<Anterior | Conteúdo | Próxima>
instalador debian permite que você configure partições criptografadas. Cada arquivo que você grava em tal partição é imediatamente salvo no dispositivo de forma criptografada. O acesso aos dados criptografados é concedido apenas após entrar no passphrase usado quando a partição criptografada foi originalmente criada. Este recurso é útil para proteger dados confidenciais no caso de seu laptop ou disco rígido ser roubado. O ladrão pode obter acesso físico ao disco rígido, mas sem saber a senha correta, os dados no disco rígido parecerão caracteres aleatórios.
As duas partições mais importantes a serem criptografadas são: a partição inicial, onde residem seus dados privados, e a partição de troca, onde os dados confidenciais podem ser armazenados temporariamente durante a operação. Obviamente, nada impede que você criptografe quaisquer outras partições que possam ser de seu interesse. Por exemplo / var onde servidores de banco de dados, servidores de correio ou servidores de impressão armazenam seus dados, ou / Tmp que é usado por vários programas para armazenar arquivos temporários potencialmente interessantes. Algumas pessoas podem até querer criptografar todo o seu sistema. A única exceção é o / Bota partição que deve permanecer sem criptografia, porque atualmente não há como carregar o kernel de uma partição criptografada.
Nota: Observe que o desempenho das partições criptografadas será menor do que o das não criptografadas porque os dados precisam ser descriptografados ou criptografados para cada leitura ou gravação. O impacto no desempenho depende da velocidade da sua CPU, cifra escolhida, o comprimento da chave e se você usa operações de criptografia assistida por hardware ou não.
Para usar a criptografia, você deve criar uma nova partição selecionando algum espaço livre no menu principal de particionamento. Outra opção é escolher uma partição existente (por exemplo, uma partição regular, um volume lógico LVM ou um volume RAID). No Configurações de partição menu, você precisa selecionar volume físico para criptografia no Use como: opção. O menu será alterado para incluir várias opções criptográficas para a partição.
O método de criptografia suportado por instalador debian is dm-cripta (incluído nos kernels Linux mais novos, capaz de hospedar volumes físicos LVM).
Vamos dar uma olhada nas opções disponíveis quando você seleciona a criptografia via Mapeador de dispositivos (dm-crypt). Como sempre: em caso de dúvida, use os padrões, pois foram escolhidos cuidadosamente com a segurança em mente.
Criptografia: Aes
Esta opção permite que você selecione o algoritmo de criptografia (cifra) que será usado para criptografar os dados na partição. instalador debian atualmente suporta as seguintes cifras de bloco: Aes, baiacu, serpente e dois peixes. Está além do escopo deste documento discutir as qualidades desses diferentes algoritmos, no entanto, pode ajudar na sua decisão saber que em 2000, AES foi escolhido pelo Instituto Nacional Americano de Padrões e Tecnologia como o algoritmo de criptografia padrão para proteger informações confidenciais no século 21.
Tamanho da chave: 256
Aqui você pode especificar o comprimento da chave de criptografia. Com um tamanho de chave maior, a força da criptografia geralmente é melhorada. Por outro lado, aumentar o comprimento da chave geralmente tem um impacto negativo no desempenho. Os tamanhos de chave disponíveis variam dependendo da cifra.
Algoritmo IV: xts-plain64
O Vetor de inicialização or IV algoritmo é usado na criptografia para garantir que a aplicação da cifra no mesmo Texto claro dados com a mesma chave sempre produzem um único texto cifrado. A ideia é evitar que o invasor deduza informações de padrões repetidos nos dados criptografados.
A partir das alternativas fornecidas, o padrão xts-plain64 é atualmente o menos vulnerável a ataques conhecidos. Use as outras alternativas apenas quando precisar garantir a compatibilidade com algum sistema instalado anteriormente que não seja capaz de usar algoritmos mais recentes.
Chave de criptografia: Passphrase
Aqui você pode escolher o tipo de chave de criptografia para esta partição.
Passphrase
A chave de criptografia será calculada6 com base em uma frase secreta que você poderá inserir posteriormente no processo.
Chave aleatória
Uma nova chave de criptografia será gerada a partir de dados aleatórios cada vez que você tentar abrir a partição criptografada. Em outras palavras: a cada desligamento, o conteúdo da partição será perdido, pois a chave será excluída da memória. (Claro, você pode tentar adivinhar a chave com um ataque de força bruta, mas a menos que haja uma fraqueza desconhecida no algoritmo de cifra, isso não é possível durante a nossa vida.)
As chaves aleatórias são úteis para partições de swap porque você não precisa se preocupar em lembrar a frase secreta ou limpar informações confidenciais da partição de swap antes de desligar o computador. No entanto, também significa que você não ser capaz de usar a funcionalidade “suspend-to-disk” oferecida pelos kernels Linux mais novos, pois será impossível (durante uma inicialização subsequente) recuperar os dados suspensos gravados na partição swap.
6. Usar uma frase secreta como a chave atualmente significa que a partição será configurada usando LUKS (https://gitlab.com/cryptsetup/cryptsetup).
Apagar dados: sim
Determina se o conteúdo desta partição deve ser substituído por dados aleatórios antes de configurar a criptografia. Isso é recomendado porque, de outra forma, pode ser possível para um invasor discernir quais partes da partição estão em uso e quais não estão. Além disso, isso tornará mais difícil recuperar quaisquer dados remanescentes de instalações anteriores7.
Depois de selecionar os parâmetros desejados para as partições criptografadas, volte ao menu principal de particionamento. Agora deve haver um novo item de menu chamado Configurar volumes criptografados. Depois de selecioná-lo, você será solicitado a confirmar a exclusão de dados nas partições marcadas para serem apagadas e possivelmente outras ações, como escrever uma nova tabela de partição. Para partições grandes, isso pode levar algum tempo.
Em seguida, você será solicitado a inserir uma senha longa para as partições configuradas para usar uma. Boas frases-senha devem ter mais de 8 caracteres, devem ser uma mistura de letras, números e outros caracteres e não devem conter palavras comuns do dicionário ou informações facilmente associadas a você (como datas de nascimento, hobbies, nomes de animais de estimação, nomes de familiares ou parentes, etc.).
Aviso
Antes de inserir qualquer senha, você deve ter certeza de que seu teclado está configurado corretamente e gera os caracteres esperados. Se você não tiver certeza, pode alternar para o segundo console virtual e digitar algum texto no prompt. Isso garante que você não ficará surpreso mais tarde, por exemplo, ao tentar inserir uma frase-senha usando um layout de teclado qwerty quando você usou um layout azerty durante a instalação. Essa situação pode ter várias causas. Talvez você tenha mudado para outro layout de teclado durante a instalação, ou o layout de teclado selecionado pode não ter sido configurado ainda ao inserir a senha para o sistema de arquivos raiz.
Se você optou por usar métodos diferentes de uma frase secreta para criar chaves de criptografia, eles serão gerados agora. Como o kernel pode não ter reunido uma quantidade suficiente de entropia neste estágio inicial da instalação, o processo pode levar muito tempo. Você pode ajudar a acelerar o processo gerando entropia: por exemplo, pressionando teclas aleatórias ou mudando para o shell no segundo console virtual e gerando algum tráfego de rede e disco (baixando alguns arquivos, alimentando arquivos grandes em / dev / null, etc.). Isso será repetido para cada partição a ser criptografada.
Após retornar ao menu principal de particionamento, você verá todos os volumes criptografados como partições adicionais que podem ser configuradas da mesma forma que as partições comuns. O exemplo a seguir mostra um volume criptografado via dm-crypt.
Volume criptografado (sda2_crypt) - mapeador de dispositivos Linux de 115.1 GB
# 1 115.1 GB F ext3
Agora é a hora de atribuir pontos de montagem aos volumes e, opcionalmente, alterar os tipos de sistema de arquivos se os padrões não forem adequados para você.
Preste atenção aos identificadores entre parênteses (sda2_crypt neste caso) e os pontos de montagem atribuídos a cada volume criptografado. Você precisará dessas informações mais tarde, ao inicializar o novo sistema. As diferenças entre o processo de inicialização normal e o processo de inicialização com criptografia envolvida serão abordadas posteriormente na Seção 7.2.
Quando estiver satisfeito com o esquema de particionamento, continue com a instalação.
7. Acredita-se que os caras das agências de três letras podem restaurar os dados mesmo após várias reescritas na mídia magneto-óptica.