El &d-i; permet que preparar particions xifrades. Cada fitxer que escriviu a estes particions és immediatament desat al dispositiu de forma xifrada. L'accés a les dades xifrades es possible tan sols després d'introduir la frase de pas utilitzada quan la partició xifrada es va crear originalment. Aquesta característica és útil per protegir dades sensibles en el cas de que us roben el vostre portàtil o disc dur. El lladre podrà tenir accés físic al disc dur, però sense conèixer la frase de pas correcta, les dades al disc dur es mostraran com caràcters aleatoris. Les dos particions més importants a xifrar són: la partició d'usuari (home), on són les vostres dades privades, i la partició d'intercanvi, on les dades sensibles es podrien emmagatzemar temporalment a la operació. Per suposat, res impedeix que xifreu qualsevol altra partició que tingueu interès. Per exemple /var on els servidors de base de dades, servidors de correu o servidors d'impressió emmagatzemen les seves dades, o /tmp que utilitzen alguns programes per emmagatzemar fitxers temporals interessants. Alguna gen voldrà inclús xifrar tot el sistema complet. L'única excepció és la partició /boot que ha de ser no xifrada, ja que no hi ha forma de carregar un nucli d'una partició no xifrada. Adoneu-vos que el rendiment de les particions xifrades serà menor que les no xifrades per la necessitat de xifrar i desxifrar les dades per cada lectura o escriptura. L'impacte en el rendiment depèn de la velocitat de la vostra CPU, el xifrat escollit i la longitud de la clau. Per utilitzar el xifrat, heu de crear una partició nova seleccionant algun espai lliure al menú principal de fer particions. Altra opció és escollir una partició existent (p.e. una partició normal, un volum lògic LVM o un volum RAID). Al menú Paràmetres de fer particions, necessitareu seleccionar volum físic per xifrar a l'opció Utilitzar com . Aleshores el menú canviarà per incloure algunes opcions opcions de criptografia per la partició El &d-i; suporta diferents mètodes de xifrat. El mètode per defecte és dm-crypt (inclòs als nous nuclis Linux, capaços de contenir volums físics LVM), l'altre és loop-AES (més vell, i mantés separat de l'arbre del nucli Linux). A menys que tingueu raons convincents per fer-ho, es recomana utilitzar el mètode per defecte. Primer, mireu les opcions disponibles quan seleccioneu Device-mapper (dm-crypt) com a mètode de xifrat. Com sempre, quan dubteu, utilitzeu l'opció per defecte, ja que es van escollir amb molta cura amb la seguretat en ment. Xifrat: aes Aquesta opció permet seleccionar l'algoritme de xifrat (cipher) que serà utilitzat per xifrar les dades a la partició. En aquest moment el &d-i; suporta els xifrats: aes, blowfish, serpent, i twofish. Està més enllà de l'abast d'aquest document discutir les qualitats dels diferents algorismes, per altra banda, podria ajudar en la vostra decisió saber que al 2000, AES fou escollit pel Institut Nacional Americà d'estàndards i Tecnologia com l'algorisme de xifrat estàndard per protegir informació sensible a la 21 centúria. Mida de la Clau: 256 Ací podeu especificar la longitud de la clau de xifrat. Amb una mida de la clau gran, la força del xifrat augmenta generalment. Per altra banda, incrementar la mida de la clau normalment te un impacte negatiu al rendiment. Les mides per la clau disponibles varien depenent del xifrat. Algorisme IV: cbc-essiv:sha256 El Vector d'Inicialització o algorisme IV s'utilitza al xifratge per assegurar que l'aplicació del xifrat al mateix text en clar amb la mateixa clau sempre produeix un únic text xifrat. La idea és previndre l'atac de deduir informació de plantilles repetides a les dades xifrades. De les alternatives proporcionades, la de per defecte cbc-essiv:sha256 és en aquest moment la menys vulnerable a atacs coneguts. Utilitzeu altres alternatives tan sols quan necessiteu assegurar la compatibilitat amb un sistema prèviament instal·lat que no pot utilitzar algorismes nous. Clau de xifrat: Contrasenya Ací podeu escollir el tipus de clau de xifrat per aquesta partició. Contrasenya La clau de xifrat serà computada Utilitzar una contrasenya com a clau significa en aquest moment que la partició es prepararà utilitzant LUKS. en base a la contrasenya que us permetrà entrar després en el procés. Clau aleatòria Es generarà una nova clau de xifrat des de dades aleatòries cada vegada que proveu creeu una partició xifrada. En altres paraules: cada vegada que tanqueu, el contingut de la partició es perdrà ja que la clau s'esborra de la memòria. (Per suposat, podeu intentar de aconseguir la clau amb un atac de força bruta, per`a no ser que tinga una debilitat desconeguda al algoritme de xifrat, no és pot aconseguir en tota la nostra vida completa.) Les claus aleatòries son útils per particions d'intercanvi ja que no necessiteu molestar-vos amb recordar la contrasenya o esborrar informació sensible de la partició d'intercanvi abans d'apagar el vostre ordinador. Per altra banda, això significa també que no podreu utilitzar la funcionalitat suspendre a disc que donen els nous nuclis ja que serà impossible (a les arrencades següents) recuperar les dades suspeses escrites a la partició d'intercanvi. Esborrar dades: sí Determina si el contingut d'aquesta partició ha de ser sobreescrit amb dades aleatòries abans de configurar el xifrat. Açò es recomana ja que d'altra manera seria possible per un atacant diferenciar quines parts de la partició estan en ús i quines no. Addicionalment, açò farà més difícil recuperar qualsevol residu de dades de instal·lacions prèvies Es creu que els de les agències amb tres lletres poden recuperar les dades inclòs després de vàries reescriptures a mitjans magnetoòptics. . Si seleccioneu Mètode de xifrat: Loopback (loop-AES) , els canvis al menú mostraran les opcions següents: Xifrat: AES256 Pel loop-AES, a diferència de dm-crypt, les opcions de xifrat i la mida de la clau es combinen, així que podeu seleccionar els dos al mateix temps. Llegiu les seccions posteriors i les mides de les claus per més informació. Clau de xifrat: Fitxer de claus (GnuPG) Ací podeu seleccionar el tipus de clau de xifrat per aquesta partició. Fitxer de claus (GnuPG) La clau de xifrat es generarà des de dades aleatòries a la instal·lació. És més, aquesta clau es xifrarà amb GnuPG, així que per utilitzar-la, necessitareu de la contrasenya adequada (se us demanarà que en doneu una després al procés). Clau aleatòria Vegeu la secció anterior sobre claus aleatòries. Esborrar dades: sí Vegeu la secció anterior sobre esborrat de dades. Després de seleccionar els paràmetres desitjats per les vostres particions xifrades, tornar al menú principal de fer particions. Allí hauríeu de trobar ara un nou element del menú que es diu Configurar volums xifrats. Després de seleccionar-lo, se us preguntara de confirmar l'esborrat de dades a les particions marcades per esborrar i possiblement altres accions com escriure una nova taula de particions. per grans particions, açò podria tardar un temps. A continuació se us demanarà d'introduir una contrasenya per particions configurades per utilitzar-la. Bones contrasenyes haurien de tenir més de 8 caràcters, mescla de lletres, nombres i altes caràcters i no hauria de contenir paraules comuns al diccionari o informació fàcilment associada amb tu (com aniversaris, aficions, noms de mascotes, noms de familiars o parents, etc.). Abans d'introduir cap contrasenya, hauríeu d'assegurar-vos que el vostre teclat està correctament configurat i que genera els caràcters esperats. Si no esteu segurs, canvieu a una segona consola virtual i escriviu alguna cosa l'indicador del sistema. Açò assegurarà que després no tindreu sorpreses, p.e. escollint introduir una contrasenya utilitzant una disposició de teclat qwerty quan heu utilitzat una disposició azerty a la instal·lació. Aquesta situació pot tenir diverses causes. Pot ser vau canviar a un altra disposició de teclat al llarg de la instal·lació, o la disposició de teclat seleccionada no s'hauria configurat quan esteu introduint la contrasenya pel sistema de fitxers arrel. Si trieu utilitzar altres mètodes apart de una contrasenya per crear claus de xifrat, es generarà ara. Com que el nucli no ha recollit suficient entropia en aquest punt de la instal·lació, el procés pot ser molt llarg. Podeu accelerar el procés generant entropia: p.e. prement tecles aleatòriament, o canviat a una segona consola virtual i generant algun tràfic de xarxa i tràfic de disc (descarregant fitxers, alimentant amb grans fitxers a /dev/null, etc.) Açò es repetirà per cada partició per xifrar-se. Després de tornar al menú principal de fer particions, voreu tots els volums xifrats com particions addicionals que es poden configurar de la mateixa forma que les particions normals. L'exemple següent mostra dos volums distints. El primer està xifrat amb dm-crypt, el segon amb loop-AES. Volum xifrat (sda2_crypt) - 115.1 GB Linux device-mapper #1 115.1 GB F ext3 Loopback (loop0) - 515.2 MB AES256 fitxer de clau #1 515.2 MB F ext3 Ara és el moment d'assignar punts de muntatge als volums i opcionalment canviar els tipus de sistema de fitxers si el tipus per defecte no us convé. Fixeu-vos en els identificadors entre parèntesis (sda2_crypt i loop0 en aquest cas) i els punts de muntatge que heu assignat a cada volum xifrat. Necessitareu aquesta informació després quan arrenqueu el nou sistema. Les diferències entre el procés d'arrencada normal i el d'arrencada amb xifrat es descriuen més endavant a . Quant estigueu satisfets amb l'esquema de particiions, continueu amb la instal·lació.