Introduction to LUKS

The simplest way to carry around the documents that you want to use with Tails encrypted is to use the Persistent Storage.

Для создания зашифрованных томов (например, флешек, внешних жёстких дисков) можно использовать LUKS. Это стандарт шифрования дисков в Linux.

  • Утилита Диски в GNOME позволяет создавать зашифрованные тома.
  • Их можно открыть на рабочем столе GNOME.

Comparison between LUKS and VeraCrypt

Вы можете открывать в Tails тома, зашифрованные с помощью VeraCrypt. Это шифровальная программа, которая работает в Windows, macOS и Linux. См. наше описание VeraCrypt.

Мы рекомендуем использовать:

  • VeraCrypt — чтобы шифровать файлы для использования в разных операционных системах.
  • LUKS — для шифрования файлов в Tails и Linux.
LUKSVeraCrypt
CompatibilityLinuxWindows + macOS + Linux
Create new volumesYesOutside of Tails
Open and modify existing volumesYesYes
Encrypted partitions (or entire disks) ¹YesYes
Encrypted file containers ¹Complicated Easy
Plausible deniability ²NoYes
Ease of useEasierMore complicated
SpeedFasterSlower
  1. См. разницу между файловыми контейнерами и разделами.

  2. Правдоподобное отрицание (иногда также легальный отказ): в некоторых случаях (например, при использовании скрытых томов VeraCrypt) злоумышленник не может технически доказать существование зашифрованного тома.

    Still, deniable encryption might not protect you if you are forced to reveal the existence of the encrypted volume. See:

Creating an encrypted partition

Choose Applications ▸ Utilities ▸ Disks to open GNOME Disks.

Identifying your external storage device

В левой части окна утилиты Диски видны все подключённые носители данных.

  1. Подключите внешний носитель данных.

  2. В списке слева появится новое устройство. Щёлкните по нему:

  3. Убедитесь, что описание в правой части окна соответствует вашему устройству: модель, объём и т.д.

Formatting the device

  1. Click on the Drive Options button in the titlebar and choose Format Disk… to erase all the existing partitions on the device.

  2. Появится диалог Форматировать диск.

    • If you want to securely erase all data on the device, choose to Overwrite existing data with zeroes in the Erase menu.

    • Choose Compatible with all systems and devices (MBR/DOS) in the Partitioning menu.

    Then click Format….

  3. В диалоговом окне убедитесь, что устройство выбрано верно. Нажмите Форматировать для подтверждения.

Creating a new encrypted partition

Теперь схема разделов в середине экрана показывает пустое устройство:

Свободное место 123 Гб

  1. Нажмите кнопку Создать раздел, чтобы создать новый раздел на устройстве.

  2. Настройте новый раздел в помощнике по созданию разделов:

    • В окне Создать раздел:

      • Размер раздела. Можно создать раздел, занимающий всё устройство или только его часть.

        В этом примере мы создадим раздел 4,0 Гб на устройстве 8,1 Гб.

    • В окне Форматировать том:

      • Имя тома. Вы можете дать название разделу. Оно остаётся невидимым до тех пор, пока раздел не будет открыт, и может помочь вам идентифицировать его во время работы.

      • Очистить. Можно удалить все данные раздела надёжным способом.

        Secure deletion does not work as expected on USB sticks and SSDs (Solid-State Drives). Choose instead to overwrite existing data on the whole device when formatting the device.

        See also our warning about secure deletion on USB sticks and SSDs.

      • Тип. Выберите Внутренний диск для использования только с системами Linux (Ext4) и Защищённый паролем том (LUKS).

    • В окне Установить пароль:

      • Пароль. Введите пароль для зашифрованного тома и повторите его для подтверждения.

        We recommend choosing a long passphrase made of 5 to 7 random words. Learn about the maths behind memorizable and secure passphrases.

        It is impossible to recover your passphrase if you forget it!

        To help you remember your passphrase, you can write it on a piece of paper, store it in your wallet for a few days, and destroy it once you know it well.

      Затем нажмите Создать.

  3. Создание раздела занимает от нескольких секунд до нескольких минут. Примерно так выглядит результат:

    Partition 1 4.0 GB LUKS / Filesystem 4.0 GB Ext4

  4. Если хотите создать ещё один раздел в свободном пространстве на устройстве, щёлкните по свободному месту, а затем снова нажмите кнопку Создать раздел.

Using the new partition

Новый раздел можно открыть в боковой панели файлового менеджера с той меткой (именем), которую вы ему присвоили.

После открытия раздела с помощью файлового менеджера вы также можете получить к нему доступ из меню Места.

Opening an existing encrypted partition

При подключении устройства с зашифрованным разделом Tails не открывает этот раздел автоматически. Вы можете сделать это с помощью файлового менеджера.

  1. Choose Places ▸ Computer to open the file browser.

  2. В левой панели нажмите на зашифрованный раздел, который хотите открыть.

    Файловый менеджер с зашифрованным томом

  3. Введите пароль раздела в поле для ввода пароля и нажмите Разблокировать.

  4. После открытия раздела с помощью файлового менеджера вы также можете получить к нему доступ из меню Места .

  5. Чтобы закрыть раздел после окончания работы нажмите кнопку Извлечь рядом с разделом на боковой панели файлового менеджера.

Storing sensitive documents

Описанные нами зашифрованные тома не скрыты от чужих глаз. Если злоумышленник получит физический доступ к устройству, он может выяснить, что на устройстве есть зашифрованный том. В определённых ситуациях вас могут заставить сообщить пароль или обманным путем завладеть им.

Opening encrypted volumes from other operating systems

Зашифрованные тома можно открывать и в других операционных системах. Но это может поставить под сомнение защиту, обеспечиваемую Tails.

Например, в другой операционной системе могут быть созданы (и сохранены) значки изображений. Содержимое файлов тоже может быть проиндексировано.

Changing the passphrase of an existing encrypted partition

To open GNOME Disks choose Applications ▸ Utilities ▸ Disks.

  1. Подключите внешний носитель с зашифрованным разделом, для которого вы хотите изменить пароль.

  2. Устройство появится в списке носителей. Щёлкните по нему:

  3. Убедитесь, что описание в правой части экрана соответствует вашему устройству: модель, объём и т.д.

  4. Нажмите на раздел со значком замочек в правом нижнем углу.

  5. Щёлкните по кнопке Дополнительные параметры раздела button and choose Change Passphrase…