summaryrefslogtreecommitdiff
path: root/cs/using-d-i/modules/partman-crypto.xml
diff options
context:
space:
mode:
Diffstat (limited to 'cs/using-d-i/modules/partman-crypto.xml')
-rw-r--r--cs/using-d-i/modules/partman-crypto.xml353
1 files changed, 353 insertions, 0 deletions
diff --git a/cs/using-d-i/modules/partman-crypto.xml b/cs/using-d-i/modules/partman-crypto.xml
new file mode 100644
index 000000000..fe785837e
--- /dev/null
+++ b/cs/using-d-i/modules/partman-crypto.xml
@@ -0,0 +1,353 @@
+<!-- $Id$ -->
+<!-- original version: 39224 -->
+
+ <sect3 id="partman-crypto">
+ <title>Nastavení šifrovaných svazků</title>
+<para>
+
+&d-i; umožňuje nastavit šifrované oblasti. Každý soubor, který na
+takovou oblast zapíšete, je na disk zapsán v šifrované podobě. Přístup
+k šifrovaným datům je povolen pouze po zadání <firstterm>přístupové
+fráze</firstterm>, kterou si zvolíte při vytváření šifrované
+oblasti. Takto můžete chránit citlivá data v případě, že někdo ukradne
+váš přenosný počítač nebo pevný disk. Zloděj sice získá fyzický
+přístup k pevnému disku, ale bez znalosti přístupové fráze budou
+šifrovaná data na disku vypadat jako změť náhodných znaků.
+
+</para><para>
+
+Největší smysl má šifrování oblasti s domovskými adresáři, kde se
+nachází vaše soukromá data, a oblasti s odkládacím prostorem, kde
+se mohou dočasně ocitnout citlivá data z operační paměti. Samozřejmě
+vám nic nebrání šifrovat libovolnou jinou oblast, například
+<filename>/var</filename>, kam si ukládají databázové servery své
+databáze, poštovní servery poštu, tiskové servery frontu úloh, nebo
+třeba adresář <filename>/tmp</filename>, kde se mohou nacházet
+potenciálně zajímavá data (dočasné pracovní kopie vašich dokumentů).
+Existují i lidé, kteří si šifrují celý systém. Jedinou výjimkou, která
+musí zůstat nešifrovaná, je oblast obsahující
+<filename>/boot</filename>, protože momentálně neexistuje způsob, jak
+zavést jádro ze šifrované oblasti.
+
+</para><note><para>
+
+Rychlost čtení/zápisu ze šifrovaných oblastí bude o něco nižší než
+rychlost na nešifrovaných oblastech, protože se data musí
+odšifrovat/zašifrovat při každém čtení a zápisu. Konkrétní vliv na
+rychlost závisí na výkonu procesoru, zvolené šifře a délce klíče.
+
+</para></note><para>
+
+Abyste mohli využívat šifrování, musíte vybrat stávající oblast, což
+může být běžná oblast, logický svazek LVM nebo svazek RAID. (Pokud
+ještě oblast neexistuje, musíte ji nejprve vytvořit z dostupného
+volného místa.) V menu pro nastavení oblasti nastavte
+možnost <menuchoice> <guimenu>Použít jako:</guimenu> </menuchoice> na
+hodnotu <guimenuitem>fyzický svazek pro šifrování</guimenuitem>.
+Zbytek menu se poté změní a bude obsahovat několik kryptografických
+nastavení pro danou oblast.
+
+</para><para>
+
+&d-i; podporuje několik způsobů nastavení šifrování. Výchozí
+je <firstterm>dm-crypt</firstterm> (součástí novějších linuxových
+jader, schopný hostit fyzické svazky pro LVM), další se nazývá
+<firstterm>loop-AES</firstterm> (starší, udržovaný mimo jádra).
+Pokud nemáte vážné důvody tak neučinit, doporučujeme použít výchozí
+variantu.
+
+<!-- TODO: link to the "Debian block device encryption guide"
+ once Max writes it :-) -->
+
+</para><para>
+
+Nejprve se podívejme na možnosti, které jsou k dispozici, pro
+šifrování přes <userinput>Device-mapper (dm-crypt)</userinput>. Znovu
+opakujeme: Pokud jste na pochybách, ponechejte výchozí hodnoty,
+protože byly zvoleny s ohledem na bezpečnost. Neuvážená kombinace
+voleb může způsobit nízkou kvalitu šifrování, které tak vytváří pouze
+falešný pocit bezpečí.
+
+<variablelist>
+
+<varlistentry>
+<term>Šifrování: <userinput>aes</userinput></term>
+
+<listitem><para>
+
+Touto volbou můžete vybrat šifrovací algoritmus
+(<firstterm>šifru</firstterm>), jež se použije pro šifrování dat na
+dané oblasti. &d-i; nyní podporuje tyto
+šifry: <firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>,
+<firstterm>serpent</firstterm> a <firstterm>twofish</firstterm>.
+Kvalita jednotlivých šifer přesahuje záběr této příručky, nicméně vám
+v rozhodování může pomoci informace, že v roce 2000 byla šifra
+<emphasis>AES</emphasis> zvolena americkým úřadem pro standardizaci
+jako standardní šifrovací algoritmus pro ochranu citlivých dat
+v 21. století.
+
+</para></listitem>
+</varlistentry>
+
+<varlistentry>
+<term>Velikost klíče: <userinput>256</userinput></term>
+
+<listitem><para>
+
+Zde můžete zadat délku šifrovacího klíče. Obvykle platí, že čím delší
+klíč, tím větší odolnost šifry proti útokům. Na druhou stranu také
+delší klíč většinou znamená menší výkon (výjimkou jsou třeba šifry
+blowfish a twofish). Dostupné velikosti klíče se liší v závislosti na
+konkrétní šifře.
+
+</para></listitem>
+</varlistentry>
+
+<varlistentry>
+<term>Algoritmus IV: <userinput>cbc-essiv:sha256</userinput></term>
+
+<listitem><para>
+
+<firstterm>Inicializační vektor</firstterm> nebo též algoritmus
+<firstterm>IV</firstterm> se používá v kryptografii pro zajištění, že
+aplikováním šifry na stejný <firstterm>nezašifrovaný text</firstterm>
+za použití stejného klíče vždy dostaneme jiný <firstterm>šifrovaný
+text</firstterm>. Cílem je zabránit útočníkovi v odvození informací na
+základě opakujících se vzorků v šifrovaných datech.
+
+</para><para>
+
+Z nabízených alternativ je <userinput>cbc-essiv:sha256</userinput>
+momentálně nejméně zranitelný vzhledem ke známým útokům. Ostatní
+možnosti používejte pouze v případě, kdy potřebujete zaručit zpětnou
+kompatibilitu s dříve instalovaným systémem, který neumí používat
+novější algoritmy.
+
+</para></listitem>
+</varlistentry>
+
+<varlistentry>
+<term>Šifrovací klíč: <userinput>Přístupová fráze</userinput></term>
+
+<listitem><para>
+
+Zde si můžete zvolit typ šifrovacího klíče pro tuto oblast.
+
+ <variablelist>
+ <varlistentry>
+ <term>Přístupová fráze</term>
+ <listitem><para>
+
+Šifrovací klíč bude vypočítán<footnote>
+<para>
+
+Použití přístupové fráze jako klíče momentálně znamená, že oblast bude
+používat <ulink url="&url-luks;">LUKS</ulink>.
+
+</para></footnote> na základě textové fráze, kterou zadáte později.
+
+ </para></listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>Náhodný klíč</term>
+ <listitem><para>
+
+Nový šifrovací klíč bude vytvořen z náhodných dat pokaždé, když se
+pokusíte tuto šifrovanou oblast použít poprvé od startu
+systému. Jinými slovy po každém vypnutí/restartu systému bude obsah
+oblasti ztracen, protože se klíč z oblasti smaže. (Samozřejmě že se
+můžete pokusit uhádnout klíč hrubou silou, ale pokud v šifrovacím
+algoritmu není nějaká neznámá slabina, během našeho života se to
+nepodaří.)
+
+ </para><para>
+
+Náhodné klíče se hodí pro odkládací oblasti, protože se pak nemusíte
+trápit s pamatováním další přístupové fráze, nebo s ručním mazáním dat
+z odkládací oblasti před každým vypnutím počítače. Na druhou stranu to
+také znamená, že <emphasis>nebudete</emphasis> moci využít vlastnost
+<quote>uspání na disk</quote>, která je součástí novějších linuxových
+jader, protože při následujícím startu nebude možno obnovit obsah
+operační paměti, který byl odložen fo odkládací oblasti.
+
+ </para></listitem>
+ </varlistentry>
+ </variablelist>
+
+</para></listitem>
+</varlistentry>
+
+<varlistentry>
+<term>Smazat data: <userinput>ano</userinput></term>
+
+<listitem><para>
+
+Určuje, zda se má před samotným zašifrováním oblasti přepsat její
+obsah náhodnými znaky. Je doporučeno tuto možnost povolit, protože
+jinak by mohl útočník rozpoznat, které části oblasti se používají
+a které ne. Kromě toho tím ztížíte vydolování dat, která mohla v
+oblasti zůstat po předchozí instalaci<footnote><para>
+
+Obecně se ví, že agenti z třípísmenných agentur umí obnovit data z
+magnetooptických médií i po několika přepsáních.
+
+</para></footnote>.
+
+</para></listitem>
+</varlistentry>
+
+</variablelist>
+
+</para><para>
+
+Zvolíte-li pro nastavení šifrování možnost <userinput>Loopback
+(loop-AES)</userinput>, menu se změní následovně:
+
+<variablelist>
+<varlistentry>
+<term>Šifrování: <userinput>AES256</userinput></term>
+
+<listitem><para>
+
+Na rozdíl od dm-cryptu je u loop-AES volba šifry a velkosti klíče
+sloučena do jediné otázky, takže je vybíráte současně. Bližší
+informace o šifrách a velikostech klíčů naleznete v předchozí části.
+
+</para></listitem>
+</varlistentry>
+
+<varlistentry>
+<term>Šifrovací klíč: <userinput>Soubor s klíčem (GnuPG)</userinput></term>
+
+<listitem><para>
+
+Zde si můžete zvolit typ šifrovacího klíče pro tuto oblast.
+
+ <variablelist>
+ <varlistentry>
+ <term>Soubor s klíčem (GnuPG)</term>
+ <listitem><para>
+
+Šifrovací klíč bude vytvořen během instalace z náhodných dat. Tento
+klíč bude dále zašifrován pomocí <application>GnuPG</application>,
+takže abyste jej mohli používat, budete muset zadávat přístupovou
+frázi (budete o ni požádáni později během instalace).
+
+ </para></listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>Náhodný klíč</term>
+ <listitem><para>
+
+Přečtěte si prosím část o náhodných klíčích výše.
+
+ </para></listitem>
+ </varlistentry>
+ </variablelist>
+
+</para></listitem>
+</varlistentry>
+
+<varlistentry>
+<term>Smazat data: <userinput>ano</userinput></term>
+
+<listitem><para>
+
+Přečtěte si prosím část o mazání dat výše.
+
+</para></listitem>
+</varlistentry>
+
+</variablelist>
+
+</para><note><para>
+
+<emphasis>Grafická</emphasis> verze instalačního systému má stále
+nějaká omezení ve srovnání s textovou verzí, což pro kryptografii
+znamená, že zatím můžete vytvářet šifrované svazky, kde se jako
+šifrovací klíče používají <emphasis>přístupové fráze</emphasis>.
+
+</para></note><para>
+
+Po výběru požadovaných parametrů vaší šifrované oblasti se vraťte zpět
+do hlavního rozdělovacího menu, kde by měla nově přibýt položka
+nazvaná <guimenu>Nastavit šifrované svazky</guimenu>. Po jejím výběru
+budete požádáni o povolení smazat data na oblastech, které jste dříve
+označili pro smazání. U větších oblastí může mazání dat trvat poměrně
+dlouho.
+
+</para><para>
+
+Dále budete dotázáni na zadání přístupové fráze (pokud ji používáte).
+Dobrá fráze by měla být delší než 8 znaků, měla by se skládat z
+písmen, číslic a dalších znaků a neměla by obsahovat běžná slova ze
+slovníku nebo informace, které se s vámi dají lehce spojit (jako
+narozeniny, záliby, jména mazlíčků, jména členů rodiny nebo
+příbuzných, apod.).
+
+</para><warning><para>
+
+Než budete zadávat samotnou frázi, měli byste se ujistit, že je
+klávesnice nastavená správně a že generuje očekávané znaky. Může se
+totiž stát, že se během instalace přepnete do jiného klávesového
+rozložení, než budete mít k dispozici v nově nainstalovaném systému.
+Doporučujeme si již dříve vyzkoušet různé klávesy v nějakém textovém
+poli, případně se přepnout na druhou virtuální konzoli a napsat něco
+do příkazového řádku.
+
+</para></warning><para>
+
+Pokud jste zvolili vytvoření šifrovacího klíče z náhodných dat, bude
+nyní vytvořen. Protože během této časné fáze instalace ještě nemusí
+mít jádro nasbíráno dostatek entropie, bude proces trvat hodně
+dlouho. Proces můžete urychlit vytvořením nějaké entropie, například
+mačkáním náhodných kláves, nebo přepnutím do shellu na druhé virtuální
+konzoli a vytvořením síťového či diskového provozu (stahováním
+nějakých souborů, kopírování velkých dat
+do <filename>/dev/null</filename>, apod.).
+
+<!-- TODO: Mention hardware random generators when we will support
+ them -->
+
+</para><para>
+
+To bude zopakováno pro každou oblast označenou pro šifrování.
+
+</para><para>
+
+Po návratu do hlavního rozdělovacího menu uvidíte všechny šifrované
+svazky jako další oblasti, které můžete nastavit úplně stejně jako
+běžné oblasti. Následující příklad ukazuje dva různé svazky. První je
+zašifrovaný pomocí dm-crypt, druhý pomocí loop-AES.
+
+<informalexample><screen>
+Šifrovaný svazek (<replaceable>crypt0</replaceable>) - 115.1 GB Linux device-mapper
+ #1 115.1 GB F ext3
+
+Lokální smyčka (<replaceable>loop0</replaceable>) - 515.2 MB AES256 keyfile
+ #1 515.2 MB F ext3
+</screen></informalexample>
+
+Nyní je čas přiřadit svazkům přípojné body a případně změnit ostatní
+parametry, pokud vám nevyhovují (souborový systém, rezervované bloky,
+atd.).
+
+</para><para>
+
+Jedna věc, kterou byste si zde měli poznačit do budoucna, jsou
+kombinace identifikátorů v závorkách (v tomto
+příkladu <replaceable>crypt0</replaceable>
+a <replaceable>loop0</replaceable>) a přípojných bodů, které jsou ke
+každému šifrovanému svazku připojeny. Tato informace se vám bude hodit
+později, až budete zavádět svůj nový systém. Rozdíly mezi běžným
+zaváděním systému a zaváděním se šifrovanými svazky bude včas popsáno
+v kapitole <xref linkend="mount-encrypted-volumes"/>.
+
+</para><para>
+
+Až budete s rozdělením disku spokojeni, můžete pokračovat v instalaci.
+
+</para>
+ </sect3>
generated by cgit v1.2.3 (git 2.25.1) at 2024-11-05 05:59:33 +0000