เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
โปรแกรมติดตั้ง debian ช่วยให้คุณตั้งค่าพาร์ติชั่นที่เข้ารหัสได้ ทุกไฟล์ที่คุณเขียนไปยังพาร์ติชั่นดังกล่าวจะถูกบันทึกไปยังอุปกรณ์ในรูปแบบที่เข้ารหัสทันที การเข้าถึงข้อมูลที่เข้ารหัสจะได้รับหลังจากป้อน .เท่านั้น รหัสผ่าน ใช้เมื่อสร้างพาร์ติชันที่เข้ารหัสไว้ตั้งแต่แรก คุณลักษณะนี้มีประโยชน์ในการปกป้องข้อมูลที่ละเอียดอ่อนในกรณีที่แล็ปท็อปหรือฮาร์ดไดรฟ์ของคุณถูกขโมย โจรอาจเข้าถึงฮาร์ดไดรฟ์ได้ทางกายภาพ แต่หากไม่ทราบข้อความรหัสผ่านที่ถูกต้อง ข้อมูลในฮาร์ดไดรฟ์จะดูเหมือนอักขระแบบสุ่ม
พาร์ติชั่นที่สำคัญที่สุดสองพาร์ติชั่นในการเข้ารหัสคือ: โฮมพาร์ติชั่น ที่ข้อมูลส่วนตัวของคุณอยู่ และพาร์ติชั่นสว็อป ซึ่งข้อมูลที่ละเอียดอ่อนอาจถูกเก็บไว้ชั่วคราวระหว่างการทำงาน แน่นอน ไม่มีอะไรป้องกันคุณจากการเข้ารหัสพาร์ติชั่นอื่นๆ ที่อาจสนใจ ตัวอย่างเช่น / var ที่เซิร์ฟเวอร์ฐานข้อมูล เมลเซิร์ฟเวอร์ หรือเซิร์ฟเวอร์การพิมพ์จัดเก็บข้อมูล หรือ / Tmp ซึ่งใช้โดยโปรแกรมต่างๆ เพื่อจัดเก็บไฟล์ชั่วคราวที่น่าสนใจ บางคนอาจต้องการเข้ารหัสทั้งระบบ ข้อยกเว้นเพียงอย่างเดียวคือ / boot พาร์ติชั่นที่ต้องไม่ถูกเข้ารหัส เนื่องจากขณะนี้ยังไม่มีวิธีโหลดเคอร์เนลจากพาร์ติชั่นที่เข้ารหัส
หมายเหตุ โปรดทราบว่าประสิทธิภาพของพาร์ติชั่นที่เข้ารหัสจะน้อยกว่าพาร์ติชั่นที่ไม่ได้เข้ารหัส เนื่องจากข้อมูลจำเป็นต้องถอดรหัสหรือเข้ารหัสทุกครั้งที่อ่านหรือเขียน ผลกระทบด้านประสิทธิภาพขึ้นอยู่กับความเร็ว CPU ของคุณ รหัสที่เลือก ความยาวของคีย์ และไม่ว่าคุณจะใช้การดำเนินการเข้ารหัสโดยใช้ฮาร์ดแวร์ช่วยหรือไม่
ในการใช้การเข้ารหัส คุณต้องสร้างพาร์ติชั่นใหม่โดยเลือกพื้นที่ว่างในเมนูพาร์ติชั่นหลัก อีกทางเลือกหนึ่งคือเลือกพาร์ติชั่นที่มีอยู่ (เช่น พาร์ติชั่นปกติ, โลจิคัลวอลุ่ม LVM หรือโวลุ่ม RAID) ใน การตั้งค่าพาร์ทิชัน เมนูต้องเลือก ฟิสิคัลวอลุ่มสำหรับการเข้ารหัส ที่ ใช้เป็น: ตัวเลือก. จากนั้นเมนูจะเปลี่ยนเพื่อรวมตัวเลือกการเข้ารหัสหลายตัวสำหรับพาร์ติชัน
วิธีการเข้ารหัสที่รองรับโดย โปรแกรมติดตั้ง debian is dm-crypt.php? (รวมอยู่ในเคอร์เนล Linux ที่ใหม่กว่า สามารถโฮสต์ฟิสิคัลวอลุ่ม LVM ได้)
มาดูตัวเลือกที่ใช้ได้เมื่อคุณเลือกการเข้ารหัสผ่าน อุปกรณ์ทำแผนที่ (dm-crypt). เช่นเคย: หากมีข้อสงสัย ให้ใช้ค่าเริ่มต้น เนื่องจากได้รับการคัดเลือกมาอย่างดีโดยคำนึงถึงความปลอดภัยเป็นหลัก
การเข้ารหัสลับ: AES
ตัวเลือกนี้ให้คุณเลือกอัลกอริธึมการเข้ารหัส (ตัวเลข) ซึ่งจะใช้ในการเข้ารหัสข้อมูลในพาร์ติชั่น โปรแกรมติดตั้ง debian ปัจจุบันรองรับการเข้ารหัสบล็อกต่อไปนี้: AES, ปักเป้า, พญานาคและ ปลาสองตัว. อยู่นอกเหนือขอบเขตของเอกสารนี้เพื่อหารือเกี่ยวกับคุณสมบัติของอัลกอริธึมต่างๆ เหล่านี้ อย่างไรก็ตาม อาจช่วยให้คุณตัดสินใจได้ว่าในปี 2000 AES ได้รับเลือกจาก American National Institute of Standards and Technology ให้เป็นอัลกอริธึมการเข้ารหัสมาตรฐานสำหรับการปกป้องข้อมูลที่ละเอียดอ่อนในศตวรรษที่ 21
ขนาดคีย์: 256
คุณสามารถระบุความยาวของคีย์การเข้ารหัสได้ที่นี่ ด้วยขนาดคีย์ที่ใหญ่ขึ้น ความแข็งแกร่งของการเข้ารหัสจึงดีขึ้นโดยทั่วไป ในทางกลับกัน การเพิ่มความยาวของคีย์มักจะส่งผลเสียต่อประสิทธิภาพการทำงาน ขนาดคีย์ที่ใช้ได้จะแตกต่างกันไปตามตัวเลข
อัลกอริทึม IV: xts-plain64
การขอ การเริ่มต้นเวกเตอร์ or IV อัลกอริทึมที่ใช้ในการเข้ารหัสเพื่อให้แน่ใจว่าใช้รหัสลับเดียวกัน ข้อความที่ชัดเจน ข้อมูลที่มีคีย์เดียวกันจะสร้างเอกลักษณ์เสมอ ข้อความรหัส. แนวความคิดนี้เพื่อป้องกันผู้โจมตีจากการอนุมานข้อมูลจากรูปแบบซ้ำๆ ในข้อมูลที่เข้ารหัส
จากทางเลือกที่ให้มา ค่าเริ่มต้น xts-plain64 ปัจจุบันมีความเสี่ยงน้อยที่สุดต่อการโจมตีที่รู้จัก ใช้ทางเลือกอื่นเฉพาะเมื่อคุณต้องการให้แน่ใจว่าเข้ากันได้กับระบบที่ติดตั้งก่อนหน้านี้ซึ่งไม่สามารถใช้อัลกอริธึมที่ใหม่กว่าได้
คีย์การเข้ารหัส: ข้อความรหัสผ่าน
ที่นี่คุณสามารถเลือกประเภทของคีย์การเข้ารหัสสำหรับพาร์ติชันนี้
ข้อความรหัสผ่าน
คีย์การเข้ารหัสจะถูกคำนวณ6 บนพื้นฐานของข้อความรหัสผ่านซึ่งคุณจะสามารถป้อนได้ในภายหลังในกระบวนการ
สุ่มคีย์
คีย์เข้ารหัสใหม่จะถูกสร้างขึ้นจากข้อมูลสุ่มทุกครั้งที่คุณพยายามเปิดพาร์ติชั่นที่เข้ารหัส กล่าวอีกนัยหนึ่ง: ทุกครั้งที่ปิดระบบ เนื้อหาของพาร์ติชั่นจะหายไปเมื่อคีย์ถูกลบออกจากหน่วยความจำ (แน่นอน คุณสามารถลองเดาคีย์ด้วยการโจมตีแบบเดรัจฉาน แต่ถ้าไม่มีจุดอ่อนที่ไม่รู้จักในอัลกอริธึมการเข้ารหัส มันไม่สามารถทำได้ในช่วงชีวิตของเรา)
คีย์สุ่มมีประโยชน์สำหรับพาร์ติชั่นสว็อป เนื่องจากคุณไม่จำเป็นต้องกังวลกับการจดจำข้อความรหัสผ่านหรือล้างข้อมูลสำคัญจากพาร์ติชั่นสว็อปก่อนที่จะปิดเครื่องคอมพิวเตอร์ อย่างไรก็ตาม มันก็หมายความว่าคุณจะ ไม่ สามารถใช้ฟังก์ชัน "suspend-to-disk" ที่เสนอโดยเคอร์เนล Linux รุ่นใหม่ เนื่องจากจะเป็นไปไม่ได้ (ระหว่างการบู๊ตครั้งถัดไป) ในการกู้คืนข้อมูลที่ถูกระงับซึ่งเขียนไปยังพาร์ติชั่นสว็อป
6. การใช้ข้อความรหัสผ่านเป็นคีย์ในปัจจุบันหมายความว่าพาร์ติชันจะถูกตั้งค่าโดยใช้ LUKS (https://gitlab.com/cryptsetup/cryptsetup)
ลบข้อมูล: ใช่
กำหนดว่าเนื้อหาของพาร์ติชันนี้ควรถูกเขียนทับด้วยข้อมูลสุ่มก่อนตั้งค่าการเข้ารหัสหรือไม่ วิธีนี้แนะนำ เนื่องจากผู้โจมตีอาจระบุได้ว่าส่วนใดของพาร์ติชันที่ใช้งานอยู่และส่วนใดไม่ได้ใช้ นอกจากนี้ จะทำให้การกู้คืนข้อมูลที่เหลือจากการติดตั้งครั้งก่อนทำได้ยากขึ้น7.
หลังจากที่คุณเลือกพารามิเตอร์ที่ต้องการสำหรับพาร์ติชั่นที่เข้ารหัสแล้ว ให้กลับไปที่เมนูการแบ่งพาร์ติชั่นหลัก ตอนนี้น่าจะมีเมนูใหม่ชื่อว่า กำหนดค่าโวลุ่มที่เข้ารหัส. หลังจากที่คุณเลือก ระบบจะขอให้คุณยืนยันการลบข้อมูลในพาร์ติชั่นที่ทำเครื่องหมายว่าจะถูกลบและอาจดำเนินการอื่นๆ เช่น การเขียนตารางพาร์ติชั่นใหม่ สำหรับพาร์ติชันขนาดใหญ่ อาจใช้เวลาสักครู่
ถัดไป คุณจะถูกขอให้ป้อนข้อความรหัสผ่านสำหรับพาร์ติชันที่กำหนดค่าให้ใช้ วลีรหัสผ่านที่ดีควรมีความยาวมากกว่า 8 อักขระ ควรเป็นตัวอักษร ตัวเลข และอักขระอื่นๆ ผสมกัน และไม่ควรมีคำในพจนานุกรมทั่วไปหรือข้อมูลที่เชื่อมโยงกับคุณได้ง่าย (เช่น วันเกิด งานอดิเรก ชื่อสัตว์เลี้ยง ชื่อสมาชิกในครอบครัวหรือญาติ เป็นต้น)
การเตือน
ก่อนที่คุณจะป้อนข้อความรหัสผ่าน คุณควรตรวจสอบให้แน่ใจว่าแป้นพิมพ์ของคุณได้รับการกำหนดค่าอย่างถูกต้องและสร้างอักขระที่ต้องการ หากคุณไม่แน่ใจ คุณสามารถเปลี่ยนไปใช้คอนโซลเสมือนตัวที่สองและพิมพ์ข้อความที่พรอมต์ได้ เพื่อให้แน่ใจว่าคุณจะไม่แปลกใจในภายหลัง เช่น การพยายามป้อนข้อความรหัสผ่านโดยใช้รูปแบบแป้นพิมพ์แบบ qwerty เมื่อคุณใช้รูปแบบ azerty ระหว่างการติดตั้ง สถานการณ์นี้อาจมีหลายสาเหตุ บางทีคุณอาจเปลี่ยนไปใช้รูปแบบแป้นพิมพ์อื่นระหว่างการติดตั้ง หรือรูปแบบแป้นพิมพ์ที่เลือกอาจยังไม่ได้ตั้งค่าเมื่อป้อนข้อความรหัสผ่านสำหรับระบบไฟล์รูท
หากคุณเลือกที่จะใช้วิธีอื่นที่ไม่ใช่ข้อความรหัสผ่านเพื่อสร้างคีย์การเข้ารหัส คีย์เหล่านี้จะถูกสร้างขึ้นทันที เนื่องจากเคอร์เนลอาจไม่ได้รวบรวมเอนโทรปีในปริมาณที่เพียงพอในช่วงเริ่มต้นของการติดตั้งนี้ กระบวนการอาจใช้เวลานาน คุณสามารถช่วยเพิ่มความเร็วของกระบวนการโดยสร้างเอนโทรปี: เช่น โดยการกดปุ่มสุ่ม หรือโดยการสลับไปที่เชลล์บนคอนโซลเสมือนที่สอง และสร้างเครือข่ายและปริมาณการใช้ดิสก์ (ดาวน์โหลดไฟล์บางไฟล์ ป้อนไฟล์ขนาดใหญ่ลงใน / dev / nullเป็นต้น) สิ่งนี้จะถูกทำซ้ำสำหรับการเข้ารหัสแต่ละพาร์ติชั่น
หลังจากกลับไปที่เมนูการแบ่งพาร์ติชั่นหลัก คุณจะเห็นวอลลุ่มที่เข้ารหัสทั้งหมดเป็นพาร์ติชั่นเพิ่มเติมซึ่งสามารถกำหนดค่าได้ในลักษณะเดียวกับพาร์ติชั่นทั่วไป ตัวอย่างต่อไปนี้แสดงโวลุ่มที่เข้ารหัสผ่าน dm-crypt
ปริมาณการเข้ารหัส (sda2_crypt) - ตัวแมปอุปกรณ์ Linux 115.1 GB
#1 115.1 GB F ต่อ 3
ถึงเวลากำหนดจุดเชื่อมต่อให้กับโวลุ่มและเลือกเปลี่ยนประเภทระบบไฟล์หากค่าเริ่มต้นไม่เหมาะกับคุณ
ให้ความสนใจกับตัวระบุในวงเล็บ (sda2_crypt ในกรณีนี้) และจุดเชื่อมต่อที่คุณกำหนดให้กับแต่ละโวลุ่มที่เข้ารหัส คุณจะต้องใช้ข้อมูลนี้ในภายหลังเมื่อทำการบูทระบบใหม่ ความแตกต่างระหว่างกระบวนการบู๊ตแบบธรรมดาและกระบวนการบู๊ตที่มีการเข้ารหัสจะกล่าวถึงในภายหลังในหัวข้อที่ 72.
เมื่อคุณพอใจกับรูปแบบการแบ่งพาร์ติชันแล้ว ให้ดำเนินการติดตั้งต่อ
7. เป็นที่เชื่อกันว่าพวกจากหน่วยงานที่มีตัวอักษรสามตัวสามารถกู้คืนข้อมูลได้แม้ว่าจะเขียนสื่อแม่เหล็กซ้ำหลายครั้งก็ตาม