Documentación<Anterior | Contenido | Siguiente>
instalador de debian le permite configurar particiones cifradas. Cada archivo que escribe en dicha partición se guarda inmediatamente en el dispositivo en forma cifrada. El acceso a los datos cifrados se otorga solo después de ingresar el frase de contraseña utilizado cuando se creó originalmente la partición cifrada. Esta función es útil para proteger datos confidenciales en caso de que le roben su computadora portátil o su disco duro. El ladrón puede tener acceso físico al disco duro, pero sin conocer la contraseña correcta, los datos en el disco duro se verán como caracteres aleatorios.
Las dos particiones más importantes para cifrar son: la partición de inicio, donde residen sus datos privados, y la partición de intercambio, donde los datos confidenciales pueden almacenarse temporalmente durante la operación. Por supuesto, nada le impide cifrar otras particiones que puedan ser de su interés. Por ejemplo / var donde los servidores de bases de datos, servidores de correo o servidores de impresión almacenan sus datos, o / Tmp que es utilizado por varios programas para almacenar archivos temporales potencialmente interesantes. Algunas personas pueden incluso querer cifrar todo su sistema. La única excepción es la /bota partición que debe permanecer sin cifrar, porque actualmente no hay forma de cargar el kernel desde una partición cifrada.
Nota: Tenga en cuenta que el rendimiento de las particiones cifradas será menor que el de las no cifradas porque los datos deben descifrarse o cifrarse para cada lectura o escritura. El impacto en el rendimiento depende de la velocidad de su CPU, el cifrado elegido, la longitud de la clave y si utiliza operaciones de criptografía asistida por hardware o no.
Para utilizar el cifrado, debe crear una nueva partición seleccionando algo de espacio libre en el menú principal de particiones. Otra opción es elegir una partición existente (por ejemplo, una partición normal, un volumen lógico LVM o un volumen RAID). En el Configuración de partición menú, debe seleccionar volumen físico para cifrado en el Usar como: opción. Luego, el menú cambiará para incluir varias opciones criptográficas para la partición.
El método de cifrado admitido por instalador de debian is cripta-dm (incluido en los kernels de Linux más nuevos, capaz de alojar volúmenes físicos LVM).
Echemos un vistazo a las opciones disponibles cuando selecciona el cifrado a través de Mapeador de dispositivos (dm-crypt). Como siempre: en caso de duda, utilice los valores predeterminados, porque se han elegido cuidadosamente teniendo en cuenta la seguridad.
Encriptación: Aes
Esta opción le permite seleccionar el algoritmo de cifrado (cifra) que se utilizará para cifrar los datos de la partición. instalador de debian actualmente admite los siguientes cifrados de bloque: Aes, pez globo, serpiente y dos peces. Está más allá del alcance de este documento discutir las cualidades de estos diferentes algoritmos; sin embargo, podría ser útil para su decisión saber que en 2000, AES fue elegido por el Instituto Nacional Estadounidense de Estándares y Tecnología como el algoritmo de cifrado estándar para proteger la información confidencial en el siglo XXI.
Tamaño de la clave: 256
Aquí puede especificar la longitud de la clave de cifrado. Con un tamaño de clave más grande, generalmente se mejora la fuerza del cifrado. Por otro lado, aumentar la longitud de la clave suele tener un impacto negativo en el rendimiento. Los tamaños de clave disponibles varían según el cifrado.
Algoritmo IV: xts-plain64
La pestaña Vector de inicialización or IV El algoritmo se utiliza en criptografía para garantizar que la aplicación del cifrado en el mismo Borrar texto Los datos con la misma clave siempre producen un único texto cifrado. La idea es evitar que el atacante deduzca información de patrones repetidos en los datos cifrados.
De las alternativas proporcionadas, el valor predeterminado xts-plain64 es actualmente el menos vulnerable a ataques conocidos. Utilice las otras alternativas solo cuando necesite garantizar la compatibilidad con algún sistema previamente instalado que no pueda utilizar algoritmos más nuevos.
Clave de encriptación: Frase de contraseña
Aquí puede elegir el tipo de clave de cifrado para esta partición.
Frase de contraseña
Se calculará la clave de cifrado6 sobre la base de una frase de contraseña que podrá ingresar más adelante en el proceso.
Clave aleatoria
Se generará una nueva clave de cifrado a partir de datos aleatorios cada vez que intente abrir la partición cifrada. En otras palabras: en cada apagado, el contenido de la partición se perderá ya que la clave se borra de la memoria. (Por supuesto, podría intentar adivinar la clave con un ataque de fuerza bruta, pero a menos que haya una debilidad desconocida en el algoritmo de cifrado, no se puede lograr durante nuestra vida).
Las claves aleatorias son útiles para intercambiar particiones porque no necesita preocuparse por recordar la frase de contraseña o borrar información confidencial de la partición de intercambio antes de apagar su computadora. Sin embargo, también significa que no sea podrá utilizar la funcionalidad de "suspensión en disco" que ofrecen los kernels de Linux más nuevos, ya que será imposible (durante un arranque posterior) recuperar los datos suspendidos escritos en la partición de intercambio.
6. Usar una frase de contraseña como clave actualmente significa que la partición se configurará usando LUKS (https://gitlab.com/cryptsetup/cryptsetup).
Borrar datos: sí
Determina si el contenido de esta partición debe sobrescribirse con datos aleatorios antes de configurar el cifrado. Esto se recomienda porque, de lo contrario, un atacante podría discernir qué partes de la partición están en uso y cuáles no. Además, esto dificultará la recuperación de los datos sobrantes de instalaciones anteriores.7.
Después de haber seleccionado los parámetros deseados para sus particiones encriptadas, regrese al menú principal de particiones. Ahora debería haber un nuevo elemento de menú llamado Configurar volúmenes cifrados. Después de seleccionarlo, se le pedirá que confirme la eliminación de los datos en las particiones marcadas para ser borradas y posiblemente otras acciones como escribir una nueva tabla de particiones. Para particiones grandes, esto puede llevar algún tiempo.
A continuación, se le pedirá que ingrese una frase de contraseña para las particiones configuradas para usar una. Las buenas frases de contraseña deben tener más de 8 caracteres, deben ser una combinación de letras, números y otros caracteres y no deben contener palabras comunes del diccionario o información fácilmente asociable con usted (como fechas de nacimiento, pasatiempos, nombres de mascotas, nombres de miembros de la familia o parientes, etc.).
advertencia
Antes de ingresar cualquier contraseña, debe asegurarse de que su teclado esté configurado correctamente y genere los caracteres esperados. Si no está seguro, puede cambiar a la segunda consola virtual y escribir texto cuando se le solicite. Esto asegura que no se sorprenderá más tarde, por ejemplo, al intentar ingresar una frase de contraseña usando un diseño de teclado qwerty cuando usó un diseño azerty durante la instalación. Esta situación puede tener varias causas. Tal vez cambió a otra distribución de teclado durante la instalación, o es posible que la distribución de teclado seleccionada aún no se haya configurado al ingresar la frase de contraseña para el sistema de archivos raíz.
Si seleccionó utilizar métodos que no sean una frase de contraseña para crear claves de cifrado, se generarán ahora. Debido a que es posible que el núcleo no haya reunido una cantidad suficiente de entropía en esta etapa inicial de la instalación, el proceso puede llevar mucho tiempo. Puede ayudar a acelerar el proceso generando entropía: por ejemplo, presionando teclas aleatorias o cambiando al shell en la segunda consola virtual y generando algo de tráfico de red y disco (descargando algunos archivos, introduciendo archivos grandes en / dev / null, etc.). Esto se repetirá para cada partición a cifrar.
Después de regresar al menú principal de particiones, verá todos los volúmenes cifrados como particiones adicionales que se pueden configurar de la misma manera que las particiones normales. El siguiente ejemplo muestra un volumen cifrado mediante dm-crypt.
Volumen cifrado (sda2_cripta) - Mapeador de dispositivos Linux de 115.1 GB
# 1 115.1 GB F ext3
Ahora es el momento de asignar puntos de montaje a los volúmenes y, opcionalmente, cambiar los tipos de sistema de archivos si los valores predeterminados no le convienen.
Preste atención a los identificadores entre paréntesis (sda2_cripta en este caso) y los puntos de montaje que asignó a cada volumen cifrado. Necesitará esta información más adelante cuando inicie el nuevo sistema. Las diferencias entre el proceso de inicio ordinario y el proceso de inicio con cifrado involucrado se cubrirán más adelante en la Sección 7.2.
Una vez que esté satisfecho con el esquema de partición, continúe con la instalación.
7. Sin embargo, se cree que los chicos de las agencias de tres letras pueden restaurar los datos incluso después de varias reescrituras de los medios magnetoópticos.