- doc
- encryption and privacy
- Создание и использование зашифрованных томов LUKS
Introduction to LUKS
The simplest way to carry around the documents that you want to use with Tails encrypted is to use the Persistent Storage.
Для создания зашифрованных томов (например, флешек, внешних жёстких дисков) можно использовать LUKS. Это стандарт шифрования дисков в Linux.
- Утилита Диски в GNOME позволяет создавать зашифрованные тома.
- Их можно открыть на рабочем столе GNOME.
Comparison between LUKS and VeraCrypt
Вы можете открывать в Tails тома, зашифрованные с помощью VeraCrypt. Это шифровальная программа, которая работает в Windows, macOS и Linux. См. наше описание VeraCrypt.
Мы рекомендуем использовать:
- VeraCrypt — чтобы шифровать файлы для использования в разных операционных системах.
- LUKS — для шифрования файлов в Tails и Linux.
| LUKS | VeraCrypt | |
|---|---|---|
| Compatibility | Linux | Windows + macOS + Linux |
| Create new volumes | Yes | Outside of Tails |
| Open and modify existing volumes | Yes | Yes |
| Encrypted partitions (or entire disks) ¹ | Yes | Yes |
| Encrypted file containers ¹ | Complicated | Easy |
| Plausible deniability ² | No | Yes |
| Ease of use | Easier | More complicated |
| Speed | Faster | Slower |
Правдоподобное отрицание (иногда также легальный отказ): в некоторых случаях (например, при использовании скрытых томов VeraCrypt) злоумышленник не может технически доказать существование зашифрованного тома.
Still, deniable encryption might not protect you if you are forced to reveal the existence of the encrypted volume. See:
Creating an encrypted partition
Choose Applications ▸ Utilities ▸ Disks to open GNOME Disks.
Identifying your external storage device
В левой части окна утилиты Диски видны все подключённые носители данных.
Подключите внешний носитель данных.
В списке слева появится новое устройство. Щёлкните по нему:
Убедитесь, что описание в правой части окна соответствует вашему устройству: модель, объём и т.д.
Formatting the device
Click on the
button in the titlebar and choose Format
Disk… to erase all the existing partitions on the device.Появится диалог Форматировать диск.
If you want to securely erase all data on the device, choose to Overwrite existing data with zeroes in the Erase menu.
Choose Compatible with all systems and devices (MBR/DOS) in the Partitioning menu.
Then click Format….
В диалоговом окне убедитесь, что устройство выбрано верно. Нажмите Форматировать для подтверждения.
Creating a new encrypted partition
Теперь схема разделов в середине экрана показывает пустое устройство:
Нажмите кнопку
, чтобы создать
новый раздел на устройстве.Настройте новый раздел в помощнике по созданию разделов:
В окне Создать раздел:
Размер раздела. Можно создать раздел, занимающий всё устройство или только его часть.
В этом примере мы создадим раздел 4,0 Гб на устройстве 8,1 Гб.
В окне Форматировать том:
Имя тома. Вы можете дать название разделу. Оно остаётся невидимым до тех пор, пока раздел не будет открыт, и может помочь вам идентифицировать его во время работы.
Очистить. Можно удалить все данные раздела надёжным способом.
Secure deletion does not work as expected on USB sticks and SSDs (Solid-State Drives). Choose instead to overwrite existing data on the whole device when formatting the device.
See also our warning about secure deletion on USB sticks and SSDs.
Тип. Выберите Внутренний диск для использования только с системами Linux (Ext4) и Защищённый паролем том (LUKS).
В окне Установить пароль:
Пароль. Введите пароль для зашифрованного тома и повторите его для подтверждения.
We recommend choosing a long passphrase made of 5 to 7 random words. Learn about the maths behind memorizable and secure passphrases.
It is impossible to recover your passphrase if you forget it!
To help you remember your passphrase, you can write it on a piece of paper, store it in your wallet for a few days, and destroy it once you know it well.
Затем нажмите Создать.
Создание раздела занимает от нескольких секунд до нескольких минут. Примерно так выглядит результат:
Если хотите создать ещё один раздел в свободном пространстве на устройстве, щёлкните по свободному месту, а затем снова нажмите кнопку
.
Using the new partition
Новый раздел можно открыть в боковой панели файлового менеджера с той меткой (именем), которую вы ему присвоили.
После открытия раздела с помощью файлового менеджера вы также можете получить к нему доступ из меню .
Opening an existing encrypted partition
При подключении устройства с зашифрованным разделом Tails не открывает этот раздел автоматически. Вы можете сделать это с помощью файлового менеджера.
Choose to open the file browser.
В левой панели нажмите на зашифрованный раздел, который хотите открыть.
Введите пароль раздела в поле для ввода пароля и нажмите Разблокировать.
После открытия раздела с помощью файлового менеджера вы также можете получить к нему доступ из меню .
Чтобы закрыть раздел после окончания работы нажмите кнопку
рядом с разделом на боковой панели файлового
менеджера.
Storing sensitive documents
Описанные нами зашифрованные тома не скрыты от чужих глаз. Если злоумышленник получит физический доступ к устройству, он может выяснить, что на устройстве есть зашифрованный том. В определённых ситуациях вас могут заставить сообщить пароль или обманным путем завладеть им.
Opening encrypted volumes from other operating systems
Зашифрованные тома можно открывать и в других операционных системах. Но это может поставить под сомнение защиту, обеспечиваемую Tails.
Например, в другой операционной системе могут быть созданы (и сохранены) значки изображений. Содержимое файлов тоже может быть проиндексировано.
Changing the passphrase of an existing encrypted partition
To open GNOME Disks choose .
Подключите внешний носитель с зашифрованным разделом, для которого вы хотите изменить пароль.
Устройство появится в списке носителей. Щёлкните по нему:
Убедитесь, что описание в правой части экрана соответствует вашему устройству: модель, объём и т.д.
Нажмите на раздел со значком
в правом нижнем углу.Щёлкните по кнопке
button and choose