Hallo Mario,
On Sat, Mar 19, 2022 at 08:24:17AM +0100, Mario Blättermann wrote:
> #. type: Plain text
> #: archlinux debian-bullseye debian-unstable fedora-36 fedora-rawhide
> #: mageia-cauldron
> msgid ""
> "When specified with the B<encrypt> command controls the encryption key to use"
> "\\&. Takes one of \"host\", \"tpm2\", \"host+tpm2\" or \"auto\"\\&. See "
> "above for details on the three key types\\&. If set to \"auto\" (which is "
> "the default) the TPM2 key is used if a TPM2 device is found and not running "
> "in a container\\&. The host key is used if /var/lib/systemd/ is on "
> "persistent media\\&. This means on typical systems the encryption is by "
> "default bound to both the TPM2 chip and the OS installation, and both need "
> "to be available to decrypt the credential again\\&. If \"auto\" is selected "
> "but neither TPM2 is available (or running in container) nor /var/lib/"
> "systemd/ is on persistent media, encryption will fail\\&."
> msgstr ""
> "Steuert den zu verwendenden Verschlüsselungsschlüssel, wenn dies zusammen "
> "mit dem Befehl B<encrypt> angegeben wird\\&. Akzeptiert entweder »host«, "
> "»tpm2«, »host+tpm2« oder »auto«\\&. Siehe oben für Details über die drei "
> "Schlüsseltypen\\&. Falls auf »auto« gesetzt (die Vorgabe), wird der TPM2-"
> "Schlüssel verwandt, falls ein TPM2-Gerät gefunden und die Ausführung nicht "
> "in einem Container ist\\&. Der Rechnerschlüssel wird verwandt, falls /var/"
> "lib/systemd/ auf einem dauerhaften Medium ist\\&. Dies bedeutet, dass auf "
> "typischen Systemen die Verschlüsselung standardmäßig sowohl an den TPM2-Chip "
> "als auch die Betriebssysteminstallation gebunden ist und beide verfügbar "
> "sein müssen, um die Zugangsberechtigung wieder zu entschlüsseln\\&. Falls "
> "»auto« ausgewählt ist und weder ein TPM2 verfügbar ist (oder die Ausführung "
> "in einem Container stattfindet) noch /var/lib/systemd/ auf dauerhaftem "
> "Medium vorhanden ist, wird die Verschlüsselung fehlschlagen\\&."
>
> FIXME /var/lib/systemd/ → I</var/lib/systemd/>
Darüber habe ich tatsächlich nachgedacht. Systemd macht das allerdings
durchgehend nicht, wir haben es bisher nie angemerkt (mir ist es auch
erst vor kurzem aufgefallen). Sie sind da auch sehr systematisch drin,
soweit ich das geprüft habe. Deshalb hatte ich davon Abstand genommen.
Oder sollten wir das grundsätzlich mal ansprechen?
> #. type: Plain text
> #: archlinux debian-bullseye debian-unstable fedora-36 fedora-rawhide
> #: mageia-cauldron
> msgid ""
> "When encrypting credentials that shall be used in the initial RAM disk "
> "(initrd) where /var/lib/systemd/ is typically not available make sure to use "
> "B<--with-key=tpm2> mode, to disable binding against the host secret\\&."
> msgstr ""
> "Bei der Verschlüsselung von Zugangsberechtigungen, die in der anfänglichen "
> "RAM-Platte (Initrd) verwandt werden sollen, bei der /var/lib/systemd/ "
> "typischerweise nicht verfügbar ist, sollte der Modus B<--with-key=tpm2> "
> "sichergestellt werden, um die Anbindung an das Rechnergeheimnis auszuschalten"
> "\\&."
>
> FIXME /var/lib/systemd/ → I</var/lib/systemd/>
s.o.
> #. type: Plain text
> #: archlinux debian-bullseye debian-unstable fedora-36 fedora-rawhide
> #: mageia-cauldron
> msgid ""
> "Controls the TPM2 device to use\\&. Expects a device node path referring to "
> "the TPM2 chip (e\\&.g\\&. /dev/tpmrm0)\\&. Alternatively the special value "
> "\"auto\" may be specified, in order to automatically determine the device "
> "node of a suitable TPM2 device (of which there must be exactly one)\\&. The "
> "special value \"list\" may be used to enumerate all suitable TPM2 devices "
> "currently discovered\\&."
> msgstr ""
> "Steuert das zu verwendende TPM2-Gerät\\&. Erwartet einen Geräteknotenpfad, "
> "der sich auf einen TPM2-Chip bezieht (z\\&.B\\&. /dev/tpmrm0)\\&. Alternativ "
> "kann der besondere Wert »auto« angegeben werden, um den Geräteknoten eines "
> "geeigneten TPM2-Gerätes automatisch zu bestimmen (von denen es genau einen "
> "geben darf)\\&. Der besondere Wert »list« kann zum Aufzählen aller derzeit "
> "ermittelten geeigneten TPM2-Geräte verwandt werden\\&."
>
> FIXME /dev/tpmrm0 → I< /dev/tpmrm0>
s.o.
> #. type: Plain text
> #: archlinux debian-bullseye debian-unstable fedora-36 fedora-rawhide
> #: mageia-cauldron
> msgid ""
> "The following command line encrypts the specified password \"hunter2\", "
> "writing the result to a file password\\&.cred\\&."
> msgstr ""
> "Die folgende Befehlszeile verschlüsselt das angegebene Passwort »hunter2« "
> "und schreibt das Ergebnis in eine Datei password\\&.cred\\&."
>
> FIXME password\\&.cred → I<password\\&.cred>
s.o.
> #. type: Plain text
> #: archlinux debian-bullseye debian-unstable fedora-36 fedora-rawhide
> #: mageia-cauldron
> msgid ""
> "This decrypts the file password\\&.cred again, revealing the literal "
> "password:"
> msgstr ""
> "Dies entschlüsselt die Datei password\\&.cred wieder und legt damit das "
> "eigentliche Passwort offen:"
>
> FIXME password\\&.cred → I<password\\&.cred>
s.o.
> #. type: Plain text
> #: archlinux debian-bullseye debian-unstable fedora-36 fedora-rawhide
> #: mageia-cauldron
> #, no-wrap
> msgid ""
> "# systemd-ask-password -n | systemd-creds encrypt
> --name=mysql-password -p - -\n"
> "🔐 Password: ****\n"
> "SetCredentialEncrypted=mysql-password: \\e\n"
> " k6iUCUh0RJCQyvL8k8q1UyAAAAABAAAADAAAABAAAAASfFsBoPLIm/dlDoGAAAAAAAAAA
> \\e\n"
> " NAAAAAgAAAAAH4AILIOZ3w6rTzYsBy9G7liaCAd4i+Kpvs8mAgArzwuKxd0ABDjgSeO5k
> \\e\n"
> " mKQc58zM94ZffyRmuNeX1lVHE+9e2YD87KfRFNoDLS7F3YmCb347gCiSk2an9egZ7Y0Xs
> \\e\n"
> " 700Kr6heqQswQEemNEc62k9RJnEl2q7SbcEYguegnPQUATgAIAAsAAAASACA/B90W7E+6
> \\e\n"
> " yAR9NgiIJvxr9bpElztwzB5lUJAxtMBHIgAQACCaSV9DradOZz4EvO/LSaRyRSq2Hj0ym
> \\e\n"
> " gVJk/dVzE8Uxj8H3RbsT7rIBH02CIgm/Gv1ukSXO3DMHmVQkDG0wEciyageTfrVEer8z5
> \\e\n"
> " 9cUQfM5ynSaV2UjeUWEHuz4fwDsXGLB9eELXLztzUU9nsAyLvs3ZRR+eEK/A==\n"
> msgstr ""
> "# systemd-ask-password -n | systemd-creds encrypt
> --name=mysql-password -p - -\n"
> "🔐 Password: ****\n"
> "SetCredentialEncrypted=mysql-password: \\e\n"
> " k6iUCUh0RJCQyvL8k8q1UyAAAAABAAAADAAAABAAAAASfFsBoPLIm/dlDoGAAAAAAAAAA
> \\e\n"
> " NAAAAAgAAAAAH4AILIOZ3w6rTzYsBy9G7liaCAd4i+Kpvs8mAgArzwuKxd0ABDjgSeO5k
> \\e\n"
> " mKQc58zM94ZffyRmuNeX1lVHE+9e2YD87KfRFNoDLS7F3YmCb347gCiSk2an9egZ7Y0Xs
> \\e\n"
> " 700Kr6heqQswQEemNEc62k9RJnEl2q7SbcEYguegnPQUATgAIAAsAAAASACA/B90W7E+6
> \\e\n"
> " yAR9NgiIJvxr9bpElztwzB5lUJAxtMBHIgAQACCaSV9DradOZz4EvO/LSaRyRSq2Hj0ym
> \\e\n"
> " gVJk/dVzE8Uxj8H3RbsT7rIBH02CIgm/Gv1ukSXO3DMHmVQkDG0wEciyageTfrVEer8z5
> \\e\n"
> " 9cUQfM5ynSaV2UjeUWEHuz4fwDsXGLB9eELXLztzUU9nsAyLvs3ZRR+eEK/A==\n"
>
> Die Zeile "🔐 Password: ****\n" enthält ein nicht darstellbares
> Zeichen, das irgendwann problematisch werden könnte, ähnlich wie das
> in grub-mknetdir.1. Es findet sich auch im XML-Quellcode der
> Handbuchseite [1], ist also kein Konvertierungsfehler von Po4a. Laut
> KDE-Zeichentabelle ist es das UTF8-Zeichen U+1F510 (CLOSED LOCK WITH
> KEY). Wie auch immer es dahin gelangt ist, gebraucht wird es
> sicherlich nicht.
Soll ich ein FIXME setzen?
Alles andere so oder sehr ähnlich übernommen.
Vielen Dank fürs Korrekturlesen dieses doch etwas drögeren Textes.
Viele Grüße
Helge
--
Dr. Helge Kreutzmann debian@helgefjell.de
Dipl.-Phys. http://www.helgefjell.de/debian.php
64bit GNU powered gpg signed mail preferred
Help keep free software "libre": http://www.ffii.de/
Attachment:
signature.asc
Description: PGP signature