Configuració de volums xifrats
El &d-i; permet que preparar particions xifrades. Cada fitxer que escriviu
a estes particions és immediatament desat al dispositiu de forma xifrada.
L'accés a les dades xifrades es possible tan sols desprès d'introduir
la frase de pas utilitzada quan la partició
xifrada es va crear originalment. Aquesta característica és útil per
protegir dades sensibles en el cas de que us roben el vostre portàtil o
disc dur. El lladre podrà tenir accés físic al disc dur, però sense
conèixer la frase de pas correcta, les dades al disc dur es mostraran com
caràcters aleatoris.
Les dos particions més importants a xifrar són: la partició d'usuari (home),
on són les vostres dades privades, i la partició d'intercanvi, on les
dades sensibles es podrien emmagatzemar temporalment a la operació. Per
suposat, res impedeix que xifreu qualsevol altra partició que tingueu
interès. Per exemple /var on els servidors de base
de dades, servidors de correu o servidors d'impressió emmagatzemen les
seves dades, o /tmp que utilitzen alguns programes
per emmagatzemar fitxers temporals interessants. Alguna gen voldrà inclús
xifrar tot el sistema complet. L'única excepció és la partició
/boot que ha de ser no xifrada, ja que no hi ha
forma de carregar un nucli d'una partició no xifrada.
Adoneu-vos que el rendiment de les particions xifrades serà menor que
les no xifrades per la necessitat de xifrar i desxifrar les dades per cada
lectura o escriptura. L'impacte en el rendiment depèn de la velocitat de
la vostra CPU, el xifrat escollit i la longitud de la clau.
Per utilitzar el xifrat, heu de crear una partició nova seleccionant
algun espai lliure al menú de particionament principal. Altra opció és
escollir una partició existent (p.e. una partició normal, un volum
lògic LVM o un volum RAID). Al menú Paràmetres del
particionament, necessitareu seleccionar volum
físic per xifrar a l'opció Utilitzar
com . Aleshores el menú canviarà per incloure
algunes opcions opcions de criptografia per la partició
El &d-i; suporta diferents mètodes de xifrat. El mètode per defecte
és dm-crypt (inclòs als nous nuclis Linux,
capaços de contenir volums físics LVM), l'altre és
loop-AES (més vell, i mantés separat de l'arbre
del nucli Linux). A menys que tingueu raons convincents per fer-ho,
es recomana utilitzar el mètode per defecte.
Primer, mireu les opcions disponibles quan seleccioneu
Device-mapper (dm-crypt) com a mètode de xifrat.
Com sempre, quan dubteu, utilitzeu l'opció per defecte, ja que
es van escollir amb molta cura amb la seguretat en ment.
Xifrat: aes
Aquesta opció permet seleccionar l'algoritme de xifrat
(cipher) que serà utilitzat per xifrar les
dades a la partició. En aquest moment el &d-i; suporta els xifrats:
aes, blowfish,
serpent, i twofish.
Està més enllà de l'abast d'aquest document discutir les qualitats dels
diferents algorismes, per altra banda, podria ajudar en la vostra
decisió saber que al 2000, AES fou escollit pel
Institut Nacional Americà d'estàndards i Tecnologia com l'algorisme
de xifrat estàndard per protegir informació sensible a la 21 centúria.
Mida de la Clau: 256
Ací podeu especificar la longitud de la clau de xifrat. Amb una mida
de la clau gran, la força del xifrat augmenta generalment. Per altra
banda, incrementar la mida de la clau normalment te un impacte negatiu al
rendiment. Les mides per la clau disponibles varien depenent del xifrat.
Algorisme IV: cbc-essiv:sha256
El Vector d'Inicialització o algorisme
IV s'utilitza al xifratge per assegurar que
l'aplicació del xifrat al mateix text en clar
amb la mateixa clau sempre produeix un únic
text xifrat. La idea és previndre l'atac de
deduir informació de plantilles repetides a les dades xifrades.
De les alternatives proporcionades, la de per defecte
cbc-essiv:sha256 és en aquest moment la
menys vulnerable a atacs coneguts. Utilitzeu altres alternatives
tan sols quan necessiteu assegurar la compatibilitat amb un sistema
prèviament instal·lat que no pot utilitzar algorismes nous.
Clau de xifrat: Contrasenya
Ací podeu escollir el tipus de clau de xifrat per aquesta partició.
Contrasenya
La clau de xifrat serà computada
Utilitzar una contrasenya com a clau significa en aquest moment que la
partició es prepararà utilitzant LUKS.
en base a la contrasenya que us permetrà entrar desprès
en el procés.
Clau aleatòria
Es generarà una nova clau de xifrat des de dades aleatòries cada vegada
que proveu creeu una partició xifrada. En altres paraules: cada vegada que
tanqueu, el contingut de la partició es perdrà ja que la clau s'esborra de
la memòria. (Per suposat, podeu intentar de aconseguir la clau amb un
atac de força bruta, per`a no ser que tinga una debilitat desconeguda al
algoritme de xifrat, no és pot aconseguir en tota la nostra vida completa.)
Les claus aleatòries son útils per particions d'intercanvi ja que no
necessiteu molestar-vos amb recordar la contrasenya o esborrar informació
sensible de la partició d'intercanvi abans d'apagar el vostre ordinador.
Per altra banda, això significa també que no
podreu utilitzar la funcionalitat suspendre a disc
que donen els nous nuclis ja que serà impossible (a les arrencades
següents) recuperar les dades suspeses escrites a la partició
d'intercanvi.
Esborrar dades: sí
Determina si el contingut d'aquesta partició ha de ser sobreescrit amb
dades aleatòries abans de configurar el xifrat. Açò es recomana ja
que d'altra manera seria possible per un atacant diferenciar quines parts
de la partició estan en ús i quines no. Addicionalment, açò farà més difícil
recuperar qualsevol residu de dades de instal·lacions prèvies
Es creu que els de les agències amb tres lletres poden recuperar les dades
inclòs després de vàries reescriptures a mitjans magnetoòptics.
.
Si seleccioneu Mètode de xifrat:
Loopback (loop-AES) , els canvis
al menú mostraran les opcions següents:
Xifrat: AES256
Pel loop-AES, a diferència de dm-crypt, les opcions de xifrat i la mida
de la clau es combinen, així que podeu seleccionar els dos al mateix temps.
Llegiu les seccions posteriors i les mides de les claus per més informació.
Clau de xifrat: Fitxer de claus (GnuPG)
Ací podeu seleccionar el tipus de clau de xifrat per aquesta partició.
Fitxer de claus (GnuPG)
La clau de xifrat es generarà des de dades aleatòries a la
instal·lació. És més, aquesta clau es xifrarà amb
GnuPG, així que per utilitzar-la, necessitareu
de la contrasenya adequada (se us demanarà que en doneu una després al
procés).
Clau aleatòria
Vegeu la secció anterior sobre claus aleatòries.
Esborrar dades: sí
Vegeu la secció anterior sobre esborrat de dades.
Adoneu-vos que la versió gràfica de l'instal·lador
encara té algunes limitacions comparat a la versió de text. Pel xifrat
significa que podeu configurar tan sols volums utilitzant una
frase de pas com a clau de xifrat.
Després de seleccionar els paràmetres desitjats per les vostres
particions xifrades, tornar al menú principal de particionament.
Allí hauríeu de trobar ara un nou element del menú que es diu
Configurar volums xifrats. Després de seleccionar-lo,
se us preguntara de confirmar l'esborrat de dades a les particions
marcades per esborrar i possiblement altres accions com escriure una
nova taula de particions. per grans particions, açò podria tardar un temps.
A continuació se us demanarà d'introduir una contrasenya per particions
configurades per utilitzar-la. Bones contrasenyes haurien de tenir més de
8 caràcters, mescla de lletres, nombres i altes caràcters i no
hauria de contenir paraules comuns al diccionari o informació fàcilment
associada amb tu (com aniversaris, aficions, noms de mascotes, noms de
familiars o parents, etc.).
Abans d'introduir cap contrasenya, hauríeu d'assegurar-vos que el vostre
teclat està correctament configurat i que genera els caràcters esperats. Si
no esteu segurs, canvieu a una segona consola virtual i escriviu alguna
cosa l'indicador del sistema. Açò assegurarà que després no tindreu
sorpreses, p.e. escollint introduir una contrasenya utilitzant una disposició
de teclat qwerty quan heu utilitzat una disposició azerty a la instal·lació.
Aquesta situació pot tenir diverses causes. Pot ser vau canviar a un altra
disposició de teclat al llarg de la instal·lació, o la disposició de teclat
seleccionada no s'hauria configurat quan esteu introduint la contrasenya pel
sistema de fitxers arrel.
Si trieu utilitzar altres mètodes apart de una contrasenya per crear
claus de xifrat, es generarà ara. Com que el nucli no ha recollit
suficient entropia en aquest punt de la instal·lació, el procés pot
ser molt llarg. Podeu accelerar el procés generant entropia: p.e.
prement tecles aleatòriament, o canviat a una segona consola virtual
i generant algun tràfic de xarxa i tràfic de disc (descarregant fitxers,
alimentant amb grans fitxers a /dev/null, etc.)
Açò es repetirà per cada partició per xifrar-se.
Després de tornar al menú principal de particionament, voreu tots
els volums xifrats com particions addicionals que es poden configurar
de la mateixa forma que les particions normals. L'exemple següent mostra
dos volums distints. El primer està xifrat amb dm-crypt, el segon amb
loop-AES.
Volum xifrat (sda2_crypt) - 115.1 GB Linux device-mapper
#1 115.1 GB F ext3
Loopback (loop0) - 515.2 MB AES256 fitxer de clau
#1 515.2 MB F ext3
Ara és el moment d'assignar punts de muntatge als volums i opcionalment
canviar els tipus de sistema de fitxers si el tipus per defecte no us convé.
Una cosa fixar-se ací és que els identificadors entre parèntesis
(sda2_crypt
i loop0 en aquest cas) i els punts de
muntatge que heu assignat a cada volum xifrat. Necessitareu aquesta
informació després quan arrenqueu en nou sistema. Les diferències entre un
arranc normal i un procés d'arrencada amb xifrat les voreu després a
.
Quant estigueu satisfets amb l'esquema de particionament, continueu amb la
instal·lació.