Double boot Windows/Linux sur des machines chiffrées avec PBA

Ce tutorial a été réalisé dans le cas suivant :

• machine intégrée dans un environnement Windows, qui doit respecter des règles dans un environnement d'entreprise
• chiffrement logiciel de partitions, et non de disque
• WinMagic : outil de sécurité de type PBA (Pre-Boot Authentification), qui se positionne à l'amorçage sur le disque dur, avant le lancement du bootloader
• Boot sur disque MBR (et non GPT, ou via UEFI)

Un système Linux peut être installé en tant que VM au sein de VirtualBox par exemple. Si ceci permet un usage d'autres outils que ceux du monde Windows, les performances d'une machine virtuelle restent limitées du fait de :

• la couche de stockage virtualisée plus lente, elle même stockée sur un stockage Windows dégradé en performance du fait du chiffrement de l'hôte
• la mémoire disponible réduite à cause de la part prise par l'hôte
• l'accélération graphique limitée

Il peut donc être souhaitable d'utiliser un système Linux utilisé en double boot avec Windows.

Précaution : il est souhaitable de faire une image complète du disque, en vue d'une restauration ultérieure en cas de souci (sudo dd if=/dev/sda bs=16M | gzip -c > image.gz).

Pour installer Linux, il est nécessaire de procéder aux opérations suivantes :

• déchiffrement de la partition Windows si elle a été chiffrée
• démarrage sur le média d'installation de Linux
• partitionnement :
  • si 4 partitions primaires : suppression de la partition <constructeur>_recovery inutile (faire au besoin une sauvegarde avec un dd de la partition)
  • réduction de la taille de la partition Windows
  • création d'une partition étendu dans l'espace libéré
  • création d'une partition logique pour le système Linux (10Go, brtfs)
  • création d'une partition logique pour le swap (2G)
  • création d'une partition logique non formatée, qui contiendra le home chiffré (le reste)
• chiffrement du home :

  sudo cryptsetup luksFormat /dev/sda7
  sudo cryptsetup luksOpen /dev/sda7 home_crypt
  sudo dd if=/dev/zero of=/dev/mapper/home_crypt
  sudo mkfs.ext4 -L home /dev/mapper/home_crypt

Installation Linux à la suite de l'opération précédente, en affectant les points de montage aux partitions.

Le double boot se fait automatiquement, avec Grub.

Il faut maintenant remettre en place le chiffrement de la partition Windows.

Ensuite, il faut prendre quelques précautions supplémentaires pour éviter une perte totale de données en cas de réinstallation de Linux. En effet, la solution WinMagic :

• se positionne dans la MBR à la place du chargement d'amorçage normal, avant de passer le relais au chargeur d'amorçage
• sert en particulier à accéder à la clef de chiffrement de la partition Windows

Aussi la réinstallation de Linux viendra réécrire la MBR ce qui aura pour effet la perte totale de l'accès aux données chiffrées Windows.

Voici les données importantes utilisées par WinMagic :

• programme dans la MBR
• fichiers WinMagicSECURDOC.WMG et WinMagic/SECURDOC.PH1, présent à priori dans une partition non chiffrée : ils contiennent probablement le programme complet WinMagic chargé en relai depuis la MBR, et la clef de déchiffrement (protégé par mot de passe comme LUKS ?) des partitions Windows chiffrées
• partiton SYSTEM : Boot/BCD : le chargeur d'amorçage de Windows légèrement patché pour le déchiffrement

Une fois le chiffrement remis en place sous Windows, voici les sauvegardes à faire :

• indispensable : la MBR :

  sudo dd if=/dev/sda of=~/mbr-backup-512.bin bs=512 count=1

• éventuellement les fichiers décrit précédemment

En cas de réinstallation de grub, ou d'un autre linux, sans avoir déchiffrer les données de Windows

• restaurer le programme d'amorçage WinMagic dans la MBR :

  sudo dd if=~/mbr-backup-512.bin of=/dev/sda bs=446 count=1

Contributeurs : Id2ndR