[D-I] Revione del manuale
Luca Monducci
luca.mo@tiscali.it
Dom 16 Lug 2006 16:40:17 CEST
Ciao a tutti,
segue la traduzione di una nuova sezione del manuale.
Grazie in anticipo a chi volesse darci un'occhiata.
Luca
<!-- retain these comments for translator revision tracking -->
<!-- original version: 38703 -->
<sect3 id="partman-crypto">
<!-- <title>Configuring Encrypted Volumes</title> -->
<title>Configurazione di volumi cifrati</title>
<para>
<!--
&d-i; allows you to set up encrypted partitions. Every file you write
to such a partition is immediately saved to the device in encrypted
form. Access to the encrypted data is granted only after entering
the <firstterm>passphrase</firstterm> used when the encrypted
partition was originally created. This feature is useful to protect
sensitive data in case your laptop or hard drive gets stolen. The
thief might get physical access to the hard drive, but without knowing
the right passphrase, the data on the hard drive will look like random
characters.
-->
&d-i; consente di preparare delle partizioni cifrate; ogni file scritto su
partizioni di questo tipo viene immediatamente salvato sul device usando
un formato cifrato. L'accesso ai dati cifrati è permesso solo dopo aver
inserito la <firstterm>passphrase</firstterm> scelta alla creazione della
partizione cifrata. Questa funzionalità è utile per proteggere i dati
sensibili nel caso di furto del proprio portatile o del proprio disco
fisso, il ladro potrebbe avere accesso fisico al disco fisso ma senza
conoscere la passphrase corretta, i dati sul disco risultano essere una
sequenza casuale di caratteri.
</para><para>
<!--
The two most important partitions to encrypt are: the home partition,
where your private data resides, and the swap partition, where
sensitive data might be stored temporarily during operation. Of
course, nothing prevents you from encrypting any other partitions that might
be of interest. For example <filename>/var</filename> where database
servers, mail servers or print servers store their data, or
<filename>/tmp</filename> which is used by various programs to store
potentially interesting temporary files. Some people may even want to
encrypt their whole system. The only exception is
the <filename>/boot</filename> partition which must remain
unencrypted, because currently there is no way to load the kernel from
an encrypted partition.
-->
Le partizioni più importanti da crittare sono: la partizione home, in cui
risiedono i dati privati, e la partizione di swap, in cui durante la normale
attività potrebbero essere temporaneamente memorizzati dei dati sensibili.
Ovviamente nulla vieta di crittare qualsiasi altra partizione. Per esempio
in <filename>/var</filename> i database server, i mail server o i print
server salvano i propri dati, oppure <filename>/tmp</filename> è usata da
vari programmi per memorizzare dei file temporanei potenzialmente importanti.
Si potrebbe anche voler cifrare l'intero sistema; l'unica partizione che
deve rimanere non crittata è la <filename>/boot</filename> perché, al
momento, non c'è modo di caricare il kernel da una partizione crittata.
</para><note><para>
<!--
Please note that the performance of encrypted partitions will be
less than that of unencrypted ones because the data needs to be
decrypted or encrypted for every read or write. The performance impact
depends on your CPU speed, chosen cipher and a key length.
-->
Le prestazioni di una partizione cifrata sono inferiori rispetto a quelle
di una partizione tradizionale perché i dati devono essere decifrati o
cifrati a ogni lettura o scrittura. L'impatto sulle prestazioni dipende
dalla velocità della CPU, dal cifratore scelto e dalla lunghezza della
chiave.
</para></note><para>
<!--
To use encryption, you have to create a new partition by selecting
some free space in the main partitioning menu. Another option is to
choose an existing partition (e.g. a regular partition, an LVM logical
volume or a RAID volume). In the <guimenu>Partition setting</guimenu>
menu, you need to select <guimenuitem>physical volume for
encryption</guimenuitem> at the <menuchoice> <guimenu>Use
as:</guimenu> </menuchoice> option. The menu will then change to
include several cryptographic options for the partition.
-->
Per usare la cifratura è necessario creare una nuova partizione dopo aver
selezionato dello spazio libero dal menu principale di partizionamento.
Un'altra possibilità è selezionare una partizione esistente (per esempio
una normale partizione, un volume logico di LVM o un volume RAID). Dal
menu <guimenu>Impostazioni della partizione</guimenu> si deve scegliere
<guimenuitem>volume fisico per la cifratura</guimenuitem> come valore del
campo <menuchoice> <guimenu>Usato come:</guimenu> </menuchoice>. Il menu
cambia in modo da visualizzare le opzioni relative a come cifrare la
partizione.
</para><para>
<!--
&d-i; supports several encryption methods. The default method
is <firstterm>dm-crypt</firstterm> (included in newer Linux kernels,
able to host LVM physical volumes), the other
is <firstterm>loop-AES</firstterm> (older, maintained separately from
the Linux kernel tree). Unless you have compelling reasons to do
otherwise, it is recommended to use the default.
-->
<!-- TODO: link to the "Debian block device encryption guide"
once Max writes it :-) -->
&d-i; supporta più metodi di cifratura. Il metodo predefinito è
<firstterm>dm-crypt</firstterm> (incluso nei nuovi kernel Linux
e in grado di ospitare volumi fisici per LVM), l'altro metodo è
<firstterm>loop-AES</firstterm> (più vecchio e manutenuto
separatamente dai sorgenti del kernel Linux). Si raccomanda l'uso
del metodo predefinito se non si hanno vincoli che obbligano al
contrario.
</para><para>
<!--
First, let's have a look at available options available when you
select <userinput>Device-mapper (dm-crypt)</userinput> as the
encryption method. As always: when in doubt, use the defaults, because
they have been carefully chosen with security in mind.
-->
Scegliendo <userinput>Device-mapper (dm-crypt)</userinput> come metodo di
cifratura si hanno a disposizione le seguenti opzioni. Come al solito:
quando si hanno dei dubbi si consiglia di accettare i valori predefiniti,
sono stati attentamente scelti avendo come scopo finale la sicurezza del
sistema.
<variablelist>
<varlistentry>
<!-- <term>Encryption: <userinput>aes</userinput></term> -->
<term>Cifratura: <userinput>aes</userinput></term>
<listitem><para>
<!--
This option lets you select the encryption algorithm
(<firstterm>cipher</firstterm>) which will be used to encrypt the data
on the partition. &d-i; currently supports the following block
ciphers: <firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>,
<firstterm>serpent</firstterm>, and <firstterm>twofish</firstterm>.
It is beyond the scope of this document to discuss the qualities of
these different algorithms, however, it might help your decision to
know that in 2000, <emphasis>AES</emphasis> was chosen by the American
National Institute of Standards and Technology as the standard
encryption algorithm for protecting sensitive information in the 21st
century.
-->
Questa opzione permette di scegliere l'algoritmo di cifratura
(<firstterm>cifratore</firstterm>) da usare per crittare i dati nella
partizione. Attualmente &d-i; supporta i seguenti cifratori a blocchi:
<firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>,
<firstterm>serpent</firstterm> e <firstterm>twofish</firstterm>. Non
rientra fra gli obiettivi di questo documento discutere le qualità dei
vari algoritmi, comunque può essere utile sapere che nel 2000
l'<emphasis>American National Institute of Standards and Technology</emphasis>
ha scelto <emphasis>AES</emphasis> come l'algoritmo standard per la protezione
delle informazioni sensibili nel 21-esimo secolo.
</para></listitem>
</varlistentry>
<varlistentry>
<!-- <term>Key size: <userinput>256</userinput></term> -->
<term>Dimensione della chiave: <userinput>256</userinput></term>
<listitem><para>
<!--
Here you can specify the length of the encryption key. With a larger
key size, the strength of the encryption is generally improved. On the
other hand, increasing the length of the key usually has a negative
impact on performance. Available key sizes vary depending on the
cipher.
-->
Si può specificare la lunghezza della chiave di cifratura. Generalmente
una chiave più lunga aumenta la forza della cifratura, d'altra parte
all'aumento della lunghezza della chiave corrisponde un impatto negativo
sulle prestazioni. Le lunghezze disponibili per la chiave dipendono dal
cifratore.
</para></listitem>
</varlistentry>
<varlistentry>
<!-- <term>IV algorithm: <userinput>cbc-essiv:sha256</userinput></term> -->
<term>Algoritmo di IV: <userinput>cbc-essiv:sha256</userinput></term>
<listitem><para>
<!--
The <firstterm>Initialization Vector</firstterm> or
<firstterm>IV</firstterm> algorithm is used in cryptography to ensure
that applying the cipher on the same <firstterm>clear text</firstterm>
data with the same key always produces a unique
<firstterm>cipher text</firstterm>. The idea is to prevent the
attacker from deducing information from repeated patterns in the encrypted
data.
-->
In crittografia l'algoritmo di <firstterm>Vettore di
Inizializzazione</firstterm> o <firstterm>IV</firstterm> è usato per
assicurarsi che applicando il cifratore sullo stesso <firstterm>testo
in chiaro</firstterm> e con la stessa chiave si ottiene un unico
<firstterm>testo cifrato</firstterm>. Lo scopo è impedire a un aggressore
di dedurre informazioni cercando parti che si ripetono nei dati cifrati.
</para><para>
<!--
From the provided alternatives, the default
<userinput>cbc-essiv:sha256</userinput> is currently the least
vulnerable to known attacks. Use the other alternatives only when you
need to ensure compatibility with some previously installed system
that is not able to use newer algorithms.
-->
Fra le alternative proposte quella predefinita
(<userinput>cbc-essiv:sha256</userinput>) è attualmente la meno
vulnerabile ai tipi di attacco conosciuti. Si usi una delle alternative
solo se si deve garantire la compatibilità con altri sistemi già
installati che non sono in grado di usare degli algoritmi più recenti.
</para></listitem>
</varlistentry>
<varlistentry>
<!-- <term>Encryption key: <userinput>Passphrase</userinput></term> -->
<term>Chiave di cifratura: <userinput>Passphrase</userinput></term>
<listitem><para>
<!--
Here you can choose the type of the encryption key for this partition.
-->
Adesso si deve scegliere il tipo di chiave di cifratura per la partizione.
<variablelist>
<varlistentry>
<term>Passphrase</term>
<listitem><para>
<!--
The encryption key will be computed<footnote>
-->
La chiave di cifratura viene calcolata<footnote>
<para>
<!--
Using a passphrase as the key currently means that the partition will
be set up using <ulink url="&url-luks;">LUKS</ulink>.
-->
Usare una passphrase come chiave vuol dire che la partizione viene
configurata usando <ulink url="&url-luks;">LUKS</ulink>.
</para>
<!--
</footnote> on the basis of a passphrase which you will be able
to enter later in the process.
-->
</footnote> sulla base di una passphrase che sarà inserita nei prossimi
passi del processo.
</para></listitem>
</varlistentry>
<varlistentry>
<!-- <term>Random key</term> -->
<term>Chiave casuale</term>
<listitem><para>
<!--
A new encryption key will be generated from random data each time you
try to bring up the encrypted partition. In other words: on every
shutdown the content of the partition will be lost as the key is
deleted from memory. (Of course, you could try to guess the key with a
brute force attack, but unless there is an unknown weakness in the
cipher algorithm, it is not achievable in our lifetime.)
-->
Una nuova chiave di cifratura viene generata da dati casuali ogni volta
che si prova ad attivare la partizione cifrata. In altre parole: ogni
volta che il sistema viene spento il contenuto della partizione è perso
perché la chiave è cancellata dalla memoria. (Ovviamente si più provare
a indovinare la chiave con un attacco di forza bruta ma, a meno di una
falla sconosciuta nell'algoritmo di cifratura, è un risultato che si
ottiene in un periodo tempo molto lungo).
</para><para>
<!--
Random keys are useful for swap partitions because you do not need to
bother yourself with remembering the passphrase or wiping sensitive
information from the swap partition before shutting down your
computer. However, it also means that you
will <emphasis>not</emphasis> be able to use
the <quote>suspend-to-disk</quote> functionality offered by newer
Linux kernels as it will be impossible (during a subsequent boot) to
recover the suspended data written to the swap partition.
-->
Le chiavi casuali sono particolarmente utili per le partizioni di swap,
infatti non è necessario dover ricordare la passphrase o eliminare i
dati sensibili dalla partizione di swap prima di spegnere la macchina.
Purtroppo questo implica che <emphasis>non</emphasis> si può usare la
funzionalità <quote>suspend-to-disk</quote> offerta dai kernel Linux
più recenti dato che è impossibile (durante l'avvio di ripristino)
recuperare i dati memorizzati nella partizione di swap.
</para></listitem>
</varlistentry>
</variablelist>
</para></listitem>
</varlistentry>
<varlistentry>
<!-- <term>Erase data: <userinput>yes</userinput></term> -->
<term>Cancellare i dati: <userinput>sì</userinput></term>
<listitem><para>
<!--
Determines whether the content of this partition should be overwritten
with random data before setting up the encryption. This is recommended
because it might otherwise be possible for an attacker to discern
which parts of the partition are in use and which are not. In
addition, this will make it harder to recover any leftover data from
previous installations<footnote>
-->
Determina se il contenuto di questa partizione deve essere sovrascritto
con dei dati casuali prima di della sua configurazione. Si raccomanda
questa operazione perché altrimenti un aggressore potrebbe essere in
grado di riconoscere quali parti della partizione sono usate e quali no.
Inoltre questo rende più complesso il ripristino di qualsiasi dato
rimasto dalle precedenti installazioni<footnote>
<para>
<!--
It is believed that the guys from three-letter agencies can restore
the data even after several rewrites of the magnetooptical media,
though.
-->
Si pensa che i ragazzi dell'azienda di tre lettere siano in grado di
ripristinare i dati anche dopo parecchie scritture del supporto
magneto-ottico.
</para></footnote>.
</para></listitem>
</varlistentry>
</variablelist>
</para><para>
<!--
If you select <menuchoice> <guimenu>Encryption method:</guimenu>
<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, the menu
changes to provide the following options:
-->
Scegliendo <menuchoice> <guimenu>Metodo di cifratura:</guimenu>
<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, il menu
cambia e mostra le seguenti opzioni:
<variablelist>
<varlistentry>
<!-- <term>Encryption: <userinput>AES256</userinput></term> -->
<term>Cifratura: <userinput>AES256</userinput></term>
<listitem><para>
<!--
For loop-AES, unlike dm-crypt, the options for cipher and key size are
combined, so you can select both at the same time. Please see the
above sections on ciphers and key sizes for further information.
-->
Per loop-AES, diversamente da dm-crypt, le opzioni per il cifratore e
la lunghezza della chiave si scelgono contemporaneamente. Si vedano le
sezioni precedenti su cifratori e lunghezza della chiave per ulteriori
informazioni.
</para></listitem>
</varlistentry>
<varlistentry>
<!-- <term>Encryption key: <userinput>Keyfile (GnuPG)</userinput></term> -->
<term>Chiave di cifratura: <userinput>File chiave (GnuPG)</userinput></term>
<listitem><para>
<!--
Here you can select the type of the encryption key for this partition.
-->
Adesso si deve scegliere il tipo di chiave di cifratura per la partizione.
<variablelist>
<varlistentry>
<!-- <term>Keyfile (GnuPG)</term> -->
<term>File chiave (GnuPG)</term>
<listitem><para>
<!--
The encryption key will be generated from random data during the
installation. Moreover this key will be encrypted
with <application>GnuPG</application>, so to use it, you will need to
enter the proper passphrase (you will be asked to provide one later in
the process).
-->
La chiave di cifratura è generata da dei dati casuali durante
l'installazione. Inoltre la chiave viene a cifrata con
<application>GnuPG</application>, quindi per poterla usare sarà
necessario inserire la passphrase corretta (in seguito, durante
il processo d'installazione, verrà richiesto di sceglierne una).
</para></listitem>
</varlistentry>
<varlistentry>
<!-- <term>Random key</term> -->
<term>Chiave casuale</term>
<listitem><para>
<!--
Please see the the section on random keys above.
-->
Si veda la sezione precedente sulle chiavi casuali.
</para></listitem>
</varlistentry>
</variablelist>
</para></listitem>
</varlistentry>
<varlistentry>
<!-- <term>Erase data: <userinput>yes</userinput></term> -->
<term>Cancellare i dati: <userinput>sì</userinput></term>
<listitem><para>
<!--
Please see the the section on erasing data above.
-->
Si veda la sezione precedente sulla cancellazione dei dati.
</para></listitem>
</varlistentry>
</variablelist>
</para><note><para>
<!--
Please note that the <emphasis>graphical</emphasis> version of the
installer still has some limitations when compared to the textual
one. For cryptography it means you can set up only volumes using
<emphasis>passphrases</emphasis> as the encryption keys.
-->
La versione <emphasis>grafica</emphasis> dell'installatore ha delle
limitazioni rispetto alla versione testuale. In particolare, per quanto
riguarda la crittografia, le limitazioni sono la possibilità di
configurare i volumi solo con <emphasis>passphrase</emphasis> come
chiavi di cifratura.
</para></note><para>
<!--
After you have selected the desired parameters for your encrypted
partitions, return back to the main partitioning menu. There should
now be a new menu item called <guimenu>Configure encrypted
volumes</guimenu>. After you select it, you will be asked to confirm
the deletion of data on partitions marked to be erased and possibly
other actions such as writing a new partition table. For large
partitions this might take some time.
-->
Dopo aver scelto i parametri per le partizioni cifrate, tornare al menu
principale di partizionamento. Adesso è presente una nuova voce di menu
con nome <guimenu>Configurare volumi cifrati</guimenu>. Dopo averla
selezionata viene chiesto di confermare la cancellazione dei dati se in
precedenza la partizione era marcata per essere ripulita e di confermare
altre cose come la scrittura della nuova tabella delle partizioni. Se la
partizione è di grandi dimensioni questa operazione potrebbe richiedere
un po' di tempo.
</para><para>
<!--
Next you will be asked to enter a passphrase for partitions configured
to use one. Good passphrases should be longer than 8 characters,
should be a mixture of letters, numbers and other characters and
should not contain common dictionary words or information easily
associable with you (such as birthdates, hobbies, pet names, names of
family members or relatives, etc.).
-->
Poi viene chiesto di inserire la passphrase di ognuna delle partizioni
configurate. Una buona passphrase non dovrebbe essere più corta di 8
caratteri, dovrebbe essere un misto di lettere, numeri e altri caratteri
e non dovrebbe contenere parole che si possono trovare in un dizionario
né informazioni personali (come la data di nascita, hobby, nomi di
animali domestici, nomi di familiari o parenti, ecc.).
</para><warning><para>
<!--
Before you input any passphrases, you should have made sure that your
keyboard is configured correctly and generates the expected
characters. If you are unsure, you can switch to the second virtual
console and type some text at the prompt. This ensures that you won't be
surprised later, e.g. by trying to input a passphrase using a qwerty
keyboard layout when you used an azerty layout during the installation.
This situation can have several causes. Maybe you switched to another
keyboard layout during the installation, or the selected keyboard layout
might not have been set up yet when entering the passphrase for the
root file system.
-->
Prima di inserire qualsiasi passphrase si deve essere sicuri che la
tastiera sia configurata correttamente e che i caratteri generati siano
quelli che ci si aspetta. Se non si è sicuri si può passare sulla seconda
console virtuale e fare delle prove. Questo serve per essere sicuri di non
avere sorprese in seguito, per esempio si potrebbe inserire la passphrase
con una tastiera qwerty ma che è durante l'installazione ha un layout
azerty. Questa situazione può avere più cause. Forse durante l'installazione
si è cambiato il layout della tastiera, oppure il layout della tastiera non
è stato ancora configurato quando si inserisce la passphrase per il file
system di root.
</para></warning><para>
<!--
If you selected to use methods other than a passphrase to create
encryption keys, they will be generated now. Because the kernel may
not have gathered a sufficient amount of entropy at this early stage
of the installation, the process may take a long time. You can help
speed up the process by generating entropy: e.g. by pressing random
keys, or by switching to the shell on the second virtual console and
generating some network and disk traffic (downloading some files,
feeding big files into <filename>/dev/null</filename>, etc.).
-->
Se per creare le chiavi di cifratura si sceglie di usare metodi diversi
dalla passphrase, le chiavi sono create adesso. Dato che nei primi passi
dell'installazione il kernel potrebbe non aver accumulato una quantità
di entropia sufficiente il processo potrebbe richiedere parecchio tempo.
Il processo può essere velocizzato generando entropia: cioè premendo dei
tasti a caso, passando alla shell nella seconda console virtuale e
provocando del traffico in rete o con i dischi (scaricando dei file,
inviando dei file di grosse dimensioni in <filename>/dev/null</filename>,
ecc.).
<!-- TODO: Mention hardware random generators when we will support
them -->
<!--
This will be repeated for each partition to be encrypted.
-->
Questa operazione deve essere ripetuta per ogni partizione da cifrare.
</para><para>
<!--
After returning to the main partitioning menu, you will see all
encrypted volumes as additional partitions which can be configured in
the same way as ordinary partitions. The following example shows two
different volumes. The first one is encrypted via dm-crypt, the second
one via loop-AES.
-->
Dopo essere ritornati al menu di partizionamento principale tutti i volumi
cifrati e le altre partizioni che possono configurate nello stesso modo
delle partizioni tradizionali. L'esempio seguente mostra due volumi diversi;
il primo è cifrato via dm-crypt, il secondo via loop-AES.
<informalexample><screen>
<!-- Encrypted volume -->Volume cifrato (<replaceable>crypt0</replaceable>) - 115.1 GB Linux device-mapper
#1 115.1 GB F ext3
Loopback (<replaceable>loop0</replaceable>) - 515.2 MB AES256 keyfile
#1 515.2 MB F ext3
</screen></informalexample>
<!--
Now is the time to assign mount points to the volumes and optionally
change the file system types if the defaults do not suit you.
-->
Adesso si devono assegnare i punti di mount ai volumi e opzionalmente
modificare il tipo di file system se quello predefinito non è adatto
ai propri scopi.
</para><para>
<!--
One thing to note here are the identifiers in parentheses
(<replaceable>crypt0</replaceable>
and <replaceable>loop0</replaceable> in this case) and the mount
points you assigned to each encrypted volume. You will need this
information later when booting the new system. The differences between
ordinary boot process and boot process with encryption involved will
be covered later in <xref linkend="mount-encrypted-volumes"/>.
-->
Prendere nota degli identificatori fra parentesi (in questo esempio
(<replaceable>crypt0</replaceable> e <replaceable>loop0</replaceable>) e
dei punti di mount che si assegnano ai volumi. Queste informazioni sono
necessarie in seguito, durante l'avvio del nuovo sistema. Le differenze
fra un processo d'avvio tradizionale e uno che coinvolge la crittazione
sono spiegate in <xref linkend="mount-encrypted-volumes"/>.
</para><para>
<!--
Once you are satisfied with the partitioning scheme, continue with the
installation.
-->
Quando si è soddisfatti dello schema di partizionamento si può proseguire
con l'installazione.
</para>
</sect3>
Maggiori informazioni sulla lista
tp