1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
|
<?xml version="1.0" encoding="EUC-JP"?>
<!-- retain these comments for translator revision tracking -->
<!-- original version: 43576 -->
<sect3 id="partman-crypto">
<!--
<title>Configuring Encrypted Volumes</title>
-->
<title>暗号化ボリュームの設定</title>
<para>
<!--
&d-i; allows you to set up encrypted partitions. Every file you write
to such a partition is immediately saved to the device in encrypted
form. Access to the encrypted data is granted only after entering
the <firstterm>passphrase</firstterm> used when the encrypted
partition was originally created. This feature is useful to protect
sensitive data in case your laptop or hard drive gets stolen. The
thief might get physical access to the hard drive, but without knowing
the right passphrase, the data on the hard drive will look like random
characters.
-->
&d-i; では暗号化パーティションを設定できます。
暗号化パーティションに保存したファイルはすべて、
暗号化した形で即座にデバイスに書き込まれます。
暗号化したデータへのアクセスは、暗号化パーティションを作成した際に設定した
<firstterm>パスフレーズ</firstterm> を入力した後で有効になります。
この機能は、ノート PC やハードディスクが盗難に遭った際に、
機密データを保護するのに便利です。
盗人がハードディスクの物理データにアクセスしようとする際、
正しいパスフレーズを知らないと、
ハードディスクのデータはランダムな文字列にしか見えません。
</para><para>
<!--
The two most important partitions to encrypt are: the home partition,
where your private data resides, and the swap partition, where
sensitive data might be stored temporarily during operation. Of
course, nothing prevents you from encrypting any other partitions that might
be of interest. For example <filename>/var</filename> where database
servers, mail servers or print servers store their data, or
<filename>/tmp</filename> which is used by various programs to store
potentially interesting temporary files. Some people may even want to
encrypt their whole system. The only exception is
the <filename>/boot</filename> partition which must remain
unencrypted, because currently there is no way to load the kernel from
an encrypted partition.
-->
暗号化するのに最重要なパーティションが 2 つあります。
個人的なデータを格納する home パーティションと、
操作中に機密データを一時的に格納する swap パーティションです。
もちろん、その他のパーティションの暗号化を妨げるものはなにもありません。
たとえば、データベースサーバ、メールサーバ、
プリンタサーバがそれぞれファイルを格納する <filename>/var</filename> や、
様々なプログラムが、
潜在的に興味深い一時ファイルを作成する <filename>/tmp</filename> です。
システム全体を暗号化したいと考える方もいます。
暗号化をしない方がいい、唯一の例外パーティションは、
<filename>/boot</filename> パーティションです。
暗号化されたパーティションからカーネルを起動する方法がないからです。
</para><note><para>
<!--
Please note that the performance of encrypted partitions will be
less than that of unencrypted ones because the data needs to be
decrypted or encrypted for every read or write. The performance impact
depends on your CPU speed, chosen cipher and a key length.
-->
データの読み書き時に常に暗号化・復号を行うため、
暗号化パーティションのパフォーマンスは、
暗号化していないものよりも低下する事に注意してください。
パフォーマンスは、CPU のスピード、選択した暗号方式、
暗号化キーの長さに影響を受けます。
</para></note><para>
<!--
To use encryption, you have to create a new partition by selecting
some free space in the main partitioning menu. Another option is to
choose an existing partition (e.g. a regular partition, an LVM logical
volume or a RAID volume). In the <guimenu>Partition settings</guimenu>
menu, you need to select <guimenuitem>physical volume for
encryption</guimenuitem> at the <menuchoice> <guimenu>Use
as:</guimenu> </menuchoice> option. The menu will then change to
include several cryptographic options for the partition.
-->
暗号化を用いるには、メインパーティションメニューで空き領域を選択して、
新しいパーティションを作成する必要があります。
他には既存のパーティション (例、通常のパーティション、LVM 論理ボリューム、
RAID ボリューム) を選択するという手もあります。
<guimenu>パーティション設定</guimenu> メニューの、
<menuchoice> <guimenu>利用方法:</guimenu> </menuchoice> で
<guimenuitem>暗号化の物理ボリューム</guimenuitem> を選択する必要があります。
そうすると、メニューにパーティションを暗号化するオプションが追加されます。
</para><para>
<!--
&d-i; supports several encryption methods. The default method
is <firstterm>dm-crypt</firstterm> (included in newer Linux kernels,
able to host LVM physical volumes), the other
is <firstterm>loop-AES</firstterm> (older, maintained separately from
the Linux kernel tree). Unless you have compelling reasons to do
otherwise, it is recommended to use the default.
-->
&d-i; は、暗号化の方法をいくつかサポートしています。
デフォルトの方法は<firstterm>dm-crypt</firstterm>
(新しめの Linux カーネルに含まれ、LVM 物理ボリュームを格納できる) です。
その他には、<firstterm>loop-AES</firstterm>
(古く、Linux カーネルツリーとは独立してメンテナンスされている) があります。
やむにやまれぬ理由があるのでなければ、
デフォルトのままにしておくのをお勧めします。
<!-- TODO: link to the "Debian block device encryption guide"
once Max writes it :-) -->
</para><para>
<!--
First, let's have a look at the options available when you select
<userinput>Device-mapper (dm-crypt)</userinput> as the encryption
method. As always: when in doubt, use the defaults, because
they have been carefully chosen with security in mind.
-->
はじめに、暗号化するにあたり <userinput>Device-mapper (dm-crypt)</userinput>
を選択して、オプションを有効にしましょう
いつものように、よく分からなければデフォルト値を指定してください。
セキュリティを念頭に置いて選択されています。
<variablelist>
<varlistentry>
<term>Encryption: <userinput>aes</userinput></term>
<listitem><para>
<!--
This option lets you select the encryption algorithm
(<firstterm>cipher</firstterm>) which will be used to encrypt the data
on the partition. &d-i; currently supports the following block
ciphers: <firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>,
<firstterm>serpent</firstterm>, and <firstterm>twofish</firstterm>.
It is beyond the scope of this document to discuss the qualities of
these different algorithms, however, it might help your decision to
know that in 2000, <emphasis>AES</emphasis> was chosen by the American
National Institute of Standards and Technology as the standard
encryption algorithm for protecting sensitive information in the 21st
century.
-->
このオプションで、パーティションのデータを暗号化するのに使用する、
暗号化アルゴリズム (<firstterm>暗号方式</firstterm>) を選択します。
現在、&d-i; は以下の暗号方式をサポートしています。
<firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>,
<firstterm>serpent</firstterm>, <firstterm>twofish</firstterm> です。
それぞれのアルゴリズムの品質についての議論は、
この文書の範疇を越えてしまいますが、
以下はあなたの決断の助けになるかもしれません。
<emphasis>AES</emphasis> は、2000 年に米国商務省標準技術局により、
21 世紀の機密情報を保護する標準暗号化アルゴリズムとして採用されました。
</para></listitem>
</varlistentry>
<varlistentry>
<term>Key size: <userinput>256</userinput></term>
<listitem><para>
<!--
Here you can specify the length of the encryption key. With a larger
key size, the strength of the encryption is generally improved. On the
other hand, increasing the length of the key usually has a negative
impact on performance. Available key sizes vary depending on the
cipher.
-->
ここでは暗号化キーの長さを指定できます。
一般的に暗号化キーが長くなると暗号強度が向上します。
一方、暗号化キーが長くなると、大抵パフォーマンスにマイナスの影響を与えます。
利用できる暗号化キーのサイズは暗号方式に依存します。
</para></listitem>
</varlistentry>
<varlistentry>
<term>IV algorithm: <userinput>cbc-essiv:sha256</userinput></term>
<listitem><para>
<!--
The <firstterm>Initialization Vector</firstterm> or
<firstterm>IV</firstterm> algorithm is used in cryptography to ensure
that applying the cipher on the same <firstterm>clear text</firstterm>
data with the same key always produces a unique
<firstterm>cipher text</firstterm>. The idea is to prevent the
attacker from deducing information from repeated patterns in the encrypted
data.
-->
<firstterm>初期化ベクトル</firstterm> や
<firstterm>IV</firstterm> アルゴリズムは、
同じ <firstterm>平文</firstterm> データと同一の暗号化キーで、
常に異なる <firstterm>暗号文</firstterm> の出力を保証し、
安全に暗号を解読するのに利用されます。
これにより、暗号化データ中に繰り返されるパターンから、
攻撃者が情報を推測できないようにします。
</para><para>
<!--
From the provided alternatives, the default
<userinput>cbc-essiv:sha256</userinput> is currently the least
vulnerable to known attacks. Use the other alternatives only when you
need to ensure compatibility with some previously installed system
that is not able to use newer algorithms.
-->
デフォルトの <userinput>cbc-essiv:sha256</userinput> は現在のところ、
攻撃される恐れがもっとも少ないです。
その他の選択肢は、新しいアルゴリズムに対応していない、
以前インストールしたシステムと互換をとる場合のみ使用してください。
</para></listitem>
</varlistentry>
<varlistentry>
<!--
<term>Encryption key: <userinput>Passphrase</userinput></term>
-->
<term>Encryption key: <userinput>Passphrase</userinput></term>
<listitem><para>
<!--
Here you can choose the type of the encryption key for this partition.
-->
ここでは、このパーティションの暗号化キーのタイプを選択できます。
<variablelist>
<varlistentry>
<term>Passphrase</term>
<listitem><para>
<!--
The encryption key will be computed<footnote>
<para>
Using a passphrase as the key currently means that the partition will
be set up using <ulink url="&url-luks;">LUKS</ulink>.
</para></footnote> on the basis of a passphrase which you will be able
to enter later in the process.
-->
暗号化キーを、プロセスの後で入力するパスフレーズに基づいて計算<footnote>
<para>
暗号化キーにパスフレーズを使用するのは、
<ulink url="&url-luks;">LUKS</ulink> を使用して設定するという意味です。
</para></footnote>します。
</para></listitem>
</varlistentry>
<varlistentry>
<term>Random key</term>
<listitem><para>
<!--
A new encryption key will be generated from random data each time you
try to bring up the encrypted partition. In other words: on every
shutdown the content of the partition will be lost as the key is
deleted from memory. (Of course, you could try to guess the key with a
brute force attack, but unless there is an unknown weakness in the
cipher algorithm, it is not achievable in our lifetime.)
-->
暗号化パーティションを作成するたびに、新しい暗号化キーをランダムに生成します。
言い換えると、シャットダウンごとに暗号化キーがメモリから削除され、
パーティションの内容を失うということです。
(もちろん総当たりで暗号化キーを推測することはできますが、
暗号アルゴリズムに未知の弱点がない限り、
生きているうちには解読されないでしょう)
</para><para>
<!--
Random keys are useful for swap partitions because you do not need to
bother yourself with remembering the passphrase or wiping sensitive
information from the swap partition before shutting down your
computer. However, it also means that you
will <emphasis>not</emphasis> be able to use
the <quote>suspend-to-disk</quote> functionality offered by newer
Linux kernels as it will be impossible (during a subsequent boot) to
recover the suspended data written to the swap partition.
-->
Random key は swap パーティションで使うと便利です。
というのも、パスフレーズを覚えておく必要もなく、
コンピュータをシャットダウンする前に、
機密情報を swap パーティションから掃除するからです。
しかし、最近の Linux カーネルで利用できる <quote>suspend-to-disk</quote>
機能では使用できないということでもあります。
(次の起動中に) swap パーティションからサスペンドデータを、
復元できなくなってしまうのです。
</para></listitem>
</varlistentry>
</variablelist>
</para></listitem>
</varlistentry>
<varlistentry>
<term>Erase data: <userinput>yes</userinput></term>
<listitem><para>
<!--
Determines whether the content of this partition should be overwritten
with random data before setting up the encryption. This is recommended
because it might otherwise be possible for an attacker to discern
which parts of the partition are in use and which are not. In
addition, this will make it harder to recover any leftover data from
previous installations<footnote><para>
It is believed that the guys from three-letter agencies can restore
the data even after several rewrites of the magnetooptical media,
though.
</para></footnote>.
-->
暗号化の前に、
このパーティションの内容をランダムなデータで上書きするかどうかを決めます。
そうしないと攻撃者が、パーティションのどの部分を使用中で、
どの部分が使用していないかを見分けられますので、上書きすることをお奨めします。
その上、以前インストールしていて残ってしまったデータを、
復元しにくくします<footnote><para>
3 文字の機関では、磁気光学メディアを何度か書き換えた後でも、
データを復元できると信じられています。
</para></footnote>。
</para></listitem>
</varlistentry>
</variablelist>
</para><para>
<!--
If you select <menuchoice> <guimenu>Encryption method:</guimenu>
<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, the menu
changes to provide the following options:
-->
<menuchoice> <guimenu>Encryption method:</guimenu>
<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice> を選択すると、
メニューは以下のオプションを提供するように変わります。
<variablelist>
<varlistentry>
<term>Encryption: <userinput>AES256</userinput></term>
<listitem><para>
<!--
For loop-AES, unlike dm-crypt, the options for cipher and key size are
combined, so you can select both at the same time. Please see the
above sections on ciphers and key sizes for further information.
-->
dm-crypt と違い loop-AES では、暗号形式と暗号化キーサイズのオプションを混ぜており、
同時に指定できます。暗号形式と暗号化キーサイズについては、前節をご覧ください。
</para></listitem>
</varlistentry>
<varlistentry>
<term>Encryption key: <userinput>Keyfile (GnuPG)</userinput></term>
<listitem><para>
<!--
Here you can select the type of the encryption key for this partition.
-->
ここでは、このパーティションの暗号化キーのタイプを選択できます。
<variablelist>
<varlistentry>
<term>Keyfile (GnuPG)</term>
<listitem><para>
<!--
The encryption key will be generated from random data during the
installation. Moreover this key will be encrypted
with <application>GnuPG</application>, so to use it, you will need to
enter the proper passphrase (you will be asked to provide one later in
the process).
-->
暗号化キーはインストール時にランダムデータから生成されます。
その上で、この暗号化キーを <application>GnuPG</application> で暗号化します。
これを利用するには、適切なパスフレーズを入力する必要があります。
(後のプロセスで要求されます)
</para></listitem>
</varlistentry>
<varlistentry>
<term>Random key</term>
<listitem><para>
<!--
Please see the the section on random keys above.
-->
前節の Random key をご覧ください
</para></listitem>
</varlistentry>
</variablelist>
</para></listitem>
</varlistentry>
<varlistentry>
<term>Erase data: <userinput>yes</userinput></term>
<listitem><para>
<!--
Please see the the section on erasing data above.
-->
前節の Erase data をご覧ください
</para></listitem>
</varlistentry>
</variablelist>
</para><note><para>
<!--
Please note that the <emphasis>graphical</emphasis> version of the
installer still has some limitations when compared to the textual
one. For cryptography it means you can set up only volumes using
<emphasis>passphrases</emphasis> as the encryption keys.
-->
<emphasis>グラフィカル</emphasis>版インストーラでは、
テキスト版と比べて、まだいくつか制限があることに注意してください。
暗号化については、暗号化キーに <emphasis>パスフレーズ</emphasis>
を使用するボリュームのみ作成できます。
</para></note><para>
<!--
After you have selected the desired parameters for your encrypted
partitions, return back to the main partitioning menu. There should
now be a new menu item called <guimenu>Configure encrypted
volumes</guimenu>. After you select it, you will be asked to confirm
the deletion of data on partitions marked to be erased and possibly
other actions such as writing a new partition table. For large
partitions this might take some time.
-->
暗号化パーティション用に必要なパラメータを選択すると、
メインパーティション分割メニューに戻ります。
そこに今度は<guimenu>暗号化されたボリュームの設定</guimenu>
という項目があるはずです。これを選択すると、
削除するとマークしたパーティションを本当に削除してよいか確認し、
新しいパーティションテーブルを書き込むといったアクションを起こします。
大きなパーティションではしばらく時間がかかるでしょう。
</para><para>
<!--
Next you will be asked to enter a passphrase for partitions configured
to use one. Good passphrases should be longer than 8 characters,
should be a mixture of letters, numbers and other characters and
should not contain common dictionary words or information easily
associable with you (such as birthdates, hobbies, pet names, names of
family members or relatives, etc.).
-->
次に、パスフレーズを使用するよう設定していれば、パスフレーズを訊かれます。
よいパスフレーズは、8 文字以上で、文字・数字・その他の記号が混ざり、
辞書に載っていないか、容易に連想される情報
(誕生日、趣味、ペットの名前、家族や親戚の名前など) でないものです。
</para><warning><para>
<!--
Before you input any passphrases, you should have made sure that your
keyboard is configured correctly and generates the expected
characters. If you are unsure, you can switch to the second virtual
console and type some text at the prompt. This ensures that you won't be
surprised later, e.g. by trying to input a passphrase using a qwerty
keyboard layout when you used an azerty layout during the installation.
This situation can have several causes. Maybe you switched to another
keyboard layout during the installation, or the selected keyboard layout
might not have been set up yet when entering the passphrase for the
root file system.
-->
パスフレーズを入力する前に、キーボードが正しく設定され、
期待した文字が入力できるようになっていなければなりません。
よくわからなければ、別の仮想端末に切り替えて、プロンプトに入力してください。
これにより、例えば、インストール中に azerty 配列を使用しているのに、
qwerty 配列でパスフレーズを入力するといったことで、
あなたが後で驚くようなことにはならないでしょう。
この状況はいくつかの原因が考えられます。
インストール中に別のキーボード配列に切り替えたとか、
ルートファイルシステムのパスフレーズを入力する時に、
まだ選択したキーボードレイアウトが有効でなかったのかもしれません。
</para></warning><para>
<!--
If you selected to use methods other than a passphrase to create
encryption keys, they will be generated now. Because the kernel may
not have gathered a sufficient amount of entropy at this early stage
of the installation, the process may take a long time. You can help
speed up the process by generating entropy: e.g. by pressing random
keys, or by switching to the shell on the second virtual console and
generating some network and disk traffic (downloading some files,
feeding big files into <filename>/dev/null</filename>, etc.).
-->
暗号化キーの作成に、パスフレーズ以外の方法を選択した場合、
すぐに暗号化キーを生成します。
インストールの初期では、カーネルが十分なエントロピーを集めていないので、
このプロセスに長時間かかるかもしれません。
エントロピーを集めてこのプロセスのスピードを上げるには、
ランダムにキーを押す、別の仮想コンソールに切り替えて
(ファイルのダウンロードや、
大きなファイルを <filename>/dev/null</filename> に流すなど)
ネットワークやディスクのトラフィックを起こすなどがあります。
<!-- TODO: Mention hardware random generators when we will support
them -->
<!--
This will be repeated for each partition to be encrypted.
-->
暗号化するパーティションの数だけ繰り返します。
</para><para>
<!--
After returning to the main partitioning menu, you will see all
encrypted volumes as additional partitions which can be configured in
the same way as ordinary partitions. The following example shows two
different volumes. The first one is encrypted via dm-crypt, the second
one via loop-AES.
-->
メインパーティション分割メニューに戻ると、暗号化ボリュームが、
通常のパーティションと同様に追加パーティションとして見えています。
以下の例では、2 つの異なるボリュームを示します。
1 番目は dm-crypt で暗号化し、2 番目は loop-AES で暗号化しています。
<informalexample><screen>
Encrypted volume (<replaceable>sda2_crypt</replaceable>) - 115.1 GB Linux device-mapper
#1 115.1 GB F ext3
Loopback (<replaceable>loop0</replaceable>) - 515.2 MB AES256 keyfile
#1 515.2 MB F ext3
</screen></informalexample>
<!--
Now is the time to assign mount points to the volumes and optionally
change the file system types if the defaults do not suit you.
-->
今度は、ボリュームをマウントポイントに割り当てます。
また、デフォルトのファイルシステムタイプが合っていなければ変更も行います。
</para><para>
<!--
One thing to note here are the identifiers in parentheses
(<replaceable>crypt0</replaceable>
(<replaceable>sda2_crypt</replaceable>
and <replaceable>loop0</replaceable> in this case) and the mount
points you assigned to each encrypted volume. You will need this
information later when booting the new system. The differences between
ordinary boot process and boot process with encryption involved will
be covered later in <xref linkend="mount-encrypted-volumes"/>.
-->
ここで注意するのは、括弧内の識別子 (ここでは
<replaceable>sda2_crypt</replaceable>
と <replaceable>loop0</replaceable>) と、
暗号化ボリュームを割り当てるマウントポイントです。
後で新しいシステムを起動するときに、この情報が必要になります。
通常の起動プロセスと、暗号を伴う起動プロセスの相違点は、
<xref linkend="mount-encrypted-volumes"/> で扱います。
</para><para>
<!--
Once you are satisfied with the partitioning scheme, continue with the
installation.
-->
パーティション分割の内容に納得いったら、インストールに進んでください。
</para>
</sect3>
|