diff options
author | Luca Monducci <luca.mo@tiscali.it> | 2019-08-22 21:54:39 +0200 |
---|---|---|
committer | Luca Monducci <luca.mo@tiscali.it> | 2019-08-22 21:54:39 +0200 |
commit | 516768cded67835cd8acc8df36a211677f7269e7 (patch) | |
tree | 3bdaef6d7db0a1cb6a8e7d90e998f978b563d332 /cs/using-d-i/modules/partman-crypto.xml | |
parent | 6764487fd041da7415e44183736426da13af7bda (diff) | |
parent | 1399f4889632f418c0c17b8382cfff3e08e98361 (diff) | |
download | installation-guide-516768cded67835cd8acc8df36a211677f7269e7.zip |
Merge branch 'master' of salsa.debian.org:installer-team/installation-guide
Diffstat (limited to 'cs/using-d-i/modules/partman-crypto.xml')
-rw-r--r-- | cs/using-d-i/modules/partman-crypto.xml | 275 |
1 files changed, 0 insertions, 275 deletions
diff --git a/cs/using-d-i/modules/partman-crypto.xml b/cs/using-d-i/modules/partman-crypto.xml deleted file mode 100644 index 5afb53b45..000000000 --- a/cs/using-d-i/modules/partman-crypto.xml +++ /dev/null @@ -1,275 +0,0 @@ -<!-- $Id$ --> -<!-- original version: 69266 --> - - <sect3 id="partman-crypto"> - <title>Nastavení šifrovaných svazků</title> -<para> - -&d-i; umožňuje nastavit šifrované oblasti. Každý soubor, který na -takovou oblast zapíšete, je na disk zapsán v šifrované podobě. Přístup -k šifrovaným datům je povolen pouze po zadání <firstterm>přístupové -fráze</firstterm>, kterou si zvolíte při vytváření šifrované -oblasti. Takto můžete chránit citlivá data v případě, že někdo ukradne -váš přenosný počítač nebo pevný disk. Zloděj sice získá fyzický -přístup k pevnému disku, ale bez znalosti přístupové fráze budou -šifrovaná data na disku vypadat jako změť náhodných znaků. - -</para><para> - -Největší smysl má šifrování oblasti s domovskými adresáři, kde se -nachází vaše soukromá data, a oblasti s odkládacím prostorem, kde -se mohou dočasně ocitnout citlivá data z operační paměti. Samozřejmě -vám nic nebrání šifrovat libovolnou jinou oblast, například -<filename>/var</filename>, kam si ukládají databázové servery své -databáze, poštovní servery poštu, tiskové servery frontu úloh, nebo -třeba adresář <filename>/tmp</filename>, kde se mohou nacházet -potenciálně zajímavá data (dočasné pracovní kopie vašich dokumentů). -Existují i lidé, kteří si šifrují celý systém. Jedinou výjimkou, která -musí zůstat nešifrovaná, je oblast obsahující -<filename>/boot</filename>, protože momentálně neexistuje způsob, jak -zavést jádro ze šifrované oblasti. - -</para><note><para> - -Rychlost čtení/zápisu ze šifrovaných oblastí bude o něco nižší než -rychlost na nešifrovaných oblastech, protože se data musí -odšifrovat/zašifrovat při každém čtení a zápisu. Konkrétní vliv na -rychlost závisí na výkonu procesoru, zvolené šifře a délce klíče. - -</para></note><para> - -Abyste mohli využívat šifrování, musíte vybrat stávající oblast, což -může být běžná oblast, logický svazek LVM nebo svazek RAID. (Pokud -ještě oblast neexistuje, musíte ji nejprve vytvořit z dostupného -volného místa.) V menu pro nastavení oblasti nastavte -možnost <menuchoice> <guimenu>Použít jako:</guimenu> </menuchoice> na -hodnotu <guimenuitem>fyzický svazek pro šifrování</guimenuitem>. -Zbytek menu se poté změní a bude obsahovat několik kryptografických -nastavení pro danou oblast. - -</para><para> - -&d-i; podporuje šifrování pomocí <firstterm>dm-crypt</firstterm> -(součástí novějších linuxových jader, schopný hostit fyzické svazky -pro LVM). - -<!-- TODO: link to the "Debian block device encryption guide" - once Max writes it :-) --> - -</para><para> - -Podívejme na možnosti, které jsou k dispozici, pro šifrování přes -<userinput>Device-mapper (dm-crypt)</userinput>. Pokud jste na -pochybách, ponechejte výchozí hodnoty, protože byly zvoleny s ohledem -na bezpečnost. Neuvážená kombinace voleb může způsobit nízkou kvalitu -šifrování, které tak vytváří pouze falešný pocit bezpečí. - -<variablelist> - -<varlistentry> -<term>Šifrování: <userinput>aes</userinput></term> - -<listitem><para> - -Touto volbou můžete vybrat šifrovací algoritmus -(<firstterm>šifru</firstterm>), jež se použije pro šifrování dat na -dané oblasti. &d-i; nyní podporuje tyto -šifry: <firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>, -<firstterm>serpent</firstterm> a <firstterm>twofish</firstterm>. -Kvalita jednotlivých šifer přesahuje záběr této příručky, nicméně vám -v rozhodování může pomoci informace, že v roce 2000 byla šifra -<emphasis>AES</emphasis> zvolena americkým úřadem pro standardizaci -jako standardní šifrovací algoritmus pro ochranu citlivých dat -v 21. století. - -</para></listitem> -</varlistentry> - -<varlistentry> -<term>Velikost klíče: <userinput>256</userinput></term> - -<listitem><para> - -Zde můžete zadat délku šifrovacího klíče. Obvykle platí, že čím delší -klíč, tím větší odolnost šifry proti útokům. Na druhou stranu také -delší klíč většinou znamená menší výkon (výjimkou jsou třeba šifry -blowfish a twofish). Dostupné velikosti klíče se liší v závislosti na -konkrétní šifře. - -</para></listitem> -</varlistentry> - -<varlistentry> -<term>Algoritmus IV: <userinput>xts-plain64</userinput></term> - -<listitem><para> - -<firstterm>Inicializační vektor</firstterm> nebo též algoritmus -<firstterm>IV</firstterm> se používá v kryptografii pro zajištění, že -aplikováním šifry na stejný <firstterm>nezašifrovaný text</firstterm> -za použití stejného klíče vždy dostaneme jiný <firstterm>šifrovaný -text</firstterm>. Cílem je zabránit útočníkovi v odvození informací na -základě opakujících se vzorků v šifrovaných datech. - -</para><para> - -Z nabízených alternativ je <userinput>xts-plain64</userinput> -momentálně nejméně zranitelný vzhledem ke známým útokům. Ostatní -možnosti používejte pouze v případě, kdy potřebujete zaručit zpětnou -kompatibilitu s dříve instalovaným systémem, který neumí používat -novější algoritmy. - -</para></listitem> -</varlistentry> - -<varlistentry> -<term>Šifrovací klíč: <userinput>Přístupová fráze</userinput></term> - -<listitem><para> - -Zde si můžete zvolit typ šifrovacího klíče pro tuto oblast. - - <variablelist> - <varlistentry> - <term>Přístupová fráze</term> - <listitem><para> - -Šifrovací klíč bude vypočítán<footnote> -<para> - -Použití přístupové fráze jako klíče momentálně znamená, že oblast bude -používat <ulink url="&url-luks;">LUKS</ulink>. - -</para></footnote> na základě textové fráze, kterou zadáte později. - - </para></listitem> - </varlistentry> - - <varlistentry> - <term>Náhodný klíč</term> - <listitem><para> - -Nový šifrovací klíč bude vytvořen z náhodných dat pokaždé, když se -pokusíte tuto šifrovanou oblast použít poprvé od startu -systému. Jinými slovy po každém vypnutí/restartu systému bude obsah -oblasti ztracen, protože se klíč z oblasti smaže. (Samozřejmě že se -můžete pokusit uhádnout klíč hrubou silou, ale pokud v šifrovacím -algoritmu není nějaká neznámá slabina, během našeho života se to -nepodaří.) - - </para><para> - -Náhodné klíče se hodí pro odkládací oblasti, protože se pak nemusíte -trápit s pamatováním další přístupové fráze, nebo s ručním mazáním dat -z odkládací oblasti před každým vypnutím počítače. Na druhou stranu to -také znamená, že <emphasis>nebudete</emphasis> moci využít vlastnost -<quote>uspání na disk</quote>, která je součástí novějších linuxových -jader, protože při následujícím startu nebude možno obnovit obsah -operační paměti, který byl odložen fo odkládací oblasti. - - </para></listitem> - </varlistentry> - </variablelist> - -</para></listitem> -</varlistentry> - -<varlistentry> -<term>Smazat data: <userinput>ano</userinput></term> - -<listitem><para> - -Určuje, zda se má před samotným zašifrováním oblasti přepsat její -obsah náhodnými znaky. Je doporučeno tuto možnost povolit, protože -jinak by mohl útočník rozpoznat, které části oblasti se používají -a které ne. Kromě toho tím ztížíte vydolování dat, která mohla v -oblasti zůstat po předchozí instalaci<footnote><para> - -Obecně se ví, že agenti z třípísmenných agentur umí obnovit data z -magnetooptických médií i po několika přepsáních. - -</para></footnote>. - -</para></listitem> -</varlistentry> - -</variablelist> - -</para><para> - -Po výběru požadovaných parametrů vaší šifrované oblasti se vraťte zpět -do hlavního rozdělovacího menu, kde by měla nově přibýt položka -nazvaná <guimenu>Nastavit šifrované svazky</guimenu>. Po jejím výběru -budete požádáni o povolení smazat data na oblastech, které jste dříve -označili pro smazání. U větších oblastí může mazání dat trvat poměrně -dlouho. - -</para><para> - -Dále budete dotázáni na zadání přístupové fráze (pokud ji používáte). -Dobrá fráze by měla být delší než 8 znaků, měla by se skládat z -písmen, číslic a dalších znaků a neměla by obsahovat běžná slova ze -slovníku nebo informace, které se s vámi dají lehce spojit (jako -narozeniny, záliby, jména mazlíčků, jména členů rodiny nebo -příbuzných, apod.). - -</para><warning><para> - -Než budete zadávat samotnou frázi, měli byste se ujistit, že je -klávesnice nastavená správně a že generuje očekávané znaky. Může se -totiž stát, že se během instalace přepnete do jiného klávesového -rozložení, než budete mít k dispozici v nově nainstalovaném systému. -Doporučujeme si již dříve vyzkoušet různé klávesy v nějakém textovém -poli, případně se přepnout na druhou virtuální konzoli a napsat něco -do příkazového řádku. - -</para></warning><para> - -Pokud jste zvolili vytvoření šifrovacího klíče z náhodných dat, bude -nyní vytvořen. Protože během této časné fáze instalace ještě nemusí -mít jádro nasbíráno dostatek entropie, bude proces trvat hodně -dlouho. Proces můžete urychlit vytvořením nějaké entropie, například -mačkáním náhodných kláves, nebo přepnutím do shellu na druhé virtuální -konzoli a vytvořením síťového či diskového provozu (stahováním -nějakých souborů, kopírování velkých dat -do <filename>/dev/null</filename>, apod.). - -<!-- TODO: Mention hardware random generators when we will support - them --> - -</para><para> - -To bude zopakováno pro každou oblast označenou pro šifrování. - -</para><para> - -Po návratu do hlavního rozdělovacího menu uvidíte všechny šifrované -svazky jako další oblasti, které můžete nastavit úplně stejně jako -běžné oblasti. Následující příklad ukazuje svazek zašifrovaný pomocí -dm-crypt. - -<informalexample><screen> -Šifrovaný svazek (<replaceable>sda2_crypt</replaceable>) - 115.1 GB Linux device-mapper - #1 115.1 GB F ext3 -</screen></informalexample> - -Nyní je čas přiřadit svazkům přípojné body a případně změnit ostatní -parametry, pokud vám nevyhovují (souborový systém, rezervované bloky, -atd.). - -</para><para> - -Jedna věc, kterou byste si zde měli poznačit do budoucna, jsou -kombinace identifikátorů v závorkách (v tomto příkladu -<replaceable>sda2_crypt</replaceable>) a přípojných bodů, které jsou -ke každému šifrovanému svazku připojeny. Tato informace se vám bude -hodit později, až budete zavádět svůj nový systém. Rozdíly mezi běžným -zaváděním systému a zaváděním se šifrovanými svazky bude včas popsáno -v kapitole <xref linkend="mount-encrypted-volumes"/>. - -</para><para> - -Až budete s rozdělením disku spokojeni, můžete pokračovat v instalaci. - -</para> - </sect3> |