6 Sử dụng trình cài đặt Debian
6.3.4.6 Cấu hình khối tin được mật mã
debian-installercho bạn khả năng thiết lập khối tin được mật mã. Mỗi tập tin bạn ghi vào phân vùng như vậy được lưu mật mã ngay vào thiết bị đó. Chỉ người dùng nhậpcụm từ mật khẩuđược nhập để tạo phân vùng gốc có quyền truy cập dữ liệu đã mật mã trên nó. Tính năng này bảo vệ dữ liệu nhạy cảm, trong trường hợp máy tính xách tay hay đĩa cứng bị mất cắp. Kẻ trộm có thể truy cập đĩa cứng một cách vật lý, nhưng mà nếu ta không biết cụm từ mật khẩu đúng, dữ liệu nằm trên đĩa cứng sẽ hình như ký tự ngẫu nhiên thôi.
The two most important partitions to encrypt are: the home partition, where your private data resides, and the swap partition, where sensitive data might be stored temporarily during operation. Of course, nothing prevents you from encrypting any other partitions that might be of interest. For example/varwhere database servers, mail servers or print servers store their data, or/tmpwhich is used by various programs to store potentially interesting temporary files. Some people may even want to encrypt their whole system. Generally the only exception here is the/boot partition which must remain unencrypted, because historically there was no way to load the kernel from an encrypted partition. (GRUB is now able to do that, butdebian-installercurrently lacks native support for encrypted /boot. The setup is therefore covered in aseparate document.)
G ú
Ghi chú rằng phân vùng được mật mã có hiệu suất ít hơn phân vùng không mật mã, vì dữ liệu cần phải được giải mật mã hay mật mã trong mỗi việc đọc hay ghi. Tác động hiệu suất phụ thuộc vào tốc độ của CPU, kiểu mật mã và độ dài của khoá.
Để sử dụng khả năng mật mã, bạn cần phải tạo một phân vùng mới bằng cách chọn một phần sức chứa còn rảnh trong trình đơn phân vùng chính. Hoặc có thể chọn một phân vùng tồn tại (v.d. một phân vùng chuẩn, một khối tin hợp lý LVM hay một khối tin RAID). Trong trình đơn Thiết lập phân vùng, bạn cần chọn mục khối tin vật lý cho sự mật mã tại tùy chọn Dùng làm:. Trình đơn lúc đó thay đổi để hiển thị vài tùy chọn mật mã cho phân vùng đó.
The encryption method supported bydebian-installerisdm-crypt(included in newer Linux kernels, able to host LVM physical volumes).
Let’s have a look at the options available when you select encryption viaDevice-mapper (dm-crypt). As always: when in doubt, use the defaults, because they have been carefully chosen with security in mind.
Mật mã:aes Tùy chọn này cho bạn khả năng chọn thuật toán mật mã (cipher) sẽ được dùng để mật mã dữ liệu nằm trên phân vùng đó.debian-installerhiện thời hỗ trợ những thuật toán mật mã khối này:aes,blowfish,
serpent,twofish. Khả năng của mỗi thuật toán ở ngoại phạm vị của tài liệu này, nhưng mà thông tin có thê giúp đỡ bạn quyết định là trong năm 2000,AESđược chọn bởi Viện Tiêu Chuẩn và Kỹ Thuật Quốc Gia Mỹ (American National Institute of Standards and Technology) là thuật toán mật mã tiêu chuẩn để bảo vệ thông tin nhạy cảm trong thế kỷ thứ hai mươi mốt.
Dài khoá:256 Ở đây bạn có khả năng xác định độ dài của khoá mật mã. Khoá dài hơn thường mật mã mạnh hơn. Mặt khác, khoá dài hơn thường cũng giảm hiệu suất. Những độ dài khoá sẵn sàng phụ thuộc vào thuật toán mật mã.
CHAPTER 6. SỬ DỤNG TRÌNH CÀI ĐẶT DEBIAN 6.3. SỬ DỤNG MỖI THÀNH PHẦN
Thuật toán IV:xts-plain64 Thuật toánVéc-tơ sở khởihayIVđược dùng khi mật mã để đảm bảo việc áp dụng thuật toán cho cùng mộtđoạn thôvới cùng một khoá sẽ luôn luôn tạođoạn mật mãduy nhất. Mục đích là chặn người tấn công suy luận thông tin nào ra mẫu xảy ra nhiều lần trong dữ liệu đã mật mã.
Trong những xen kẽ được cung cấp,xts-plain64hiện thời khó nhất bị tấn công bằng cách được biết. Hãy dùng xen kẽ khác chỉ khi bạn cần phải chắc là tương thích với hệ thống được cài đặt trước mà không có khả năng dùng thuật toán mới hơn.
Khoá mật mã:Cụm từ mật khẩu Ở đây bạn có thể chọn kiểu khoá mật mã cho phân vùng này.
Cụm từ mật khẩu Khoá mật mã sẽ được tính⁶dựa vào cụm từ mật khẩu bạn có thể nhập vào lúc sau trong tiến trình.
Khoá ngẫu nhiên Một khoá mật mã mới sẽ được tạo ra từ dữ liệu ngẫu nhiên khi nào bạn thử lắp phân vùng được mật mã. Tức là khi nào tắt máy tính, nội dung của phân vùng này sẽ bị mất khi khoá bị xoá bỏ ra bộ nhớ. (Tất nhiên, bạn có thể thử đoán khoá đó, dùng chương trình đoán, sự tấn công sức mạnh vũ phu, nhưng mà nếu thuật toán mật mã không có sở đoản chưa được biết, sự tấn công kiểu này không thể thành công trong đời sống của bạn.)
Khoá ngẫu nhiên có ích đối với phân vùng trao đổi, vì bạn không cần nhớ cụm từ mật khẩu hoặc nhớ xoá sạch thông tin nhạy cảm ra phân vùng trao đổi trước khi tắt máy tính. Tuy nhiên, bạn sẽ cũngkhông
có khả năng dùng chức năng “ngưng đến đĩa” (suspend-to-disk) do hạt nhân Linux mới hơn cung cấp, vì không thể phục hồi dữ liệu được ngưng đã được ghi vào phân vùng trao đổi, khi khởi động lại.
Xoá bỏ dữ liệu :có Quyết định nếu nội dung của phân vùng này nên được ghi đè bằng dữ liệu ngẫu nhiên trước khi thiết lập mật mã. Khuyên bạn dùng tính năng này, nếu không thì người tấn công có thể tím biết phần nào của phân vùng đang được dùng hay không. Hơn nữa, tính năng này làm cho khó hơn việc phục hồi dữ liệu còn lại của bản cài đặt trước.⁷.
Sau khi bạn chọn những tham số thích hợp với những phân vùng đã mật mã, hãy trở về trình đơn phân vùng chính. Lúc đó, nên có một mục trình đơn mới: Cấu hình khối tin đã mật mã. Sau khi chọn nó, bạn sẽ được nhắc xác nhận việc xoá bỏ dữ liệu nằm trên phân vùng nào được đánh dấu để bị xoá sạch, cũng có lẽ một số hành động khác, như việc ghi một bảng phân vùng mới. Đối với phân vùng lớn, có thể kéo dài một lát.
Sau đó, bạn sẽ được nhắc nhập một cụm từ mật khẩu cho phân vùng nào được cấu hình để sử dụng nó. Cụm từ mật khẩu tốt:
• có độ dài hơn 8 ký tự (dài hơn là mạnh hơn)
• phối hợp với nhau cả chữ hoa/thường, chữ số và ký tự khác
• không chứa từ nào nằm trong từ điển, hay từ nào liên quan dễ đến bạn (v.d. ngày sinh, sở thích, tên của gia đình hay bạn bè): không chứa từ nào chương trình có thể tìm kiếm hoặc người khác có thể đoán.
Cả á
Trước khi nhập cụm từ mật khẩu nào, bạn nên chắc là bàn phím được cấu hình đúng, để tạo ra những ký tự thích hợp. Nếu chưa chắc, bạn có thể chuyển đổi sang bàn giao tiếp ảo thứ hai, rồi gõ một số chữ tại dấu nhắc. Sự thử ra này đảm bảo bạn sẽ không bị ngạc nhiên sau này, chẳng hạn bằng cách thử nhập cụm từ mật khẩu bằng bố trí bàn phím tiếng Việt, khi bạn đã sử dụng bố trí tiếng Anh (hay bố trí tiếng Việt khác) để nhập cụm từ mật khẩu gốc trong khi cài đặt. Có lẽ bạn đã chuyển đổi sang bố trí khác vào lúc nào trong tiến trình cài đặt, hoặc bố trí thường dùng chưa được thiết lập khi bạn nhập cụm từ mật khẩu cho hệ thống tập tin gốc. Khuyên bạn luôn luôn kiểm tra xem bố trí bàn phím nào được dùng, trước khi nhập mật khẩu kiểu nào.
Nếu bạn đã chọn dùng phương pháp khác với cụm từ mật khẩu để tạo những khoá mật mã, chúng sẽ được tạo ra vào lúc này. Vì hạt nhân có lẽ chưa tập hợp đủ dữ liệu ngẫu nhiên trong giai đoạn cài đặt sớm này, tiến trình này có
⁶Dùng cụm từ mật khẩu là khoá hiện thời có nghĩa là phân vùng sẽ được thiết lập bằngLUKS.
CHAPTER 6. SỬ DỤNG TRÌNH CÀI ĐẶT DEBIAN 6.3. SỬ DỤNG MỖI THÀNH PHẦN
thể mất nhiều thời gian. Bạn có thể tăng tốc độ bằng cách tạo ra dữ liệu ngẫu nhiên: v.d. bấm phím ngẫu nhiên, hoặc chuyển đổi sang trình bao trên bàn giao tiếp ảo thứ nhất rồi tạo ra giao thông trên mạng và đĩa (tải về tập tin, nạp tập tin lớn vào/dev/null). Tiến trình này được lặp lại cho mỗi phân vùng cần mật mã.
After returning to the main partitioning menu, you will see all encrypted volumes as additional partitions which can be configured in the same way as ordinary partitions. The following example shows a volume encrypted via dm-crypt. Encrypted volume (sda2_crypt) - 115.1 GB Linux device-mapper
#1 115.1 GB F ext3
Now is the time to assign mount points to the volumes and optionally change the file system types if the defaults do not suit you.
Pay attention to the identifiers in parentheses (sda2_cryptin this case) and the mount points you assigned to each encrypted volume. You will need this information later when booting the new system. The differences between the ordinary boot process and the boot process with encryption involved will be covered later in Phần 7.2.
Một khi bạn thấy sơ đồ phân vùng là ổn thoả, hãy tiếp tục cài đặt.