1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
|
<!-- retain these comments for translator revision tracking -->
<!-- original version: 56427 -->
<sect3 id="partman-crypto">
<title>Configuració de volums xifrats</title>
<para>
El &d-i; permet que preparar particions xifrades. Cada fitxer que escriviu
a estes particions és immediatament desat al dispositiu de forma xifrada.
L'accés a les dades xifrades es possible tan sols després d'introduir
la <firstterm>frase de pas</firstterm> utilitzada quan la partició
xifrada es va crear originalment. Aquesta característica és útil per
protegir dades sensibles en el cas de que us roben el vostre portàtil o
disc dur. El lladre podrà tenir accés físic al disc dur, però sense
conèixer la frase de pas correcta, les dades al disc dur es mostraran com
caràcters aleatoris.
</para><para>
Les dos particions més importants a xifrar són: la partició d'usuari (home),
on són les vostres dades privades, i la partició d'intercanvi, on les
dades sensibles es podrien emmagatzemar temporalment a la operació. Per
suposat, res impedeix que xifreu qualsevol altra partició que tingueu
interès. Per exemple <filename>/var</filename> on els servidors de base
de dades, servidors de correu o servidors d'impressió emmagatzemen les
seves dades, o <filename>/tmp</filename> que utilitzen alguns programes
per emmagatzemar fitxers temporals interessants. Alguna gen voldrà inclús
xifrar tot el sistema complet. L'única excepció és la partició
<filename>/boot</filename> que ha de ser no xifrada, ja que no hi ha
forma de carregar un nucli d'una partició no xifrada.
</para><note><para>
Adoneu-vos que el rendiment de les particions xifrades serà menor que
les no xifrades per la necessitat de xifrar i desxifrar les dades per cada
lectura o escriptura. L'impacte en el rendiment depèn de la velocitat de
la vostra CPU, el xifrat escollit i la longitud de la clau.
</para></note><para>
Per utilitzar el xifrat, heu de crear una partició nova seleccionant
algun espai lliure al menú de particionament principal. Altra opció és
escollir una partició existent (p.e. una partició normal, un volum
lògic LVM o un volum RAID). Al menú <guimenu>Paràmetres del
particionament</guimenu>, necessitareu seleccionar <guimenuitem>volum
físic per xifrar</guimenuitem> a l'opció <menuchoice> <guimenu>Utilitzar
com</guimenu> </menuchoice>. Aleshores el menú canviarà per incloure
algunes opcions opcions de criptografia per la partició
</para><para>
El &d-i; suporta diferents mètodes de xifrat. El mètode per defecte
és <firstterm>dm-crypt</firstterm> (inclòs als nous nuclis Linux,
capaços de contenir volums físics LVM), l'altre és
<firstterm>loop-AES</firstterm> (més vell, i mantés separat de l'arbre
del nucli Linux). A menys que tingueu raons convincents per fer-ho,
es recomana utilitzar el mètode per defecte.
<!-- TODO: link to the "Debian block device encryption guide"
once Max writes it :-) -->
</para><para>
Primer, mireu les opcions disponibles quan seleccioneu <userinput>
Device-mapper (dm-crypt)</userinput> com a mètode de xifrat.
Com sempre, quan dubteu, utilitzeu l'opció per defecte, ja que
es van escollir amb molta cura amb la seguretat en ment.
<variablelist>
<varlistentry>
<term>Xifrat: <userinput>aes</userinput></term>
<listitem><para>
Aquesta opció permet seleccionar l'algoritme de xifrat
(<firstterm>cipher</firstterm>) que serà utilitzat per xifrar les
dades a la partició. En aquest moment el &d-i; suporta els xifrats:
<firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>,
<firstterm>serpent</firstterm>, i <firstterm>twofish</firstterm>.
Està més enllà de l'abast d'aquest document discutir les qualitats dels
diferents algorismes, per altra banda, podria ajudar en la vostra
decisió saber que al 2000, <emphasis>AES</emphasis> fou escollit pel
Institut Nacional Americà d'estàndards i Tecnologia com l'algorisme
de xifrat estàndard per protegir informació sensible a la 21 centúria.
</para></listitem>
</varlistentry>
<varlistentry>
<term>Mida de la Clau: <userinput>256</userinput></term>
<listitem><para>
Ací podeu especificar la longitud de la clau de xifrat. Amb una mida
de la clau gran, la força del xifrat augmenta generalment. Per altra
banda, incrementar la mida de la clau normalment te un impacte negatiu al
rendiment. Les mides per la clau disponibles varien depenent del xifrat.
</para></listitem>
</varlistentry>
<varlistentry>
<term>Algorisme IV: <userinput>cbc-essiv:sha256</userinput></term>
<listitem><para>
El <firstterm>Vector d'Inicialització</firstterm> o algorisme
<firstterm>IV</firstterm> s'utilitza al xifratge per assegurar que
l'aplicació del xifrat al mateix <firstterm>text en clar</firstterm>
amb la mateixa clau sempre produeix un únic
<firstterm>text xifrat</firstterm>. La idea és previndre l'atac de
deduir informació de plantilles repetides a les dades xifrades.
</para><para>
De les alternatives proporcionades, la de per defecte
<userinput>cbc-essiv:sha256</userinput> és en aquest moment la
menys vulnerable a atacs coneguts. Utilitzeu altres alternatives
tan sols quan necessiteu assegurar la compatibilitat amb un sistema
prèviament instal·lat que no pot utilitzar algorismes nous.
</para></listitem>
</varlistentry>
<varlistentry>
<term>Clau de xifrat: <userinput>Contrasenya</userinput></term>
<listitem><para>
Ací podeu escollir el tipus de clau de xifrat per aquesta partició.
<variablelist>
<varlistentry>
<term>Contrasenya</term>
<listitem><para>
La clau de xifrat serà computada<footnote>
<para>
Utilitzar una contrasenya com a clau significa en aquest moment que la
partició es prepararà utilitzant <ulink url="&url-luks;">LUKS</ulink>.
</para></footnote> en base a la contrasenya que us permetrà entrar després
en el procés.
</para></listitem>
</varlistentry>
<varlistentry>
<term>Clau aleatòria</term>
<listitem><para>
Es generarà una nova clau de xifrat des de dades aleatòries cada vegada
que proveu creeu una partició xifrada. En altres paraules: cada vegada que
tanqueu, el contingut de la partició es perdrà ja que la clau s'esborra de
la memòria. (Per suposat, podeu intentar de aconseguir la clau amb un
atac de força bruta, per`a no ser que tinga una debilitat desconeguda al
algoritme de xifrat, no és pot aconseguir en tota la nostra vida completa.)
</para><para>
Les claus aleatòries son útils per particions d'intercanvi ja que no
necessiteu molestar-vos amb recordar la contrasenya o esborrar informació
sensible de la partició d'intercanvi abans d'apagar el vostre ordinador.
Per altra banda, això significa també que <emphasis>no</emphasis>
podreu utilitzar la funcionalitat <quote>suspendre a disc</quote>
que donen els nous nuclis ja que serà impossible (a les arrencades
següents) recuperar les dades suspeses escrites a la partició
d'intercanvi.
</para></listitem>
</varlistentry>
</variablelist>
</para></listitem>
</varlistentry>
<varlistentry>
<term>Esborrar dades: <userinput>sí</userinput></term>
<listitem><para>
Determina si el contingut d'aquesta partició ha de ser sobreescrit amb
dades aleatòries abans de configurar el xifrat. Açò es recomana ja
que d'altra manera seria possible per un atacant diferenciar quines parts
de la partició estan en ús i quines no. Addicionalment, açò farà més difícil
recuperar qualsevol residu de dades de instal·lacions prèvies<footnote><para>
Es creu que els de les agències amb tres lletres poden recuperar les dades
inclòs després de vàries reescriptures a mitjans magnetoòptics.
</para></footnote>.
</para></listitem>
</varlistentry>
</variablelist>
</para><para>
Si seleccioneu <menuchoice> <guimenu>Mètode de xifrat:</guimenu>
<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, els canvis
al menú mostraran les opcions següents:
<variablelist>
<varlistentry>
<term>Xifrat: <userinput>AES256</userinput></term>
<listitem><para>
Pel loop-AES, a diferència de dm-crypt, les opcions de xifrat i la mida
de la clau es combinen, així que podeu seleccionar els dos al mateix temps.
Llegiu les seccions posteriors i les mides de les claus per més informació.
</para></listitem>
</varlistentry>
<varlistentry>
<term>Clau de xifrat: <userinput>Fitxer de claus (GnuPG)</userinput></term>
<listitem><para>
Ací podeu seleccionar el tipus de clau de xifrat per aquesta partició.
<variablelist>
<varlistentry>
<term>Fitxer de claus (GnuPG)</term>
<listitem><para>
La clau de xifrat es generarà des de dades aleatòries a la
instal·lació. És més, aquesta clau es xifrarà amb
<application>GnuPG</application>, així que per utilitzar-la, necessitareu
de la contrasenya adequada (se us demanarà que en doneu una després al
procés).
</para></listitem>
</varlistentry>
<varlistentry>
<term>Clau aleatòria</term>
<listitem><para>
Vegeu la secció anterior sobre claus aleatòries.
</para></listitem>
</varlistentry>
</variablelist>
</para></listitem>
</varlistentry>
<varlistentry>
<term>Esborrar dades: <userinput>sí</userinput></term>
<listitem><para>
Vegeu la secció anterior sobre esborrat de dades.
</para></listitem>
</varlistentry>
</variablelist>
</para><para>
Després de seleccionar els paràmetres desitjats per les vostres
particions xifrades, tornar al menú principal de particionament.
Allí hauríeu de trobar ara un nou element del menú que es diu
<guimenu>Configurar volums xifrats</guimenu>. Després de seleccionar-lo,
se us preguntara de confirmar l'esborrat de dades a les particions
marcades per esborrar i possiblement altres accions com escriure una
nova taula de particions. per grans particions, açò podria tardar un temps.
</para><para>
A continuació se us demanarà d'introduir una contrasenya per particions
configurades per utilitzar-la. Bones contrasenyes haurien de tenir més de
8 caràcters, mescla de lletres, nombres i altes caràcters i no
hauria de contenir paraules comuns al diccionari o informació fàcilment
associada amb tu (com aniversaris, aficions, noms de mascotes, noms de
familiars o parents, etc.).
</para><warning><para>
Abans d'introduir cap contrasenya, hauríeu d'assegurar-vos que el vostre
teclat està correctament configurat i que genera els caràcters esperats. Si
no esteu segurs, canvieu a una segona consola virtual i escriviu alguna
cosa l'indicador del sistema. Açò assegurarà que després no tindreu
sorpreses, p.e. escollint introduir una contrasenya utilitzant una disposició
de teclat qwerty quan heu utilitzat una disposició azerty a la instal·lació.
Aquesta situació pot tenir diverses causes. Pot ser vau canviar a un altra
disposició de teclat al llarg de la instal·lació, o la disposició de teclat
seleccionada no s'hauria configurat quan esteu introduint la contrasenya pel
sistema de fitxers arrel.
</para></warning><para>
Si trieu utilitzar altres mètodes apart de una contrasenya per crear
claus de xifrat, es generarà ara. Com que el nucli no ha recollit
suficient entropia en aquest punt de la instal·lació, el procés pot
ser molt llarg. Podeu accelerar el procés generant entropia: p.e.
prement tecles aleatòriament, o canviat a una segona consola virtual
i generant algun tràfic de xarxa i tràfic de disc (descarregant fitxers,
alimentant amb grans fitxers a <filename>/dev/null</filename>, etc.)
<!-- TODO: Mention hardware random generators when we will support
them -->
Açò es repetirà per cada partició per xifrar-se.
</para><para>
Després de tornar al menú principal de particionament, voreu tots
els volums xifrats com particions addicionals que es poden configurar
de la mateixa forma que les particions normals. L'exemple següent mostra
dos volums distints. El primer està xifrat amb dm-crypt, el segon amb
loop-AES.
<informalexample><screen>
Volum xifrat (<replaceable>sda2_crypt</replaceable>) - 115.1 GB Linux device-mapper
#1 115.1 GB F ext3
Loopback (<replaceable>loop0</replaceable>) - 515.2 MB AES256 fitxer de clau
#1 515.2 MB F ext3
</screen></informalexample>
Ara és el moment d'assignar punts de muntatge als volums i opcionalment
canviar els tipus de sistema de fitxers si el tipus per defecte no us convé.
</para><para>
Fixeu-vos en els identificadors entre parèntesis
(<replaceable>sda2_crypt</replaceable>
i <replaceable>loop0</replaceable> en aquest cas) i els punts de
muntatge que heu assignat a cada volum xifrat. Necessitareu aquesta
informació després quan arrenqueu el nou sistema. Les diferències entre el
procés d'arrencada normal i el d'arrencada amb xifrat es descriuen més
endavant a <xref linkend="mount-encrypted-volumes"/>.
</para><para>
Quant estigueu satisfets amb l'esquema de particionament, continueu amb la
instal·lació.
</para>
</sect3>
|