diff options
Diffstat (limited to 'fr/using-d-i')
| -rw-r--r-- | fr/using-d-i/components.xml | 4 | ||||
| -rw-r--r-- | fr/using-d-i/modules/mdcfg.xml | 8 | ||||
| -rw-r--r-- | fr/using-d-i/modules/partman-crypto.xml | 341 |
3 files changed, 349 insertions, 4 deletions
diff --git a/fr/using-d-i/components.xml b/fr/using-d-i/components.xml index 6e94b5366..cb6a111b4 100644 --- a/fr/using-d-i/components.xml +++ b/fr/using-d-i/components.xml @@ -1,5 +1,5 @@ <?xml version="1.0" encoding="ISO-8859-1"?> -<!-- original version: 37253 --> +<!-- original version: 38703 --> <sect1 id="module-details"> <title>Utilisation des composants</title> @@ -73,6 +73,8 @@ périphériques LVM ou RAID, peuvent aussi être menées à bien. &module-partconf.xml; &module-lvmcfg.xml; &module-mdcfg.xml; +&module-partman-crypto.xml; + </sect2> diff --git a/fr/using-d-i/modules/mdcfg.xml b/fr/using-d-i/modules/mdcfg.xml index f5d68d2ee..88e5f5e0f 100644 --- a/fr/using-d-i/modules/mdcfg.xml +++ b/fr/using-d-i/modules/mdcfg.xml @@ -1,5 +1,5 @@ <?xml version="1.0" encoding="ISO-8859-1"?> -<!-- original version: 33725 --> +<!-- original version: 38703 --> <sect3 id="mdcfg"> <title>Configuration d'un périphérique à plusieurs disques (RAID logiciel)</title> @@ -152,8 +152,10 @@ configuration ou d'installation dans un shell. </para></warning> <para> Ensuite, vous choisissez <guimenuitem>Configurer le RAID logiciel</guimenuitem> -dans le menu principal de <command>partman</command>. Dans le premier écran -de <command>mdcfg</command>, sélectionnez +dans le menu principal de <command>partman</command>. +Le menu n'apparaît que si vous avez sélectionné au moins une partition à +utiliser comme <guimenuitem>volume physique pour RAID</guimenuitem>. +Dans le premier écran de <command>mdcfg</command>, sélectionnez <guimenuitem>Créer un périphérique à plusieurs disques</guimenuitem>. Une liste des types acceptés pour ces périphériques est affichée et vous pouvez en choisir un, par exemple RAID1. La suite dépend du type que vous avez choisi. diff --git a/fr/using-d-i/modules/partman-crypto.xml b/fr/using-d-i/modules/partman-crypto.xml new file mode 100644 index 000000000..bf9dec1b6 --- /dev/null +++ b/fr/using-d-i/modules/partman-crypto.xml @@ -0,0 +1,341 @@ +<?xml version="1.0" encoding="ISO-8859-1"?> +<!-- original version: 38703 --> + + <sect3 id="partman-crypto"> + <title>Configuration des volumes chiffrés</title> +<para> + +L'installateur Debian permet le chiffrement des partitions. Tout fichier +destiné à une partition chiffrée est sauvegardé sur le périphérique sous +une forme chiffrée. L'accès aux données chiffrées n'est autorisé qu'après +avoir fourni la <firstterm>phrase de passe</firstterm> qui avait été donnée +lors de la création de la partition chiffrée. Ce mécanisme est utile pour +protéger des données sensibles en cas de vol du portable ou du disque +dur. Le voleur a bien un accès physique au disque dur mais, sans la phrase +de passe, les données ne sont qu'une suite inintelligible de caractères. + +</para><para> + +Le chiffrement est particulièrement important pour deux partitions, la +partition /home avec les données privées et la partition d'échange où +peuvent se trouver stockées temporairement des données sensibles. Bien sûr, +vous pouvez chiffrer n'importe quelle partition, par exemple <filename>/var</filename> +où se trouvent les données des serveurs de base de données, des serveurs de +courrier ou d'impression, <filename>/tmp</filename> avec ses fichiers temporaires, etc. Vous +pouvez même chiffrer le système complet. La seule exception est qu'on ne +peut pas chiffrer la partition <filename>/boot</filename> car il n'existe actuellement aucun +moyen de charger le noyau à partir d'une partition chiffrée. + +</para><note><para> + +Il faut noter que la performance d'une machine avec partitions chiffrées +sera inférieure à celle d'un machine sans. En effet les données doivent être +chiffrées ou déchiffrées à chaque lecture ou écriture. L'impact sur la +performance dépend de la vitesse du processeur, de l'algorithme choisi et de +la longueur de la clé. + +</para></note><para> + +Pour chiffrer une partition, vous devez d'abord la créer, dans le menu de +partitionnement. Une autre possibilité est d'utiliser une partition +existante, par exemple, une partition ordinaire, un volume logique (LVM) ou +un volume RAID. Dans le menu <guimenu>Caractéristiques de la partition</guimenu>, +vous devez modifier la première option pour qu'elle +affiche <menuchoice> <guimenu>Utiliser comme :</guimenu> <guimenuitem>volume +physique à chiffrer</guimenuitem></menuchoice>. Le menu affichera alors +différentes options de chiffrement pour la partition. + +</para><para> + +L'installateur debian propose plusieurs méthodes de chiffrement. Par défaut, +la méthode est <firstterm>dm-crypt</firstterm>, qui fait partie des noyaux +linux récents, et qui peut gérer les volumes LVM. Un autre méthode est +<firstterm>loop-AES</firstterm>, plus ancienne et maintenue en marge du + +<!-- TODO: link to the "Debian block device encryption guide" + once Max writes it :-) --> + +</para><para> + +Voyons tout d'abord les options disponibles quand on a sélectionné la +méthode de chiffrement <userinput>Device-mapper (dm-crypt)</userinput>. Et +bien sûr, en cas de doute, il faut utiliser les options par défaut car elles +ont été choisies en visant la sécurité. + +<variablelist> + +<varlistentry> +<term>Chiffrement : <userinput>aes</userinput</term> + +<listitem><para> + +Cette option permet de choisir l'algorithme de chiffrement +(<firstterm>cipher</firstterm>) qui servira à chiffrer les données de la +partition. Actuellement l'installateur debian accepte les algorithmes de type +bloc suivants : <firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>, +<firstterm>serpent</firstterm> et <firstterm>twofish</firstterm>. Nous ne +discuterons pas ici de la qualité de ces différents algorithmes. Cependant, +il peut être utile de savoir que l'algorithme <emphasis>AES</emphasis> a été +choisi en 2000 par l'<quote>American National Institute of Standards and +Technology</quote> pour la protection des données sensibles au 21e siècle. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Taille de clé : <userinput>256</userinput></term> + +<listitem><para> + +Vous pouvez choisir ici la taille de la clé de chiffrement. Plus la taille +de la clé est grande, plus la force du chiffrement est augmentée. Cependant +la taille de la clé a un impact négatif sur la performance. Les différentes +tailles de clé dépendent de l'algorithme de chiffrement. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Algorithme IV : <userinput>cbc-essiv:sha256</userinput></term> + +<listitem><para> + +L'algorithme de type <firstterm>Initialization Vector</firstterm> ou +<firstterm>IV</firstterm> assure que si l'on applique l'algorithme sur le +même <firstterm>texte en clair</firstterm> avec la même clé, on obtiendra +toujours un seul <firstterm>texte chiffré</firstterm>. L'idée est d'empêcher +la déduction d'information à partir de motifs répétés dans les données +chiffrées. + +</para><para> + +De toutes ces alternatives, l'option par défaut +<userinput>cbc-essiv:sha256</userinput> est actuellement la moins vulnérable +aux attaques connues. Ne choisissez les autres options que pour assurer la +compatibilité avec des systèmes déjà installées qui ne reconnaissent pas les +nouveaux algorithmes. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Clé de chiffrement : <userinput>Phrase de passe</userinput></term> + +<listitem><para> + +Vous pouvez choisir ici le type de la clé de chiffrement pour cette partition. + + <variablelist> + <varlistentry> + <term>Phrase de passe</term> + <listitem><para> + +La clé de chiffrement sera calculée <footnote> +<para> + +L'utilisation d'une phrase comme clé signifie que la partition sera créée +avec <ulink url="&url-luks;">LUKS</ulink>. + +</para></footnote>à partir d'une phrase que vous pourrez saisir plus tard dans le +processus. + + </para></listitem> + </varlistentry> + + <varlistentry> + <term>Clé aléatoire</term> + <listitem><para> + +Une nouvelle clé est calculée avec des données aléatoires chaque fois que la +partition chiffrée est montée. En d'autres termes, à chaque arrêt de la +machine le contenu de la partition est perdu car la clé est supprimée de la +mémoire. On pourrait essayer de deviner la clé au moyen d'une attaque de +type force brute, mais, à moins d'une faiblesse non connue de l'algorithme, +une vie entière n'y suffirait pas. + + </para><para> + +Les clés aléatoires vont bien avec les partitions d'échange car vous n'avez +pas besoin de vous embêter à mémoriser une phrase de passe ou à effacer des +données sensibles de la partition d'échange avant d'éteindre la +machine. Cependant cela signifie que vous ne pourrez pas utiliser la +fonctionnalité <quote>suspend-to-disk</quote> qu'offrent les noyaux linux +récents. Il est en effet impossible (pendant le redémarrage) de récupérer +les données écrites sur la partition d'échange. + + </para></listitem> + </varlistentry> + </variablelist> + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Effacer les données : <userinput>oui</userinput></term> + +<listitem><para> + +Cette option détermine si le contenu de la partition doit être rempli de +données aléatoires avant le début du chiffrement. Cette opération est +recommandée car un attaquant pourrait sinon discerner quelles parties de la +partition sont actives et lesquelles ne le sont pas. De plus cela rendra plus +difficile de récupérer des données laissées par des installations +précédentes <footnote><para> + +Nous pensons cependant que certains types appartenant aux agences spécialisées comme la +CIA peuvent récupérer des données même après plusieurs écritures d'un +support magnétooptique. + +</para></footnote>. + +</para></listitem> +</varlistentry> + +</variablelist> + +</para><para> + +Si vous choisissez <menuchoice> <guimenu>Méthode de chiffrement :</guimenu> +<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, le menu offre +alors les options suivantes : + + +<variablelist> +<varlistentry> +<term>Chiffrement : <userinput>AES256</userinput></term> + +<listitem><para> + +Pour loop-AES, contrairement à dm-crypt, les options algorithme et clé sont +combinées et vous pouvez les choisir en même temps. Veuillez consulter les +sections suivantes sur les algorithmes et les clés pour d'autres +informations. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Clé de chiffrement : <userinput>Keyfile (GnuPG)</userinput></term> + +<listitem><para> + +Vous pouvez choisir ici le type de la clé pour cette partition. + + <variablelist> + <varlistentry> + <term>Keyfile (GnuPG)</term> + <listitem><para> + +La clé de chiffrement sera créée avec des données aléatoires pendant +l'installation. Cette clé sera chiffrée avec +<application>GnuPG</application>, et pour l'utiliser, vous devrez saisir +votre phrase de passe (elle vous sera demandée plus tard dans le processus). + + </para></listitem> + </varlistentry> + + <varlistentry> + <term>Clé aléatoire</term> + <listitem><para> + +Veuillez consulter la section sur les clés aléatoires ci-dessus. + + </para></listitem> + </varlistentry> + </variablelist> + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Effacer les données : <userinput>oui</userinput></term> + +<listitem><para> + +Veuillez consulter la section sur la suppression des données ci-dessous. + +</para></listitem> +</varlistentry> + +</variablelist> + +</para><note><para> + +L'installateur en version <emphasis>graphique</emphasis> est plus limité que +l'installateur standard en mode texte. En ce qui concerne la cryptographie, vous ne pouvez +configurer de volumes qu'en utilisant une <emphasis>phrase de +passe</emphasis> comme clé de chiffrement. + +</para></note><para> + + +Après avoir choisi les paramètres des partitions chiffrées, vous pouvez +revenir dans le menu de partitionnement. Une entrée <guimenu>Configuration +des volumes chiffrés</guimenu> devrait être présente. Quand vous la +sélectionnez, on vous demande de confirmer la suppression des données sur +les partitions à supprimer ainsi que d'autres actions comme l'écriture d'une +nouvelle table des partitions. Pour les grandes partitions, cela peut +prendre du temps. + +</para><para> + +On vous demandera ensuite de saisir une phrase pour les partitions qui en +utilisent. Une bonne phrase doit contenir plus de huit caractères, mélanger +les lettres, les chiffres et les autres caractères, ne pas comporter des mots +du dictionnaire ou des informations personnelles (comme dates de naissance, +loisirs, petits noms, noms des membres de la famille ou des amis, etc.). + +</para><warning><para> + +Avant de saisir une phrase, vous devez être sûr que le clavier est +correctement configuré et affiche bien les caractères attendus. Si ce n'est +pas le cas, vous pouvez passer sur la deuxième console et saisir quelques +caractères. Cela vous évitera de saisir une phrase avec un clavier configuré +en <quote>qwerty</quote> alors qu'à l'installation vous l'aviez configuré en +<quote>azerty</quote>. Cette situation peut avoir plusieurs causes. Vous +avez changé de carte clavier pendant l'installation ou bien la carte clavier +n'est pas encore configurée au moment où vous saisissez la phrase de passe +pour le système de fichiers racine. + +</para></warning><para> + +Si vous avez choisi une méthode sans phrase de passe pour créer une clé de +chiffrement, la clé sera créée maintenant. Comme le noyau, à ce stade de +l'installation, peut manquer d'entropie, cela peut prendre du temps. Vous +pouvez accélérer le processus en pressant des touches au hasard ou en +passant sur la deuxième console et en créant du trafic réseau ou disque +(télécharger des fichiers, envoyer des fichiers sur /dev/null, etc.). +L'opération est répétée pour chaque partition à chiffrer. + +</para><para> + +De retour dans le menu principal de partitionnement, vous pourrez voir tous +les volumes chiffrés listés comme partitions supplémentaires que vous pouvez +configurer de la même façon que des partitions ordinaires. L'exemple suivant +montre deux volumes différents, l'un chiffré avec dm-cript, l'autre avec +loop-AES. +<informalexample><screen> +Volume chiffré (<replaceable>crypt0</replaceable>) - 115.1 Go Linux device-mapper + #1 115.1 Go F ext3 + +Loopback (<replaceable>loop0</replaceable>) - 515.2 Mo AES256 keyfile + #1 515.2 Mo F ext3 +</screen></informalexample> C'est le moment d'affecter des points de montages aux +volumes et de modifier le type des systèmes de fichiers si le type par +défaut ne vous convient pas. + +</para><para> + +Notez bien les identifiants entre parenthèses +(<replaceable>crypt0</replaceable> et <replaceable>loop0</replaceable> dans +ce cas) et le point de montage affecté à chaque volume chiffré. Vous aurez +besoin de ces informations quand vous amorcerez le nouveau système. Les +différences entre un processus de démarrage ordinaire et un processus impliquant +des questions de chiffrement seront abordées dans <xref linkend="mount-encrypted-volumes"/>. + +</para><para> + +Une fois satisfait du schéma de partitionnement, vous pouvez poursuivre l'installation. + +</para> + </sect3> |