diff options
Diffstat (limited to 'ja/using-d-i/modules/partman-crypto.xml')
-rw-r--r-- | ja/using-d-i/modules/partman-crypto.xml | 592 |
1 files changed, 592 insertions, 0 deletions
diff --git a/ja/using-d-i/modules/partman-crypto.xml b/ja/using-d-i/modules/partman-crypto.xml new file mode 100644 index 000000000..2e0af14b8 --- /dev/null +++ b/ja/using-d-i/modules/partman-crypto.xml @@ -0,0 +1,592 @@ +<?xml version="1.0" encoding="EUC-JP"?> +<!-- retain these comments for translator revision tracking --> +<!-- original version: 39224 --> + + <sect3 id="partman-crypto"> +<!-- + <title>Configuring Encrypted Volumes</title> +--> + <title>暗号化ボリュームの設定</title> +<para> + +<!-- +&d-i; allows you to set up encrypted partitions. Every file you write +to such a partition is immediately saved to the device in encrypted +form. Access to the encrypted data is granted only after entering +the <firstterm>passphrase</firstterm> used when the encrypted +partition was originally created. This feature is useful to protect +sensitive data in case your laptop or hard drive gets stolen. The +thief might get physical access to the hard drive, but without knowing +the right passphrase, the data on the hard drive will look like random +characters. +--> +&d-i; では暗号化パーティションを設定できます。 +暗号化パーティションに保存したファイルはすべて、 +ただちに暗号化した形でデバイスに書き込まれます。 +暗号化したデータへのアクセスは、暗号化パーティションを作成した際に設定した +<firstterm>パスフレーズ</firstterm> を入力した後で有効になります。 +この機能は、ノート PC やハードディスクが盗難に遭った際に、 +機密データを保護するのに便利です。 +盗人がハードディスクの物理データにアクセス仕様とする際、 +正しいパスフレーズを知らないと、 +ハードディスクのデータはランダムな文字列にしか見えません。 + +</para><para> + +<!-- +The two most important partitions to encrypt are: the home partition, +where your private data resides, and the swap partition, where +sensitive data might be stored temporarily during operation. Of +course, nothing prevents you from encrypting any other partitions that might +be of interest. For example <filename>/var</filename> where database +servers, mail servers or print servers store their data, or +<filename>/tmp</filename> which is used by various programs to store +potentially interesting temporary files. Some people may even want to +encrypt their whole system. The only exception is +the <filename>/boot</filename> partition which must remain +unencrypted, because currently there is no way to load the kernel from +an encrypted partition. +--> +暗号化するのに最重要なパーティションが 2 つあります。 +個人的なデータを格納する home パーティションと、 +操作中に機密データを一時的に格納する swap パーティションです。 +もちろん、その他のパーティションの暗号化を妨げるものはなにもありません。 +たとえば、データベースサーバ、メールサーバ、 +プリンタサーバがそれぞれファイルを格納する <filename>/var</filename> や、 +様々なプログラムが、 +潜在的に興味深い一時ファイルを作成する <filename>/tmp</filename> です。 +システム全体を暗号化したいと考える方もいます。 +暗号化をしない方がいい、唯一の例外パーティションは、 +<filename>/boot</filename> パーティションです。 +暗号化されたパーティションからカーネルを起動する方法がないからです。 + +</para><note><para> + +<!-- +Please note that the performance of encrypted partitions will be +less than that of unencrypted ones because the data needs to be +decrypted or encrypted for every read or write. The performance impact +depends on your CPU speed, chosen cipher and a key length. +--> +暗号化パーティションのパフォーマンスは、 +データの読み書き時に、常に暗号化・復号を行うため、 +暗号化していないものよりも低下する事に注意してください。 +パフォーマンスは、CPU のスピード、選択した暗号方式、キー長に影響を受けます。 + +</para></note><para> + +<!-- +To use encryption, you have to create a new partition by selecting +some free space in the main partitioning menu. Another option is to +choose an existing partition (e.g. a regular partition, an LVM logical +volume or a RAID volume). In the <guimenu>Partition setting</guimenu> +menu, you need to select <guimenuitem>physical volume for +encryption</guimenuitem> at the <menuchoice> <guimenu>Use +as:</guimenu> </menuchoice> option. The menu will then change to +include several cryptographic options for the partition. +--> +暗号化を用いるには、メインパーティションメニューで空き領域を選択して、 +新しいパーティションを作成する必要があります。 +他には既存のパーティション (例、通常のパーティション、LVM 論理ボリューム、 +RAID ボリューム) を選択するという手もあります。 +<guimenu>パーティション設定</guimenu> メニューの、 +<menuchoice> <guimenu>利用方法:</guimenu> </menuchoice> で +<guimenuitem>暗号化の物理ボリューム</guimenuitem> を選択する必要があります。 +そうすると、メニューにパーティションを暗号化するオプションが追加されます。 + +</para><para> + +<!-- +&d-i; supports several encryption methods. The default method +is <firstterm>dm-crypt</firstterm> (included in newer Linux kernels, +able to host LVM physical volumes), the other +is <firstterm>loop-AES</firstterm> (older, maintained separately from +the Linux kernel tree). Unless you have compelling reasons to do +otherwise, it is recommended to use the default. +--> +&d-i; は、暗号化の方法をいくつかサポートしています。 +デフォルトの方法は<firstterm>dm-crypt</firstterm> +(新しめの Linux カーネルに含まれ、LVM 物理ボリュームを格納できる) です。 +その他には、<firstterm>loop-AES</firstterm> +(古く、Linux カーネルツリーとは独立してメンテナンスされている) があります。 +やむにやまれぬ理由があるのでなければ、 +デフォルトのままにしておくのをお勧めします。 + +<!-- TODO: link to the "Debian block device encryption guide" + once Max writes it :-) --> + +</para><para> + +<!-- +First, let's have a look at available options available when you +select <userinput>Device-mapper (dm-crypt)</userinput> as the +encryption method. As always: when in doubt, use the defaults, because +they have been carefully chosen with security in mind. +--> +はじめに、暗号化の方法として <userinput>Device-mapper (dm-crypt)</userinput> +を選択して、有効にできるオプションを有効にしましょう。 +いつものように、疑いがあればデフォルト値を指定してください。 +セキュリティを念頭に置いて選択されています。 + +<variablelist> + +<varlistentry> +<term>Encryption: <userinput>aes</userinput></term> + +<listitem><para> + +<!-- +This option lets you select the encryption algorithm +(<firstterm>cipher</firstterm>) which will be used to encrypt the data +on the partition. &d-i; currently supports the following block +ciphers: <firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>, +<firstterm>serpent</firstterm>, and <firstterm>twofish</firstterm>. +It is beyond the scope of this document to discuss the qualities of +these different algorithms, however, it might help your decision to +know that in 2000, <emphasis>AES</emphasis> was chosen by the American +National Institute of Standards and Technology as the standard +encryption algorithm for protecting sensitive information in the 21st +century. +--> +このオプションで、パーティションのデータを暗号化するのに使用する、 +暗号化アルゴリズム (<firstterm>暗号方式</firstterm>) を選択します。 +現在、&d-i; は以下の暗号方式をサポートしています。 +<firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>, +<firstterm>serpent</firstterm>, <firstterm>twofish</firstterm> です。 +それぞれのアルゴリズムの品質についての議論は、 +この文書の範疇を越えてしまいますが、 +以下はあなたの決断の助けになるかもしれません。 +<emphasis>AES</emphasis> は、2000 年に米国商務省標準技術局により、 +21 世紀の機密情報を保護する標準暗号化アルゴリズムとして採用されました。 + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Key size: <userinput>256</userinput></term> + +<listitem><para> + +<!-- +Here you can specify the length of the encryption key. With a larger +key size, the strength of the encryption is generally improved. On the +other hand, increasing the length of the key usually has a negative +impact on performance. Available key sizes vary depending on the +cipher. +--> +ここでは暗号化キーの長さを指定できます。 +一般的にキーが長くなると暗号強度が向上します。 +一方、キーが長くなると、大抵パフォーマンスにマイナスの影響を与えます。 +利用できるキーのサイズは暗号方式に依存します。 + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>IV algorithm: <userinput>cbc-essiv:sha256</userinput></term> + +<listitem><para> + +<!-- +The <firstterm>Initialization Vector</firstterm> or +<firstterm>IV</firstterm> algorithm is used in cryptography to ensure +that applying the cipher on the same <firstterm>clear text</firstterm> +data with the same key always produces a unique +<firstterm>cipher text</firstterm>. The idea is to prevent the +attacker from deducing information from repeated patterns in the encrypted +data. +--> +<firstterm>初期化ベクトル</firstterm> や +<firstterm>IV</firstterm> アルゴリズムは、 +同じ <firstterm>クリアテキスト</firstterm> データと同じキーで、 +常に一意の <firstterm>暗号化テキスト</firstterm> 得るのを保証して、 +安全に暗号を解読するのに利用されます。 +これにより、攻撃者が暗号化データの繰り返されるパターンから、 +情報を推測するのを防ぎます。 + +</para><para> + +<!-- +From the provided alternatives, the default +<userinput>cbc-essiv:sha256</userinput> is currently the least +vulnerable to known attacks. Use the other alternatives only when you +need to ensure compatibility with some previously installed system +that is not able to use newer algorithms. +--> +デフォルトの <userinput>cbc-essiv:sha256</userinput> は現在のところ、 +攻撃される恐れがもっとも少ないです。 +その他の選択肢は、新しいアルゴリズムに対応していない、 +以前インストールしたシステムと互換をとる場合のみ使用してください。 + +</para></listitem> +</varlistentry> + +<varlistentry> +<!-- +<term>Encryption key: <userinput>Passphrase</userinput></term> +--> +<term>Encryption key: <userinput>Passphrase</userinput></term> + +<listitem><para> + +<!-- +Here you can choose the type of the encryption key for this partition. +--> +ここでは、このパーティションの暗号化キーのタイプを選択でいきます。 + + <variablelist> + <varlistentry> + <term>Passphrase</term> + <listitem><para> + +<!-- +The encryption key will be computed<footnote> +<para> + +Using a passphrase as the key currently means that the partition will +be set up using <ulink url="&url-luks;">LUKS</ulink>. + +</para></footnote> on the basis of a passphrase which you will be able +to enter later in the process. +--> +暗号化キーを、プロセスの後で入力するパスフレーズに基づいて計算<footnote> +<para> + +キーにパスフレーズを使用するのは、 +<ulink url="&url-luks;">LUKS</ulink> を使用して設定するという意味です。 + +</para></footnote>します。 + + </para></listitem> + </varlistentry> + + <varlistentry> + <term>Random key</term> + <listitem><para> + +<!-- +A new encryption key will be generated from random data each time you +try to bring up the encrypted partition. In other words: on every +shutdown the content of the partition will be lost as the key is +deleted from memory. (Of course, you could try to guess the key with a +brute force attack, but unless there is an unknown weakness in the +cipher algorithm, it is not achievable in our lifetime.) +--> +暗号化パーティションを作成するたびに、新しい暗号化キーをランダムに生成します。 +言い換えると、シャットダウンごとにキーがメモリから削除され、 +パーティションの内容を失うということです。 +(もちろん総当たりでキーを推測することはできますが、 +暗号アルゴリズムに未知の弱点がない限り、人生の中で達成できないでしょう) + + </para><para> + +<!-- +Random keys are useful for swap partitions because you do not need to +bother yourself with remembering the passphrase or wiping sensitive +information from the swap partition before shutting down your +computer. However, it also means that you +will <emphasis>not</emphasis> be able to use +the <quote>suspend-to-disk</quote> functionality offered by newer +Linux kernels as it will be impossible (during a subsequent boot) to +recover the suspended data written to the swap partition. +--> +Random key は swap パーティションで使うと便利です。 +というのも、パスフレーズを覚えておく必要もなく、 +コンピュータをシャットダウンする前に、 +機密情報を swap パーティションから掃除するからです。 +しかし、最近の Linux カーネルで利用できる <quote>suspend-to-disk</quote> +機能では使用できないということでもあります。 +(次の起動中に) swap パーティションからサスペンドデータを、 +復元できなくなってしまうのです。 + + </para></listitem> + </varlistentry> + </variablelist> + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Erase data: <userinput>yes</userinput></term> + +<listitem><para> + +<!-- +Determines whether the content of this partition should be overwritten +with random data before setting up the encryption. This is recommended +because it might otherwise be possible for an attacker to discern +which parts of the partition are in use and which are not. In +addition, this will make it harder to recover any leftover data from +previous installations<footnote><para> + +It is believed that the guys from three-letter agencies can restore +the data even after several rewrites of the magnetooptical media, +though. + +</para></footnote>. +--> +暗号化の前に、 +このパーティションの内容をランダムなデータで上書きするかどうかを決めます。 +そうしないと攻撃者が、パーティションのどの部分を使用中で、 +どの部分が使用していないかを見分けられますので、上書きすることをお奨めします。 +その上、以前インストールしていて残ってしまったデータを、 +復元しにくくします<footnote><para> + +3 文字の機関では、磁気光学メディアを何度か書き換えた後でも、 +データを復元できると信じられています。 + +</para></footnote>。 + +</para></listitem> +</varlistentry> + +</variablelist> + +</para><para> + +<!-- +If you select <menuchoice> <guimenu>Encryption method:</guimenu> +<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, the menu +changes to provide the following options: +--> +<menuchoice> <guimenu>Encryption method:</guimenu> +<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice> を選択すると、 +メニューは以下のオプションを提供するように変わります。 + +<variablelist> +<varlistentry> +<term>Encryption: <userinput>AES256</userinput></term> + +<listitem><para> + +<!-- +For loop-AES, unlike dm-crypt, the options for cipher and key size are +combined, so you can select both at the same time. Please see the +above sections on ciphers and key sizes for further information. +--> +dm-crypt と違い loop-AES では、暗号形式とキーサイズのオプションを混ぜており、 +同時に指定できます。暗号形式とキーサイズについては、前節をご覧ください。 + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Encryption key: <userinput>Keyfile (GnuPG)</userinput></term> + +<listitem><para> + +<!-- +Here you can select the type of the encryption key for this partition. +--> +ここでは、このパーティションの暗号化キーのタイプを選択できます。 + + <variablelist> + <varlistentry> + <term>Keyfile (GnuPG)</term> + <listitem><para> + +<!-- +The encryption key will be generated from random data during the +installation. Moreover this key will be encrypted +with <application>GnuPG</application>, so to use it, you will need to +enter the proper passphrase (you will be asked to provide one later in +the process). +--> +暗号化キーはインストール時にランダムデータから生成されます。 +その上で、このキーを <application>GnuPG</application> で暗号化します。 +これを利用するには、適切なパスフレーズを入力する必要があります。 +(後のプロセスで要求されます) + + </para></listitem> + </varlistentry> + + <varlistentry> + <term>Random key</term> + <listitem><para> + +<!-- +Please see the the section on random keys above. +--> +前節の Random key をご覧ください + + </para></listitem> + </varlistentry> + </variablelist> + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Erase data: <userinput>yes</userinput></term> + +<listitem><para> + +<!-- +Please see the the section on erasing data above. +--> +前節の Erase data をご覧ください + +</para></listitem> +</varlistentry> + +</variablelist> + +</para><note><para> + +<!-- +Please note that the <emphasis>graphical</emphasis> version of the +installer still has some limitations when compared to the textual +one. For cryptography it means you can set up only volumes using +<emphasis>passphrases</emphasis> as the encryption keys. +--> +<emphasis>グラフィカル</emphasis>版インストーラでは、 +テキスト版と比べて、まだいくつか制限があることに注意してください。 +暗号化については、暗号化キーに <emphasis>パスフレーズ</emphasis> +を使用するボリュームのみ作成できます。 + +</para></note><para> + +<!-- +After you have selected the desired parameters for your encrypted +partitions, return back to the main partitioning menu. There should +now be a new menu item called <guimenu>Configure encrypted +volumes</guimenu>. After you select it, you will be asked to confirm +the deletion of data on partitions marked to be erased and possibly +other actions such as writing a new partition table. For large +partitions this might take some time. +--> +暗号化パーティション用に必要なパラメータを選択すると、 +メインパーティション分割メニューに戻ります。 +そこに今度は<guimenu>暗号化されたボリュームの設定</guimenu> +という項目があるはずです。これを選択すると、 +削除するとマークしたパーティションを本当に削除してよいか確認し、 +新しいパーティションテーブルを書き込むといったアクションを起こします。 +大きなパーティションではしばらく時間がかかるでしょう。 + +</para><para> + +<!-- +Next you will be asked to enter a passphrase for partitions configured +to use one. Good passphrases should be longer than 8 characters, +should be a mixture of letters, numbers and other characters and +should not contain common dictionary words or information easily +associable with you (such as birthdates, hobbies, pet names, names of +family members or relatives, etc.). +--> +次に、パスフレーズを使用するよう設定していれば、パスフレーズを訊かれます。 +よいパスフレーズは、8 文字以上で、文字・数字・その他の記号が混ざり、 +辞書に載っていないか、容易に連想される情報 +(誕生日、趣味、ペットの名前、家族や親戚の名前など) でないものです。 + +</para><warning><para> + +<!-- +Before you input any passphrases, you should have made sure that your +keyboard is configured correctly and generates the expected +characters. If you are unsure, you can switch to the second virtual +console and type some text at the prompt. This ensures that you won't be +surprised later, e.g. by trying to input a passphrase using a qwerty +keyboard layout when you used an azerty layout during the installation. +This situation can have several causes. Maybe you switched to another +keyboard layout during the installation, or the selected keyboard layout +might not have been set up yet when entering the passphrase for the +root file system. +--> +パスフレーズを入力する前に、キーボードが正しく設定され、 +期待した文字が入力できるようになっていなければなりません。 +よくわからなければ、別の仮想端末に切り替えて、プロンプトに入力してください。 +これにより、例えば、インストール中に azerty 配列を使用しているのに、 +qwerty 配列でパスフレーズを入力するといったことで、 +あなたが後で驚くようなことにはならないでしょう。 +この状況はいくつかの原因が考えられます。 +インストール中に別のキーボード配列に切り替えたとか、 +ルートファイルシステムのパスフレーズを入力する時に、 +まだ選択したキーボードレイアウトが有効でなかったのかもしれません。 + +</para></warning><para> + +<!-- +If you selected to use methods other than a passphrase to create +encryption keys, they will be generated now. Because the kernel may +not have gathered a sufficient amount of entropy at this early stage +of the installation, the process may take a long time. You can help +speed up the process by generating entropy: e.g. by pressing random +keys, or by switching to the shell on the second virtual console and +generating some network and disk traffic (downloading some files, +feeding big files into <filename>/dev/null</filename>, etc.). +--> +暗号化キーの作成に、パスフレーズ以外の方法を選択した場合、 +すぐに暗号化キーを生成します。 +インストールの初期では、カーネルが十分なエントロピーを集めていないので、 +このプロセスに長時間かかるかもしれません。 +エントロピーを集めてこのプロセスのスピードを上げるには、 +ランダムにキーを押す、別の仮想コンソールに切り替えて +(ファイルのダウンロードや、 +大きなファイルを <filename>/dev/null</filename> に流すなど) +ネットワークやディスクのトラフィックを起こすなどがあります。 + +<!-- TODO: Mention hardware random generators when we will support + them --> + +<!-- +This will be repeated for each partition to be encrypted. +--> +暗号化するパーティションの数だけ繰り返します。 + +</para><para> + +<!-- +After returning to the main partitioning menu, you will see all +encrypted volumes as additional partitions which can be configured in +the same way as ordinary partitions. The following example shows two +different volumes. The first one is encrypted via dm-crypt, the second +one via loop-AES. +--> +メインパーティション分割メニューに戻ると、暗号化ボリュームが、 +通常のパーティションと同様に追加パーティションとして見えています。 +以下の例では、2 つの異なるボリュームを示します。 +1 番目は dm-crypt で暗号化し、2 番目は loop-AES で暗号化しています。 + +<informalexample><screen> +Encrypted volume (<replaceable>crypt0</replaceable>) - 115.1 GB Linux device-mapper + #1 115.1 GB F ext3 + +Loopback (<replaceable>loop0</replaceable>) - 515.2 MB AES256 keyfile + #1 515.2 MB F ext3 +</screen></informalexample> + +<!-- +Now is the time to assign mount points to the volumes and optionally +change the file system types if the defaults do not suit you. +--> +今度は、ボリュームをマウントポイントに割り当てます。 +また、デフォルトのファイルシステムタイプが合っていなければ変更も行います。 + +</para><para> + +<!-- +One thing to note here are the identifiers in parentheses +(<replaceable>crypt0</replaceable> +and <replaceable>loop0</replaceable> in this case) and the mount +points you assigned to each encrypted volume. You will need this +information later when booting the new system. The differences between +ordinary boot process and boot process with encryption involved will +be covered later in <xref linkend="mount-encrypted-volumes"/>. +--> +ここで注意するのは、括弧内の識別子 (ここでは <replaceable>crypt0</replaceable> +と <replaceable>loop0</replaceable>) と、 +暗号化ボリュームを割り当てるマウントポイントです。 +後で新しいシステムを起動するときに、この情報が必要になります。 +通常の起動プロセスと、暗号を伴う起動プロセスの相違点は、 +<xref linkend="mount-encrypted-volumes"/> で扱います。 + +</para><para> + +<!-- +Once you are satisfied with the partitioning scheme, continue with the +installation. +--> +パーティション分割の内容に納得いったら、インストールに進んでください。 + +</para> + </sect3> |