[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] manual://d-i/using-d-i/modules/partman-crypto.xml

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


- --
e-mail: Miguel Gea Milvaques <xerakko@debian.org>
Blog: http://www.livejournal.com/users/xerakko/
GnuPG key: 0x580808C4
Key fingerprint = 85A0 06FD 9A6C 4701 27C2  5536 3533 50CA 5808 08C4
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (GNU/Linux)

iD8DBQFEw1alNTNQylgICMQRAh40AKCVJp4bkl36Ac/f0NeewhlnBOAUxQCghv+1
8ech8Vq66CEGwjAuibybBxQ=
=d6YF
-----END PGP SIGNATURE-----

<!-- retain these comments for translator revision tracking -->
<!-- original version: 39224 -->

   <sect3 id="partman-crypto">
   <title>Configuració de volums xifrats</title>
<para>

El &d-i; permet que preparar particions xifrades. Cada fitxer que escriviu
a estes particions és immediatament desat al dispositiu de forma xifrada.
L'accés a les dades xifrades es possible tan sols desprès d'introduir
la <firstterm>frase de pas</firstterm> utilitzada quan la partició
xifrada es va crear originalment. Aquesta característica és útil
per protegir dades sensibles en el cas de que us roben el vostre portàtil o 
disc dur. El lladre podrà tenir accés físic al disc dur, però sense conèixer
la frase de pas correcta, les dades al disc dur es mostraran com caràcters
aleatoris.

</para><para>

Les dos particions més importants a xifrar són: la partició d'usuari (home),
on són les vostres dades privades, i la partició d'intercanvi, on les
dades sensibles es podrien emmagatzemar temporalment a la operació. Per
suposat, res impedeix que xifreu qualsevol altra partició que tingueu 
interès. Per exemple <filename>/var</filename> on els servidors de base
de dades, servidors de correu o servidors d'impressió emmagatzemen les seves
dades, o <filename>/tmp</filename> que utilitzen alguns programes per
emmagatzemar fitxers temporals interessants. Alguna gen voldrà inclús
xifrar tot el sistema complet. L'única excepció és la partició
<filename>/boot</filename> que ha de ser no xifrada, ja que no hi ha
forma de carregar un nucli d'una partició no xifrada.

</para><note><para>

Adoneu-vos que el rendiment de les particions xifrades serà
menor que les no xifrades per la necessitat de xifrar i 
desxifrar les dades per cada lectura o escriptura. L'impacte en el
rendiment depèn de la velocitat de la vostra CPU, el xifrat escollit
i la longitud de la clau.

</para></note><para>

Per utilitzar el xifrat, heu de crear una partició nova seleccionant
algun espai lliure al menú de particionament principal. Altra opció és
escollir una partició existent (p.e. una partició normal, un volum 
lògic LVM o un volum RAID). Al menú <guimenu>Paràmetres del 
particionament</guimenu>, necessitareu seleccionar <guimenuitem>volum
físic per xifrar</guimenuitem> a l'opció <menuchoice> <guimenu>Utilitzar 
com</guimenu> </menuchoice>. Aleshores el menú canviarà per incloure
algunes opcions opcions de criptografia per la partició	

</para><para>

El &d-i; suporta diferents mètodes de xifrat. El mètode per defecte 
és <firstterm>dm-crypt</firstterm> (inclòs als nous nuclis Linux, 
capaços de contenir volums físics LVM), l'altre és 
<firstterm>loop-AES</firstterm> (més vell, i mantés separat de l'arbre
del nucli Linux). A menys que tingueu raons convincents per fer-ho,
es recomana utilitzar el mètode per defecte.

<!-- TODO: link to the "Debian block device encryption guide"
     once Max writes it :-) -->

</para><para>

Primer, mireu les opcions disponibles quan seleccioneu <userinput>
Device-mapper (dm-crypt)</userinput> com a mètode de xifrat.
Com sempre, quan dubteu, utilitzeu l'opció per defecte, ja que
es van escollir amb molta cura amb la seguretat en ment.

<variablelist>

<varlistentry>
<term>Xifrat: <userinput>aes</userinput></term>

<listitem><para>

Aquesta opció permet seleccionar l'algoritme de xifrat		
(<firstterm>cipher</firstterm>) que serà utilitzat per xifrar les dades
a la partició. En aquest moment el &d-i; suporta els xifrats:
<firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>,
<firstterm>serpent</firstterm>, i <firstterm>twofish</firstterm>.
Està més enllà de l'abast d'aquest document discutir les qualitats dels
diferents algorismes, per altra banda, podria ajudar en la vostra decisió
saber que al 2000, <emphasis>AES</emphasis> fou escollit pel
Institut Nacional Americà d'estàndards i Tecnologia com l'algorisme
de xifrat estàndard per protegir informació sensible a la 21 centúria.

</para></listitem>
</varlistentry>

<varlistentry>
<term>Mida de la Clau: <userinput>256</userinput></term>

<listitem><para>
Ací podeu especificar la longitud de la clau de xifrat. Amb una mida
de la clau gran, la força del xifrat augmenta generalment. Per altra banda,
incrementar la mida de la clau normalment te un impacte negatiu al
rendiment. Les mides per la clau disponibles varien depenent del xifrat.

</para></listitem>
</varlistentry>

<varlistentry>
<term>Algorisme IV: <userinput>cbc-essiv:sha256</userinput></term>

<listitem><para>

El <firstterm>Vector d'Inicialització</firstterm> o algorisme
<firstterm>IV</firstterm> s'utilitza al xifratge per assegurar que
l'aplicació del xifrat al mateix <firstterm>text en clar</firstterm>
amb la mateixa clau sempre produeix un únic
<firstterm>text xifrat</firstterm>. La idea és previndre l'atac de deduir 
informació de plantilles repetides a les dades xifrades.

</para><para>

De les alternatives proporcionades, la de per defecte
<userinput>cbc-essiv:sha256</userinput> és en aquest moment la menys
vulnerable a atacs coneguts. Utilitzeu altres alternatives tan
sols quan necessiteu assegurar la compatibilitat amb un sistema 
prèviament instal·lat que no pot utilitzar algorismes nous.

</para></listitem>
</varlistentry>

<varlistentry>
<term>Clau de xifrat: <userinput>Contrasenya</userinput></term>

<listitem><para>

Ací podeu escollir el tipus de clau de xifrat per aquesta partició.

 <variablelist>
 <varlistentry>
 <term>Contrasenya</term>
 <listitem><para>

La clau de xifrat serà computada<footnote>
<para>

Utilitzar una contrasenya com a clau significa en aquest moment que la
partició es prepararà utilitzant <ulink url="&url-luks;">LUKS</ulink>.

</para></footnote> en base a la contrasenya que us permetrà entrar desprès
en el procés.

 </para></listitem>
 </varlistentry>

 <varlistentry>
 <term>Clau aleatòria</term>
 <listitem><para>

Es generarà una nova clau de xifrat des de dades aleatòries cada vegada
que proveu creeu una partició xifrada. En altres paraules: cada vegada que 
tanqueu, el contingut de la partició es perdrà ja que la clau s'esborra de
la memòria. (Per suposat, podeu intentar de aconseguir la clau amb un
atac de força bruta, per`a no ser que tinga una debilitat desconeguda al
algoritme de xifrat, no és pot aconseguir en tota la nostra vida completa.)

 </para><para>

Les claus aleatòries son útils per particions d'intercanvi ja que no necessiteu
molestar-vos amb recordar la contrasenya o esborrar informació sensible
de la partició d'intercanvi abans d'apagar el vostre ordinador.
Per altra banda, això significa també que <emphasis>no</emphasis> 
podreu utilitzar la funcionalitat <quote>suspendre a disc</quote>
que donen els nous nuclis ja que serà impossible (a les arrencades següents)
recuperar les dades suspeses escrites a la partició d'intercanvi.

 </para></listitem>
 </varlistentry>
 </variablelist>

</para></listitem>
</varlistentry>

<varlistentry>
<term>Esborrar dades: <userinput>sí</userinput></term>

<listitem><para>

Determina si el contingut d'aquesta partició ha de ser sobreescrit amb
dades aleatòries abans de configurar el xifrat. Açò es recomana ja
que d'altra manera seria possible per un atacant diferenciar quines parts
de la partició estan en ús i quines no. Addicionalment, açò farà més difícil
recuperar qualsevol residu de dades de instal·lacions prèvies<footnote><para>

Es creu que els de les agències amb tres lletres poden recuperar les dades
inclòs després de vàries reescriptures a mitjans magnetoòptics.

</para></footnote>.

</para></listitem>
</varlistentry>

</variablelist>

</para><para>

Si seleccioneu <menuchoice> <guimenu>Mètode de xifrat:</guimenu>
<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, els canvis
al menú mostraran les opcions següents:


<variablelist>
<varlistentry>
<term>Xifrat: <userinput>AES256</userinput></term>

<listitem><para>

Pel loop-AES, a diferència de dm-crypt, les opcions de xifrat i la mida
de la clau es combinen, així que podeu seleccionar els dos al mateix temps.
Llegiu les seccions posteriors i les mides de les claus per més informació.

</para></listitem>
</varlistentry>

<varlistentry>
<term>Clau de xifrat: <userinput>Fitxer de claus (GnuPG)</userinput></term>

<listitem><para>

Ací podeu seleccionar el tipus de clau de xifrat per aquesta partició.		

 <variablelist>
 <varlistentry>
 <term>Fitxer de claus (GnuPG)</term>
 <listitem><para>

La clau de xifrat es generarà des de dades aleatòries a la 
instal·lació. �s més, aquesta clau es xifrarà amb
<application>GnuPG</application>, així que per utilitzar-la, necessitareu
de la contrasenya adequada (se us demanarà que en doneu una després al
procés).

 </para></listitem>
 </varlistentry>

 <varlistentry>
 <term>Clau aleatòria</term>
 <listitem><para>

Vegeu la secció anterior sobre claus aleatòries.

 </para></listitem>
 </varlistentry>
 </variablelist>

</para></listitem>
</varlistentry>

<varlistentry>
<term>Esborrar dades: <userinput>sí</userinput></term>

<listitem><para>

Vegeu la secció anterior sobre esborrat de dades.		

</para></listitem>
</varlistentry>

</variablelist>

</para><note><para>

Adoneu-vos que la versió <emphasis>gr fica</emphasis> de 
l'instal·lador encara té algunes limitacions comparat a la versió de
text. Pel xifrat significa que podeu configurar tan sols volums utilitzant
<emphasis>contrasenyes</emphasis> com a claus de xifrat.

</para></note><para>


Després de seleccionar els paràmetres desitjats per les vostres 
particions xifrades, tornar al menú principal de particionament.
Allí hauríeu de trobar ara un nou element del menú que es diu
<guimenu>Configurar volums xifrats</guimenu>. Després de seleccionar-lo,
se us preguntara de confirmar l'esborrat de dades a les particions
marcades per esborrar i possiblement altres accions com escriure una
nova taula de particions. per grans particions, açò podria tardar un temps.

</para><para>

A continuació se us demanarà d'introduir una contrasenya per particions
configurades per utilitzar-la. Bones contrasenyes haurien de tenir més de
8 caràcters, mescla de lletres, nombres i altes caràcters i no
hauria de contenir paraules comuns al diccionari o informació fàcilment
associada amb tu (com aniversaris, aficions, noms de mascotes, noms de
familiars o parents, etc.).

</para><warning><para>

Abans d'introduir cap contrasenya, hauríeu d'assegurar-vos que el vostre
teclat està correctament configurat i que genera els caràcters esperats. Si
no esteu segurs, canvieu a una segona consola virtual i escriviu alguna
cosa l'indicador del sistema. Açò assegurarà que després no tindreu
sorpreses, p.e. escollint introduir una contrasenya utilitzant una disposició
de teclat qwerty quan heu utilitzat una disposició azerty a la instal·lació.
Aquesta situació pot tenir diverses causes. Pot ser vau canviar a un altra 
disposició de teclat al llarg de la instal·lació, o la disposició de teclat
seleccionada no s'hauria configurat quan esteu introduint la contrasenya pel
sistema de fitxers arrel.

</para></warning><para>

Si trieu utilitzar altres mètodes apart de una contrasenya per crear
claus de xifrat, es generarà ara. Com que el nucli no ha recollit
suficient entropia en aquest punt de la instal·lació, el procés pot
ser molt llarg. Podeu accelerar el procés generant entropia: p.e.
prement tecles aleatòriament, o canviat a una segona consola virtual
i generant algun tràfic de xarxa i tràfic de disc (descarregant fitxers,
alimentant amb grans fitxers a <filename>/dev/null</filename>, etc.)

<!-- TODO: Mention hardware random generators when we will support
     them -->

Açò es repetirà per cada partició per xifrar-se.     

</para><para>

Després de tornar al menú principal de particionament, voreu tots
els volums xifrats com particions addicionals que es poden configurar
de la mateixa forma que les particions normals. L'exemple següent mostra
dos volums distints. El primer està xifrat amb dm-crypt, el segon amb
loop-AES.

<informalexample><screen>
Volum xifrat (<replaceable>crypt0</replaceable>) - 115.1 GB Linux device-mapper
     #1 115.1 GB  F ext3

Loopback (<replaceable>loop0</replaceable>) - 515.2 MB AES256 fitxer de clau
     #1 515.2 MB  F ext3
</screen></informalexample>

Ara és el moment d'assignar punts de muntatge als volums i opcionalment
canviar els tipus de sistema de fitxers si el tipus per defecte no us convé.

</para><para>

Una cosa fixar-se ací és que els identificadors entre parèntesis
(<replaceable>crypt0</replaceable>
i <replaceable>loop0</replaceable> en aquest cas) i els punts de
muntatge que heu assignat a cada volum xifrat. Necessitareu aquesta
informació després quan arrenqueu en nou sistema. Les diferències entre un
arranc normal i un procés d'arrencada amb xifrat les voreu després a
<xref linkend="mount-encrypted-volumes"/>.

</para><para>

Quant estigueu satisfets amb l'esquema de particionament, continueu amb la
instal·lació.

</para>
   </sect3>
Reply to: