path: root/ja/using-d-i/modules/partman-crypto.xml

<?xml version="1.0" encoding="EUC-JP"?>
<!-- retain these comments for translator revision tracking -->
<!-- original version: 44026 -->

   <sect3 id="partman-crypto">
<!--
   <title>Configuring Encrypted Volumes</title>
-->
   <title>暗号化ボリュームの設定</title>
<para>

<!--
&d-i; allows you to set up encrypted partitions. Every file you write
to such a partition is immediately saved to the device in encrypted
form. Access to the encrypted data is granted only after entering
the <firstterm>passphrase</firstterm> used when the encrypted
partition was originally created. This feature is useful to protect
sensitive data in case your laptop or hard drive gets stolen. The
thief might get physical access to the hard drive, but without knowing
the right passphrase, the data on the hard drive will look like random
characters.
-->
&d-i; では暗号化パーティションを設定できます。
暗号化パーティションに保存したファイルはすべて、
暗号化した形で即座にデバイスに書き込まれます。
暗号化したデータへのアクセスは、暗号化パーティションを作成した際に設定した
<firstterm>パスフレーズ</firstterm> を入力した後で有効になります。
この機能は、ノート PC やハードディスクが盗難に遭った際に、
機密データを保護するのに便利です。
盗人がハードディスクの物理データにアクセスしようとする際、
正しいパスフレーズを知らないと、
ハードディスクのデータはランダムな文字列にしか見えません。

</para><para>

<!--
The two most important partitions to encrypt are: the home partition,
where your private data resides, and the swap partition, where
sensitive data might be stored temporarily during operation. Of
course, nothing prevents you from encrypting any other partitions that might
be of interest. For example <filename>/var</filename> where database
servers, mail servers or print servers store their data, or
<filename>/tmp</filename> which is used by various programs to store
potentially interesting temporary files. Some people may even want to
encrypt their whole system.  The only exception is
the <filename>/boot</filename> partition which must remain
unencrypted, because currently there is no way to load the kernel from
an encrypted partition.
-->
暗号化するのに最重要なパーティションが 2 つあります。
個人的なデータを格納する home パーティションと、
操作中に機密データを一時的に格納する swap パーティションです。
もちろん、その他のパーティションの暗号化を妨げるものはなにもありません。
たとえば、データベースサーバ、メールサーバ、
プリンタサーバがそれぞれファイルを格納する <filename>/var</filename> や、
様々なプログラムが、
潜在的に興味深い一時ファイルを作成する <filename>/tmp</filename> です。
システム全体を暗号化したいと考える方もいます。
暗号化をしない方がいい、唯一の例外パーティションは、
<filename>/boot</filename> パーティションです。
暗号化されたパーティションからカーネルを起動する方法がないからです。

</para><note><para>

<!--
Please note that the performance of encrypted partitions will be
less than that of unencrypted ones because the data needs to be
decrypted or encrypted for every read or write. The performance impact
depends on your CPU speed, chosen cipher and a key length.
-->
データの読み書き時に常に暗号化・復号を行うため、
暗号化パーティションのパフォーマンスは、
暗号化していないものよりも低下する事に注意してください。
パフォーマンスは、CPU のスピード、選択した暗号方式、
暗号化キーの長さに影響を受けます。

</para></note><para>

<!--
To use encryption, you have to create a new partition by selecting
some free space in the main partitioning menu. Another option is to
choose an existing partition (e.g. a regular partition, an LVM logical
volume or a RAID volume). In the <guimenu>Partition settings</guimenu>
menu, you need to select <guimenuitem>physical volume for
encryption</guimenuitem> at the <menuchoice> <guimenu>Use
as:</guimenu> </menuchoice> option. The menu will then change to
include several cryptographic options for the partition.
-->
暗号化を用いるには、メインパーティションメニューで空き領域を選択して、
新しいパーティションを作成する必要があります。
他には既存のパーティション (例、通常のパーティション、LVM 論理ボリューム、
RAID ボリューム) を選択するという手もあります。
<guimenu>パーティション設定</guimenu> メニューの、
<menuchoice> <guimenu>利用方法:</guimenu> </menuchoice> で 
<guimenuitem>暗号化の物理ボリューム</guimenuitem> を選択する必要があります。
そうすると、メニューにパーティションを暗号化するオプションが追加されます。

</para><para>

<!--
&d-i; supports several encryption methods. The default method
is <firstterm>dm-crypt</firstterm> (included in newer Linux kernels,
able to host LVM physical volumes), the other
is <firstterm>loop-AES</firstterm> (older, maintained separately from
the Linux kernel tree). Unless you have compelling reasons to do
otherwise, it is recommended to use the default.
-->
&d-i; は、暗号化の方法をいくつかサポートしています。
デフォルトの方法は<firstterm>dm-crypt</firstterm> 
(新しめの Linux カーネルに含まれ、LVM 物理ボリュームを格納できる) です。
その他には、<firstterm>loop-AES</firstterm> 
(古く、Linux カーネルツリーとは独立してメンテナンスされている) があります。
やむにやまれぬ理由があるのでなければ、
デフォルトのままにしておくのをお勧めします。

<!-- TODO: link to the "Debian block device encryption guide"
     once Max writes it :-) -->

</para><para>

<!--
First, let's have a look at the options available when you select
<userinput>Device-mapper (dm-crypt)</userinput> as the encryption
method. As always: when in doubt, use the defaults, because
they have been carefully chosen with security in mind.
-->
はじめに、暗号化するにあたり <userinput>Device-mapper (dm-crypt)</userinput> 
を選択して、オプションを有効にしましょう
いつものように、よく分からなければデフォルト値を指定してください。
セキュリティを念頭に置いて選択されています。

<variablelist>

<varlistentry>
<term>Encryption: <userinput>aes</userinput></term>

<listitem><para>

<!--
This option lets you select the encryption algorithm
(<firstterm>cipher</firstterm>) which will be used to encrypt the data
on the partition. &d-i; currently supports the following block
ciphers: <firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>,
<firstterm>serpent</firstterm>, and <firstterm>twofish</firstterm>.
It is beyond the scope of this document to discuss the qualities of
these different algorithms, however, it might help your decision to
know that in 2000, <emphasis>AES</emphasis> was chosen by the American
National Institute of Standards and Technology as the standard
encryption algorithm for protecting sensitive information in the 21st
century.
-->
このオプションで、パーティションのデータを暗号化するのに使用する、
暗号化アルゴリズム (<firstterm>暗号方式</firstterm>) を選択します。
現在、&d-i; は以下の暗号方式をサポートしています。
<firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>,
<firstterm>serpent</firstterm>, <firstterm>twofish</firstterm> です。
それぞれのアルゴリズムの品質についての議論は、
この文書の範疇を越えてしまいますが、
以下はあなたの決断の助けになるかもしれません。
<emphasis>AES</emphasis> は、2000 年に米国商務省標準技術局により、
21 世紀の機密情報を保護する標準暗号化アルゴリズムとして採用されました。

</para></listitem>
</varlistentry>

<varlistentry>
<term>Key size: <userinput>256</userinput></term>

<listitem><para>

<!--
Here you can specify the length of the encryption key. With a larger
key size, the strength of the encryption is generally improved. On the
other hand, increasing the length of the key usually has a negative
impact on performance. Available key sizes vary depending on the
cipher.
-->
ここでは暗号化キーの長さを指定できます。
一般的に暗号化キーが長くなると暗号強度が向上します。
一方、暗号化キーが長くなると、大抵パフォーマンスにマイナスの影響を与えます。
利用できる暗号化キーのサイズは暗号方式に依存します。

</para></listitem>
</varlistentry>

<varlistentry>
<term>IV algorithm: <userinput>cbc-essiv:sha256</userinput></term>

<listitem><para>

<!--
The <firstterm>Initialization Vector</firstterm> or
<firstterm>IV</firstterm> algorithm is used in cryptography to ensure
that applying the cipher on the same <firstterm>clear text</firstterm>
data with the same key always produces a unique
<firstterm>cipher text</firstterm>. The idea is to prevent the
attacker from deducing information from repeated patterns in the encrypted
data.
-->
<firstterm>初期化ベクトル</firstterm> や 
<firstterm>IV</firstterm> アルゴリズムは、
同じ <firstterm>平文</firstterm> データと同一の暗号化キーで、
常に異なる <firstterm>暗号文</firstterm> の出力を保証し、
安全に暗号を解読するのに利用されます。
これにより、暗号化データ中に繰り返されるパターンから、
攻撃者が情報を推測できないようにします。

</para><para>

<!--
From the provided alternatives, the default
<userinput>cbc-essiv:sha256</userinput> is currently the least
vulnerable to known attacks. Use the other alternatives only when you
need to ensure compatibility with some previously installed system
that is not able to use newer algorithms.
-->
デフォルトの <userinput>cbc-essiv:sha256</userinput> は現在のところ、
攻撃される恐れがもっとも少ないです。
その他の選択肢は、新しいアルゴリズムに対応していない、
以前インストールしたシステムと互換をとる場合のみ使用してください。

</para></listitem>
</varlistentry>

<varlistentry>
<!--
<term>Encryption key: <userinput>Passphrase</userinput></term>
-->
<term>Encryption key: <userinput>Passphrase</userinput></term>

<listitem><para>

<!--
Here you can choose the type of the encryption key for this partition.
-->
ここでは、このパーティションの暗号化キーのタイプを選択できます。

 <variablelist>
 <varlistentry>
 <term>Passphrase</term>
 <listitem><para>

<!--
The encryption key will be computed<footnote>
<para>

Using a passphrase as the key currently means that the partition will
be set up using <ulink url="&url-luks;">LUKS</ulink>.

</para></footnote> on the basis of a passphrase which you will be able
to enter later in the process.
-->
暗号化キーを、プロセスの後で入力するパスフレーズに基づいて計算<footnote>
<para>

暗号化キーにパスフレーズを使用するのは、
<ulink url="&url-luks;">LUKS</ulink> を使用して設定するという意味です。

</para></footnote>します。

 </para></listitem>
 </varlistentry>

 <varlistentry>
 <term>Random key</term>
 <listitem><para>

<!--
A new encryption key will be generated from random data each time you
try to bring up the encrypted partition.  In other words: on every
shutdown the content of the partition will be lost as the key is
deleted from memory. (Of course, you could try to guess the key with a
brute force attack, but unless there is an unknown weakness in the
cipher algorithm, it is not achievable in our lifetime.)
-->
暗号化パーティションを作成するたびに、新しい暗号化キーをランダムに生成します。
言い換えると、シャットダウンごとに暗号化キーがメモリから削除され、
パーティションの内容を失うということです。
(もちろん総当たりで暗号化キーを推測することはできますが、
暗号アルゴリズムに未知の弱点がない限り、
生きているうちには解読されないでしょう)

 </para><para>

<!--
Random keys are useful for swap partitions because you do not need to
bother yourself with remembering the passphrase or wiping sensitive
information from the swap partition before shutting down your
computer. However, it also means that you
will <emphasis>not</emphasis> be able to use
the <quote>suspend-to-disk</quote> functionality offered by newer
Linux kernels as it will be impossible (during a subsequent boot) to
recover the suspended data written to the swap partition.
-->
Random key は swap パーティションで使うと便利です。
というのも、パスフレーズを覚えておく必要もなく、
コンピュータをシャットダウンする前に、
機密情報を swap パーティションから掃除するからです。
しかし、最近の Linux カーネルで利用できる <quote>suspend-to-disk</quote> 
機能では使用できないということでもあります。
(次の起動中に) swap パーティションからサスペンドデータを、
復元できなくなってしまうのです。

 </para></listitem>
 </varlistentry>
 </variablelist>

</para></listitem>
</varlistentry>

<varlistentry>
<term>Erase data: <userinput>yes</userinput></term>

<listitem><para>

<!--
Determines whether the content of this partition should be overwritten
with random data before setting up the encryption. This is recommended
because it might otherwise be possible for an attacker to discern
which parts of the partition are in use and which are not. In
addition, this will make it harder to recover any leftover data from
previous installations<footnote><para>

It is believed that the guys from three-letter agencies can restore
the data even after several rewrites of the magnetooptical media,
though.

</para></footnote>.
-->
暗号化の前に、
このパーティションの内容をランダムなデータで上書きするかどうかを決めます。
そうしないと攻撃者が、パーティションのどの部分を使用中で、
どの部分が使用していないかを見分けられますので、上書きすることをお奨めします。
その上、以前インストールしていて残ってしまったデータを、
復元しにくくします<footnote><para>

3 文字の機関では、磁気光学メディアを何度か書き換えた後でも、
データを復元できると信じられています。

</para></footnote>。

</para></listitem>
</varlistentry>

</variablelist>

</para><para>

<!--
If you select <menuchoice> <guimenu>Encryption method:</guimenu>
<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, the menu
changes to provide the following options:
-->
<menuchoice> <guimenu>Encryption method:</guimenu>
<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice> を選択すると、
メニューは以下のオプションを提供するように変わります。

<variablelist>
<varlistentry>
<term>Encryption: <userinput>AES256</userinput></term>

<listitem><para>

<!--
For loop-AES, unlike dm-crypt, the options for cipher and key size are
combined, so you can select both at the same time.  Please see the
above sections on ciphers and key sizes for further information.
-->
dm-crypt と違い loop-AES では、暗号形式と暗号化キーサイズのオプションを混ぜており、
同時に指定できます。暗号形式と暗号化キーサイズについては、前節をご覧ください。

</para></listitem>
</varlistentry>

<varlistentry>
<term>Encryption key: <userinput>Keyfile (GnuPG)</userinput></term>

<listitem><para>

<!--
Here you can select the type of the encryption key for this partition.
-->
ここでは、このパーティションの暗号化キーのタイプを選択できます。

 <variablelist>
 <varlistentry>
 <term>Keyfile (GnuPG)</term>
 <listitem><para>

<!--
The encryption key will be generated from random data during the
installation. Moreover this key will be encrypted
with <application>GnuPG</application>, so to use it, you will need to
enter the proper passphrase (you will be asked to provide one later in
the process).
-->
暗号化キーはインストール時にランダムデータから生成されます。
その上で、この暗号化キーを <application>GnuPG</application> で暗号化します。
これを利用するには、適切なパスフレーズを入力する必要があります。
(後のプロセスで要求されます)

 </para></listitem>
 </varlistentry>

 <varlistentry>
 <term>Random key</term>
 <listitem><para>

<!--
Please see the section on random keys above.
-->
前述の Random key の節をご覧ください

 </para></listitem>
 </varlistentry>
 </variablelist>

</para></listitem>
</varlistentry>

<varlistentry>
<term>Erase data: <userinput>yes</userinput></term>

<listitem><para>

<!--
Please see the the section on erasing data above.
-->
前節の Erase data をご覧ください

</para></listitem>
</varlistentry>

</variablelist>

</para>
<note condition="gtk"><para>

<!--
Please note that the <emphasis>graphical</emphasis> version of the
installer still has some limitations when compared to the textual
one. For cryptography it means you can set up only volumes using a
<emphasis>passphrase</emphasis> as the encryption key.
-->
<emphasis>グラフィカル</emphasis>版インストーラでは、
テキスト版と比べて、まだいくつか制限があることに注意してください。
暗号化については、暗号化キーに <emphasis>パスフレーズ</emphasis> 
を使用するボリュームのみ作成できます。

</para></note>
<para>

<!--
After you have selected the desired parameters for your encrypted
partitions, return back to the main partitioning menu. There should
now be a new menu item called <guimenu>Configure encrypted
volumes</guimenu>.  After you select it, you will be asked to confirm
the deletion of data on partitions marked to be erased and possibly
other actions such as writing a new partition table.  For large
partitions this might take some time.
-->
暗号化パーティション用に必要なパラメータを選択すると、
メインパーティション分割メニューに戻ります。
そこに今度は<guimenu>暗号化されたボリュームの設定</guimenu> 
という項目があるはずです。これを選択すると、
削除するとマークしたパーティションを本当に削除してよいか確認し、
新しいパーティションテーブルを書き込むといったアクションを起こします。
大きなパーティションではしばらく時間がかかるでしょう。

</para><para>

<!--
Next you will be asked to enter a passphrase for partitions configured
to use one.  Good passphrases should be longer than 8 characters,
should be a mixture of letters, numbers and other characters and
should not contain common dictionary words or information easily
associable with you (such as birthdates, hobbies, pet names, names of
family members or relatives, etc.).
-->
次に、パスフレーズを使用するよう設定していれば、パスフレーズを訊かれます。
よいパスフレーズは、8 文字以上で、文字・数字・その他の記号が混ざり、
辞書に載っていないか、容易に連想される情報 
(誕生日、趣味、ペットの名前、家族や親戚の名前など) でないものです。

</para><warning><para>

<!--
Before you input any passphrases, you should have made sure that your
keyboard is configured correctly and generates the expected
characters. If you are unsure, you can switch to the second virtual
console and type some text at the prompt. This ensures that you won't be
surprised later, e.g. by trying to input a passphrase using a qwerty 
keyboard layout when you used an azerty layout during the installation.
This situation can have several causes. Maybe you switched to another
keyboard layout during the installation, or the selected keyboard layout
might not have been set up yet when entering the passphrase for the
root file system.
-->
パスフレーズを入力する前に、キーボードが正しく設定され、
期待した文字が入力できるようになっていなければなりません。
よくわからなければ、別の仮想端末に切り替えて、プロンプトに入力してください。
これにより、例えば、インストール中に azerty 配列を使用しているのに、
qwerty 配列でパスフレーズを入力するといったことで、
あなたが後で驚くようなことにはならないでしょう。
この状況はいくつかの原因が考えられます。
インストール中に別のキーボード配列に切り替えたとか、
ルートファイルシステムのパスフレーズを入力する時に、
まだ選択したキーボードレイアウトが有効でなかったのかもしれません。

</para></warning><para>

<!--
If you selected to use methods other than a passphrase to create
encryption keys, they will be generated now. Because the kernel may
not have gathered a sufficient amount of entropy at this early stage
of the installation, the process may take a long time. You can help
speed up the process by generating entropy: e.g. by pressing random
keys, or by switching to the shell on the second virtual console and
generating some network and disk traffic (downloading some files,
feeding big files into <filename>/dev/null</filename>, etc.).
-->
暗号化キーの作成に、パスフレーズ以外の方法を選択した場合、
すぐに暗号化キーを生成します。
インストールの初期では、カーネルが十分なエントロピーを集めていないので、
このプロセスに長時間かかるかもしれません。
エントロピーを集めてこのプロセスのスピードを上げるには、
ランダムにキーを押す、別の仮想コンソールに切り替えて 
(ファイルのダウンロードや、
大きなファイルを <filename>/dev/null</filename> に流すなど) 
ネットワークやディスクのトラフィックを起こすなどがあります。

<!-- TODO: Mention hardware random generators when we will support
     them -->

<!--
This will be repeated for each partition to be encrypted.
-->
暗号化するパーティションの数だけ繰り返します。

</para><para>

<!--
After returning to the main partitioning menu, you will see all
encrypted volumes as additional partitions which can be configured in
the same way as ordinary partitions. The following example shows two
different volumes. The first one is encrypted via dm-crypt, the second
one via loop-AES.
-->
メインパーティション分割メニューに戻ると、暗号化ボリュームが、
通常のパーティションと同様に追加パーティションとして見えています。
以下の例では、2 つの異なるボリュームを示します。
1 番目は dm-crypt で暗号化し、2 番目は loop-AES で暗号化しています。

<informalexample><screen>
Encrypted volume (<replaceable>sda2_crypt</replaceable>) - 115.1 GB Linux device-mapper
     #1 115.1 GB  F ext3

Loopback (<replaceable>loop0</replaceable>) - 515.2 MB AES256 keyfile
     #1 515.2 MB  F ext3
</screen></informalexample>

<!--
Now is the time to assign mount points to the volumes and optionally
change the file system types if the defaults do not suit you.
-->
今度は、ボリュームをマウントポイントに割り当てます。
また、デフォルトのファイルシステムタイプが合っていなければ変更も行います。

</para><para>

<!--
One thing to note here are the identifiers in parentheses
(<replaceable>crypt0</replaceable>
(<replaceable>sda2_crypt</replaceable>
and <replaceable>loop0</replaceable> in this case) and the mount
points you assigned to each encrypted volume. You will need this
information later when booting the new system. The differences between
ordinary boot process and boot process with encryption involved will
be covered later in <xref linkend="mount-encrypted-volumes"/>.
-->
ここで注意するのは、括弧内の識別子 (ここでは 
<replaceable>sda2_crypt</replaceable> 
と <replaceable>loop0</replaceable>) と、
暗号化ボリュームを割り当てるマウントポイントです。
後で新しいシステムを起動するときに、この情報が必要になります。
通常の起動プロセスと、暗号を伴う起動プロセスの相違点は、
<xref linkend="mount-encrypted-volumes"/> で扱います。

</para><para>

<!--
Once you are satisfied with the partitioning scheme, continue with the
installation.
-->
パーティション分割の内容に納得いったら、インストールに進んでください。

</para>
   </sect3>