diff options
Diffstat (limited to 'it/using-d-i')
-rw-r--r-- | it/using-d-i/modules/partman-crypto.xml | 326 |
1 files changed, 305 insertions, 21 deletions
diff --git a/it/using-d-i/modules/partman-crypto.xml b/it/using-d-i/modules/partman-crypto.xml index 6377c9ebb..a47f14cd5 100644 --- a/it/using-d-i/modules/partman-crypto.xml +++ b/it/using-d-i/modules/partman-crypto.xml @@ -1,10 +1,12 @@ <!-- retain these comments for translator revision tracking --> -<!-- original version: 39224 untranslated --> +<!-- original version: 39224 --> <sect3 id="partman-crypto"> - <title>Configuring Encrypted Volumes</title> + <!-- <title>Configuring Encrypted Volumes</title> --> + <title>Configurazione di volumi cifrati</title> <para> +<!-- &d-i; allows you to set up encrypted partitions. Every file you write to such a partition is immediately saved to the device in encrypted form. Access to the encrypted data is granted only after entering @@ -14,9 +16,21 @@ sensitive data in case your laptop or hard drive gets stolen. The thief might get physical access to the hard drive, but without knowing the right passphrase, the data on the hard drive will look like random characters. +--> + +&d-i; consente di preparare delle partizioni cifrate; ogni file scritto su +partizioni di questo tipo viene immediatamente salvato sul device usando +un formato cifrato. L'accesso ai dati cifrati è permesso solo dopo aver +inserito la <firstterm>passphrase</firstterm> scelta alla creazione della +partizione cifrata. Questa funzionalità è utile per proteggere i dati +sensibili nel caso di furto del proprio portatile o del proprio disco +fisso, il ladro potrebbe avere accesso fisico al disco fisso ma senza +conoscere la passphrase corretta, i dati sul disco risultano essere una +sequenza casuale di caratteri. </para><para> +<!-- The two most important partitions to encrypt are: the home partition, where your private data resides, and the swap partition, where sensitive data might be stored temporarily during operation. Of @@ -29,16 +43,37 @@ encrypt their whole system. The only exception is the <filename>/boot</filename> partition which must remain unencrypted, because currently there is no way to load the kernel from an encrypted partition. +--> + +Le partizioni più importanti da cifrare sono: la partizione home, in cui +risiedono i dati privati, e la partizione di swap, in cui durante la normale +attività potrebbero essere temporaneamente memorizzati dei dati sensibili. +Ovviamente nulla vieta di cifrare qualsiasi altra partizione. Per esempio +in <filename>/var</filename> i database server, i mail server o i print +server salvano i propri dati, oppure <filename>/tmp</filename> è usata da +vari programmi per memorizzare dei file temporanei potenzialmente importanti. +Si potrebbe anche voler cifrare l'intero sistema; l'unica partizione che +deve rimanere non cifrata è la <filename>/boot</filename> perché, al +momento, non c'è modo di caricare il kernel da una partizione cifrata. </para><note><para> +<!-- Please note that the performance of encrypted partitions will be less than that of unencrypted ones because the data needs to be decrypted or encrypted for every read or write. The performance impact depends on your CPU speed, chosen cipher and a key length. +--> + +Le prestazioni di una partizione cifrata sono inferiori rispetto a quelle +di una partizione tradizionale perché i dati devono essere decifrati o +cifrati a ogni lettura o scrittura. L'impatto sulle prestazioni dipende +dalla velocità della CPU, dal cifrario scelto e dalla lunghezza della +chiave. </para></note><para> +<!-- To use encryption, you have to create a new partition by selecting some free space in the main partitioning menu. Another option is to choose an existing partition (e.g. a regular partition, an LVM logical @@ -47,33 +82,64 @@ menu, you need to select <guimenuitem>physical volume for encryption</guimenuitem> at the <menuchoice> <guimenu>Use as:</guimenu> </menuchoice> option. The menu will then change to include several cryptographic options for the partition. +--> + +Per usare la cifratura è necessario creare una nuova partizione dopo aver +selezionato dello spazio libero dal menu principale di partizionamento. +Un'altra possibilità è selezionare una partizione esistente (per esempio +una normale partizione, un volume logico di LVM o un volume RAID). Dal +menu <guimenu>Impostazioni della partizione</guimenu> si deve scegliere +<guimenuitem>volume fisico per la cifratura</guimenuitem> come valore del +campo <menuchoice> <guimenu>Usato come:</guimenu> </menuchoice>. Il menu +cambia in modo da visualizzare le opzioni relative a come cifrare la +partizione. </para><para> +<!-- &d-i; supports several encryption methods. The default method is <firstterm>dm-crypt</firstterm> (included in newer Linux kernels, able to host LVM physical volumes), the other is <firstterm>loop-AES</firstterm> (older, maintained separately from the Linux kernel tree). Unless you have compelling reasons to do otherwise, it is recommended to use the default. +--> <!-- TODO: link to the "Debian block device encryption guide" once Max writes it :-) --> +&d-i; supporta più metodi di cifratura. Il metodo predefinito è +<firstterm>dm-crypt</firstterm> (incluso nei nuovi kernel Linux +e in grado di ospitare volumi fisici per LVM), l'altro metodo è +<firstterm>loop-AES</firstterm> (più vecchio e manutenuto +separatamente dai sorgenti del kernel Linux). Se non esistono +ragioni impellenti per fare altrimenti si raccomanda di utilizzare +il metodo predefinito. + </para><para> +<!-- First, let's have a look at available options available when you select <userinput>Device-mapper (dm-crypt)</userinput> as the encryption method. As always: when in doubt, use the defaults, because they have been carefully chosen with security in mind. +--> + +Prima vediamo quali sono le opzioni disponibili quando si sceglie +<userinput>Device-mapper (dm-crypt)</userinput> come metodo di +cifratura. Come al solito: quando si hanno dei dubbi si accettino i +valori predefiniti, poiché sono stati attentamente scelti in funzione +della sicurezza del sistema finale. <variablelist> <varlistentry> -<term>Encryption: <userinput>aes</userinput></term> +<!-- <term>Encryption: <userinput>aes</userinput></term> --> +<term>Cifratura: <userinput>aes</userinput></term> <listitem><para> +<!-- This option lets you select the encryption algorithm (<firstterm>cipher</firstterm>) which will be used to encrypt the data on the partition. &d-i; currently supports the following block @@ -85,29 +151,51 @@ know that in 2000, <emphasis>AES</emphasis> was chosen by the American National Institute of Standards and Technology as the standard encryption algorithm for protecting sensitive information in the 21st century. +--> + +Questa opzione permette di scegliere l'algoritmo di cifratura +(<firstterm>cifrario</firstterm>) da usare per cifrare i dati nella +partizione. Attualmente &d-i; supporta i seguenti cifrari a blocchi: +<firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>, +<firstterm>serpent</firstterm> e <firstterm>twofish</firstterm>. Non +rientra fra gli obiettivi di questo documento discutere le qualità dei +vari algoritmi, comunque può essere utile sapere che nel 2000 +l'<emphasis>American National Institute of Standards and Technology</emphasis> +ha scelto <emphasis>AES</emphasis> come l'algoritmo standard per la protezione +delle informazioni sensibili nel 21-esimo secolo. </para></listitem> </varlistentry> <varlistentry> -<term>Key size: <userinput>256</userinput></term> - +<!-- <term>Key size: <userinput>256</userinput></term> --> +<term>Dimensione della chiave: <userinput>256</userinput></term> <listitem><para> +<!-- Here you can specify the length of the encryption key. With a larger key size, the strength of the encryption is generally improved. On the other hand, increasing the length of the key usually has a negative impact on performance. Available key sizes vary depending on the cipher. +--> + +Si può specificare la lunghezza della chiave di cifratura. Generalmente +una chiave più lunga aumenta la forza della cifratura, d'altra parte +all'aumento della lunghezza della chiave corrisponde un impatto negativo +sulle prestazioni. Le lunghezze disponibili per la chiave dipendono dal +cifrario. </para></listitem> </varlistentry> <varlistentry> -<term>IV algorithm: <userinput>cbc-essiv:sha256</userinput></term> +<!-- <term>IV algorithm: <userinput>cbc-essiv:sha256</userinput></term> --> +<term>Algoritmo di IV: <userinput>cbc-essiv:sha256</userinput></term> <listitem><para> +<!-- The <firstterm>Initialization Vector</firstterm> or <firstterm>IV</firstterm> algorithm is used in cryptography to ensure that applying the cipher on the same <firstterm>clear text</firstterm> @@ -115,55 +203,104 @@ data with the same key always produces a unique <firstterm>cipher text</firstterm>. The idea is to prevent the attacker from deducing information from repeated patterns in the encrypted data. +--> + +In crittografia il <firstterm>Vettore di Inizializzazione</firstterm> o +<firstterm>IV</firstterm> è usato per garantire che applicando l'algoritmo +di cifratura sullo stesso <firstterm>testo in chiaro</firstterm> e con la +stessa chiave si ottenga sempre un unico <firstterm>testo +cifrato</firstterm>. Lo scopo è di impedire a un aggressore di dedurre +informazioni cercando sequenze che si ripetono nei dati cifrati. </para><para> +<!-- From the provided alternatives, the default <userinput>cbc-essiv:sha256</userinput> is currently the least vulnerable to known attacks. Use the other alternatives only when you need to ensure compatibility with some previously installed system that is not able to use newer algorithms. +--> + +Fra le alternative proposte quella predefinita +(<userinput>cbc-essiv:sha256</userinput>) è attualmente la meno vulnerabile +ai tipi di attacco conosciuti. Si può usare una delle alternative solo +dovendo garantire la compatibilità con altri sistemi già installati che +non sono in grado di usare degli algoritmi più recenti. </para></listitem> </varlistentry> <varlistentry> -<term>Encryption key: <userinput>Passphrase</userinput></term> - +<!-- <term>Encryption key: <userinput>Passphrase</userinput></term> --> +<term>Chiave di cifratura: <userinput>Passphrase</userinput></term> <listitem><para> +<!-- Here you can choose the type of the encryption key for this partition. +--> + +Adesso si deve scegliere il tipo di chiave di cifratura per la partizione. <variablelist> <varlistentry> <term>Passphrase</term> <listitem><para> +<!-- The encryption key will be computed<footnote> +--> + +La chiave di cifratura viene calcolata<footnote> + <para> +<!-- Using a passphrase as the key currently means that the partition will be set up using <ulink url="&url-luks;">LUKS</ulink>. +--> + +Usare una passphrase come chiave vuol dire che la partizione viene +configurata usando <ulink url="&url-luks;">LUKS</ulink>. -</para></footnote> on the basis of a passphrase which you will be able +</para> + +<!-- +</footnote> on the basis of a passphrase which you will be able to enter later in the process. +--> + +</footnote> sulla base di una passphrase che di dovrà inserire +successivamente durante il processo d'installazione. </para></listitem> </varlistentry> <varlistentry> - <term>Random key</term> + <!-- <term>Random key</term> --> + <term>Chiave casuale</term> <listitem><para> +<!-- A new encryption key will be generated from random data each time you try to bring up the encrypted partition. In other words: on every shutdown the content of the partition will be lost as the key is deleted from memory. (Of course, you could try to guess the key with a brute force attack, but unless there is an unknown weakness in the cipher algorithm, it is not achievable in our lifetime.) +--> + +Una nuova chiave di cifratura viene generata partendo da dati casuali +ogni volta che si prova ad attivare la partizione cifrata. In altre +parole: ad ogni riavvio del sistema il contenuto della partizione è perso +perché la chiave è cancellata dalla memoria. (Ovviamente si più provare +a indovinare la chiave con un attacco di forza bruta ma, a meno +dell'esistenza di una falla sconosciuta nel cifrario, è un risultato che +non si ottiene nella durata della nostra esistenza). </para><para> +<!-- Random keys are useful for swap partitions because you do not need to bother yourself with remembering the passphrase or wiping sensitive information from the swap partition before shutting down your @@ -172,6 +309,15 @@ will <emphasis>not</emphasis> be able to use the <quote>suspend-to-disk</quote> functionality offered by newer Linux kernels as it will be impossible (during a subsequent boot) to recover the suspended data written to the swap partition. +--> + +Le chiavi casuali sono particolarmente utili per le partizioni di swap, +infatti non è necessario dover ricordare la passphrase o eliminare i +dati sensibili dalla partizione di swap prima di spegnere la macchina. +Purtroppo ciò significa che <emphasis>non</emphasis> si può usare la +funzionalità <quote>suspend-to-disk</quote> offerta dai kernel Linux +più recenti dato che è impossibile (durante l'avvio di ripristino) +recuperare i dati memorizzati nella partizione di swap. </para></listitem> </varlistentry> @@ -181,20 +327,39 @@ recover the suspended data written to the swap partition. </varlistentry> <varlistentry> -<term>Erase data: <userinput>yes</userinput></term> +<!-- <term>Erase data: <userinput>yes</userinput></term> --> +<term>Cancellare i dati: <userinput>sì</userinput></term> <listitem><para> +<!-- Determines whether the content of this partition should be overwritten with random data before setting up the encryption. This is recommended because it might otherwise be possible for an attacker to discern which parts of the partition are in use and which are not. In addition, this will make it harder to recover any leftover data from -previous installations<footnote><para> +previous installations<footnote> +--> +Determina se il contenuto di questa partizione debba essere sovrascritto +con dei dati casuali prima di impostare la cifratura. Si raccomanda +questa operazione perché altrimenti un aggressore potrebbe essere in +grado di riconoscere quali parti della partizione sono in uso e quali +no. Inoltre questo rende più complesso il ripristino di qualsiasi dato +rimasto dalle precedenti installazioni<footnote> + +<para> + +<!-- It is believed that the guys from three-letter agencies can restore the data even after several rewrites of the magnetooptical media, though. +--> + +È comune ritenere che i tipi delle agenzie governative di tre lettere +siano in grado di ripristinare i dati anche dopo parecchie scritture del +supporto magneto-ottico. + </para></footnote>. @@ -205,50 +370,81 @@ though. </para><para> +<!-- If you select <menuchoice> <guimenu>Encryption method:</guimenu> <guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, the menu changes to provide the following options: +--> +Scegliendo <menuchoice> <guimenu>Metodo di cifratura:</guimenu> +<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, il menu +varia per mostrare le seguenti opzioni: <variablelist> <varlistentry> -<term>Encryption: <userinput>AES256</userinput></term> +<!-- <term>Encryption: <userinput>AES256</userinput></term> --> +<term>Cifratura: <userinput>AES256</userinput></term> <listitem><para> +<!-- For loop-AES, unlike dm-crypt, the options for cipher and key size are combined, so you can select both at the same time. Please see the above sections on ciphers and key sizes for further information. +--> + +Per loop-AES, diversamente da dm-crypt, le scelte relative al cifrario e +alla lunghezza della chiave sono dipendenti fra loro, per cui vanno fornite +contemporaneamente. Si vedano le sezioni precedenti su cifrario e lunghezza +della chiave per ulteriori informazioni. </para></listitem> </varlistentry> <varlistentry> -<term>Encryption key: <userinput>Keyfile (GnuPG)</userinput></term> - +<!-- <term>Encryption key: <userinput>Keyfile (GnuPG)</userinput></term> --> +<term>Chiave di cifratura: <userinput>File chiave (GnuPG)</userinput></term> <listitem><para> +<!-- Here you can select the type of the encryption key for this partition. +--> + +Adesso si deve scegliere il tipo di chiave di cifratura per la partizione. <variablelist> <varlistentry> - <term>Keyfile (GnuPG)</term> + <!-- <term>Keyfile (GnuPG)</term> --> + <term>File chiave (GnuPG)</term> <listitem><para> +<!-- The encryption key will be generated from random data during the installation. Moreover this key will be encrypted with <application>GnuPG</application>, so to use it, you will need to enter the proper passphrase (you will be asked to provide one later in the process). +--> + +La chiave di cifratura è generata partendo da dei dati casuali durante +l'installazione. Inoltre la chiave viene cifrata con +<application>GnuPG</application>, quindi per poterla usare sarà +necessario inserire la passphrase corretta (in seguito, durante +il processo d'installazione, verrà richiesto di sceglierne una). </para></listitem> </varlistentry> <varlistentry> - <term>Random key</term> + <!-- <term>Random key</term> --> + <term>Chiave casuale</term> <listitem><para> +<!-- Please see the the section on random keys above. +--> + +Si veda la sezione precedente sulle chiavi casuali. </para></listitem> </varlistentry> @@ -258,11 +454,16 @@ Please see the the section on random keys above. </varlistentry> <varlistentry> -<term>Erase data: <userinput>yes</userinput></term> +<!-- <term>Erase data: <userinput>yes</userinput></term> --> +<term>Cancellare i dati: <userinput>sì</userinput></term> <listitem><para> +<!-- Please see the the section on erasing data above. +--> + +Si veda la sezione precedente sulla cancellazione dei dati. </para></listitem> </varlistentry> @@ -271,14 +472,22 @@ Please see the the section on erasing data above. </para><note><para> +<!-- Please note that the <emphasis>graphical</emphasis> version of the installer still has some limitations when compared to the textual one. For cryptography it means you can set up only volumes using <emphasis>passphrases</emphasis> as the encryption keys. +--> -</para></note><para> +La versione <emphasis>grafica</emphasis> dell'installatore ha ancora +delle limitazioni rispetto a quella testuale. In particolare, per +quanto riguarda la crittografia, la limitazione è la possibilità di +configurare i volumi soltanto mediante <emphasis>passphrase</emphasis> +come chiavi di cifratura. +</para></note><para> +<!-- After you have selected the desired parameters for your encrypted partitions, return back to the main partitioning menu. There should now be a new menu item called <guimenu>Configure encrypted @@ -286,31 +495,62 @@ volumes</guimenu>. After you select it, you will be asked to confirm the deletion of data on partitions marked to be erased and possibly other actions such as writing a new partition table. For large partitions this might take some time. +--> + +Dopo aver scelto i parametri per le partizioni cifrate, tornare al menu +principale di partizionamento. Adesso è presente una nuova voce di menu +con nome <guimenu>Configurare volumi cifrati</guimenu>. Dopo averla +selezionata viene chiesto di confermare la cancellazione dei dati nelle +partizioni marcate per essere ripulite e di confermare altre cose come la +scrittura della nuova tabella delle partizioni. Se la partizione è di +grandi dimensioni questa operazione potrebbe richiedere un po' di tempo. </para><para> +<!-- Next you will be asked to enter a passphrase for partitions configured to use one. Good passphrases should be longer than 8 characters, should be a mixture of letters, numbers and other characters and should not contain common dictionary words or information easily associable with you (such as birthdates, hobbies, pet names, names of family members or relatives, etc.). +--> + +Poi viene chiesto di inserire la passphrase per ognuna delle partizioni +configurate. Una buona passphrase dovrebbe essere di almeno 8 caratteri, +dovrebbe essere composta da lettere, numeri e altri caratteri e non +dovrebbe contenere parole che si possono trovare in un dizionario né +informazioni personali (come la data di nascita, hobby, nomi di animali +domestici, nomi di familiari o parenti, ecc.). </para><warning><para> +<!-- Before you input any passphrases, you should have made sure that your keyboard is configured correctly and generates the expected characters. If you are unsure, you can switch to the second virtual console and type some text at the prompt. This ensures that you won't be -surprised later, e.g. by trying to input a passphrase using a qwerty +surprised later, e.g. by trying to input a passphrase using a qwerty keyboard layout when you used an azerty layout during the installation. This situation can have several causes. Maybe you switched to another keyboard layout during the installation, or the selected keyboard layout might not have been set up yet when entering the passphrase for the root file system. +--> + +Prima di inserire qualsiasi passphrase si deve essere sicuri che la +tastiera sia configurata correttamente e che i caratteri generati siano +quelli che ci si aspetta. Se non si è sicuri si può passare sulla seconda +console virtuale e fare delle prove. Ciò garantisce di non avere sorprese +in seguito, per esempio inserendo la passphrase con una tastiera qwerty +configurata con un layout azerty. Questa situazione può avere più cause. +Forse durante l'installazione si è cambiato il layout della tastiera, +oppure il layout della tastiera non era stato ancora configurato quando +si è inserita la passphrase per il file system di root. </para></warning><para> +<!-- If you selected to use methods other than a passphrase to create encryption keys, they will be generated now. Because the kernel may not have gathered a sufficient amount of entropy at this early stage @@ -319,33 +559,63 @@ speed up the process by generating entropy: e.g. by pressing random keys, or by switching to the shell on the second virtual console and generating some network and disk traffic (downloading some files, feeding big files into <filename>/dev/null</filename>, etc.). +--> + +Se per creare le chiavi di cifratura si fossero scelti metodi diversi +dalla passphrase, le chiavi verrebbero create adesso. Dato che duranti +i primi passi dell'installazione il kernel potrebbe non aver accumulato +entropia sufficiente il processo potrebbe richiedere parecchio tempo. Il +processo può essere velocizzato generando entropia: cioè premendo dei +tasti a caso, passando alla shell nella seconda console virtuale per +causare traffico di rete o con i dischi (scaricando dei file, +inviando dei file di grosse dimensioni in <filename>/dev/null</filename>, +ecc.). <!-- TODO: Mention hardware random generators when we will support them --> +<!-- This will be repeated for each partition to be encrypted. +--> + +Questa operazione deve essere ripetuta per ogni partizione da cifrare. </para><para> +<!-- After returning to the main partitioning menu, you will see all encrypted volumes as additional partitions which can be configured in the same way as ordinary partitions. The following example shows two different volumes. The first one is encrypted via dm-crypt, the second one via loop-AES. +--> + +Dopo essere ritornati al menu di partizionamento principale si vedranno +tutti i volumi cifrati come altre partizioni e possono essere configurati +come se fossero delle partizioni tradizionali. L'esempio seguente mostra +due volumi diversi; il primo è cifrato via dm-crypt, il secondo via +loop-AES. <informalexample><screen> -Encrypted volume (<replaceable>crypt0</replaceable>) - 115.1 GB Linux device-mapper +<!-- Encrypted volume -->Volume cifrato (<replaceable>crypt0</replaceable>) - 115.1 GB Linux device-mapper #1 115.1 GB F ext3 Loopback (<replaceable>loop0</replaceable>) - 515.2 MB AES256 keyfile #1 515.2 MB F ext3 </screen></informalexample> +<!-- Now is the time to assign mount points to the volumes and optionally change the file system types if the defaults do not suit you. +--> + +Adesso è il momento di assegnare i punti di mount ai volumi ed +eventualmente modificare il tipo di file system se quello predefinito +non è adatto ai propri scopi. </para><para> +<!-- One thing to note here are the identifiers in parentheses (<replaceable>crypt0</replaceable> and <replaceable>loop0</replaceable> in this case) and the mount @@ -353,11 +623,25 @@ points you assigned to each encrypted volume. You will need this information later when booting the new system. The differences between ordinary boot process and boot process with encryption involved will be covered later in <xref linkend="mount-encrypted-volumes"/>. +--> + +Prendere nota degli identificatori fra parentesi (in questo esempio +(<replaceable>crypt0</replaceable> e <replaceable>loop0</replaceable>) e +dei punti di mount che si assegnano ai volumi. Queste informazioni sono +necessarie in seguito, durante l'avvio del nuovo sistema. Le differenze +fra un processo d'avvio tradizionale e uno che coinvolge la crittazione +verranno spiegate successivamente in +<xref linkend="mount-encrypted-volumes"/>. </para><para> +<!-- Once you are satisfied with the partitioning scheme, continue with the installation. +--> + +Quando si è soddisfatti dello schema di partizionamento si può proseguire +con l'installazione. </para> </sect3> |