés. La combinaison de ce disque de démarrage, contenant les clés, et votre mot de passe devraient sauver votre peau. Aussi, faites ce disque.
Clicking Next will make it create/burn an ISO (in the chosen directory) which you can burn to CD/DVD/USB. After creating/burning the ISO, I clicked Next. I got an error here, but it just needs the disk/USB ejected and reinserted. I clicked OK, then Next. My Rescue Disk was verified as good-to-go. For ‘Wipe Mode’, I chose 1-pass (with a 500GB HDD in this case) I then got a warning about 3-pass+ taking a long time to complete.
En cliquant sur Next, une ISO est créée/gravée (dans le répertoire choisi) qui peut être gravée sur CD/DVD/USB.
Après la création/gravure de l'ISO, j'ai cliqué sur Next.
J'ai eu une erreur ici, mais il s'agit juste d'éjecter et de réinsérer le disque/USB. J'ai cliqué sur OK, puis sur Next. Mon Rescue Disk a été vérifié comme bon pour le service. Pour le « Mode d'effacement », j'ai choisi 1-pass (avec un disque dur de 500 Go dans mon cas).
J'ai eu ensuite un avertissement sur la grande durée de 3-pass+.
Pretest At this point, I clicked Test, and the PC reboots. As the PC booted back up, it asked for my password. It also asked for a PIM, but, since I didn’t provide one, I just hit enter. The PC booted back up as normal and I logged in as the admin again. Veracrypt says Pretest Completed.
Pré-test
À ce stade, j'ai cliqué sur Test et le PC a redémarré.
Pendant que le PC redémarrait, il m'a demandé mon mot de passe. Il m'a aussi demandé un PIM, mais, comme je n'en avais pas fourni, j'ai juste appuyé sur Entrée.
Le PC a fait un redémarrage normal et je suis entré à nouveau avec mon mot de passe d'administrateur. Veracrypt dit Pretest Completed (Pré-test terminé).
Encrypt! This is it. Clicking Encrypt (then OK) begins the process. Encryption time will depend upon the power of the machine, and size of the drive. After many an hour, you’ll see a completion message. I clicked OK and Finish. And that was it. Done.
Cryptez !
Ça y est. En cliquant sur Encrypt (puis OK), le processus commence. Le temps de cryptage dépendra de la puissance de la machine et de la taille du disque.
Au bout de pas mal d'heures, vous verrez un message de fin.
J'ai cliqué sur OK puis Finish (terminer).
Et c'est fait.