Els paràmetres criptogràfics de LUKS de Tails 5.12 o anteriors són febles contra un atacant patrocinat per l'estat amb accés físic al vostre dispositiu.

Us recomanem que canvieu la contrasenya del vostre Emmagatzematge Persistent i altres volums encriptats amb LUKS tret que utilitzeu una contrasenya llarga de cinc paraules aleatòries o més.

  1. Entendre la debilitat i la seva solució
    1. La carrera per protegir-se dels atacs de força bruta
    2. Força d'Argon2id en comparació amb PBKDF2
    3. Altres esquemes de contrasenyes donen poca garantia
  2. Mantenir el vostre encriptatge segur
    1. Si la vostra contrasenya té 4 paraules aleatòries o menys
    2. Si la vostra contrasenya té 5 paraules aleatòries
    3. Si la vostra contrasenya té 6 paraules aleatòries o més
    4. Saber quina versió de LUKS s'utilitza als vostres dispositius

Entendre la debilitat i la seva solució

La carrera per protegir-se dels atacs de força bruta

A tota la tecnologia d'encriptatge que protegeix les dades d'un disc o un llapis USB amb una contrasenya o una frase de contrasenya, un atacant pot provar totes les combinacions possibles fins que endevini la vostra contrasenya i desbloquegi l'encriptatge. Aquest tipus d'atac s'anomena atac de força bruta.

Una contrasenya segura fa que els atacs de força bruta siguin més lents i més cars. Com més llarga sigui la contrasenya, més car serà l'atac de força bruta.

Alguns paràmetres criptogràfics també poden fer que cada suposició d'un atac de força bruta sigui més lenta i més cara, per exemple, en haver de fer alguns càlculs complicats a cada contrasenya abans de poder intentar desbloquejar l'encriptatge amb el resultat d'aquest càlcul.

Amb els anys, els ordinadors es tornen més ràpids i més barats. Les tecnologies d'encriptatge actualitzen periòdicament els seus paràmetres per trobar un equilibri entre fer que l'encriptació sigui ràpida i utilitzable pels usuaris, alhora que fer que els atacs de força bruta siguin tan cars com sigui possible per als atacants.

Els paràmetres d'encriptatge forts combinats amb una contrasenya forta fan que els atacs de força bruta siguin tan lents i tan cars que siguin impossibles de fer a la pràctica. Per exemple, un atac de força bruta és impossible de fer a la pràctica si triguessin milers d'anys fins i tot amb els super-ordinadors més potents.

Força d'Argon2id en comparació amb PBKDF2

Fins a Tails 5.12 (19 d'abril de 2023), Tails va crear els dispositius LUKS versió 1 (LUKS1) amb PBKDF2 com a funció de derivació de claus, un càlcul executat a la contrasenya abans d'intentar desbloquejar el xifratge amb el resultat.

Ara PBKDF2 es considera massa feble en comparació amb la potència informàtica disponible.

Alguns criptògrafs pensen que aquesta debilitat ja podria haver estat utilitzada contra un activista a França, però les operacions reals de la policia francesa es mantenen en secret.

Des de Tails 5.13 (16 de maig de 2023), Tails crea dispositius LUKS versió 2 (LUKS2) amb Argon2id com a funció de derivació de claus.

Versió de Tails
Quan es va crear l'encriptatge		Data de llançamentVersió de LUKSFunció de derivació de clausForça
5.12 o anterior19 d'abril de 2023LUKS1PBKDF2Feble
5.13 o posterior16 de maig de 2023LUKS2Argon2idFort

Hem estimat quanta electricitat costaria endevinar contrasenyes de diferents intensitats. Com recomanem per a l'Emmagatzematge Persistent, hem avaluat les contrasenyes fetes de diverses paraules aleatòries.

Longitud de la contrasenyaPBKDF2Argon2id
3 paraules aleatòries0,1$100$
4 paraules aleatòries1 000$1 000 000$
5 paraules aleatòries10 000 000$10 000 000 000$
6 paraules aleatòries100 000 000 000$100 000 000 000  000 000$
7 paraules aleatòries1 000 000 000 000 000$1  000 000 000 000 000 000$

Aquestes xifres són estimacions molt aproximades, però donen una idea de la longitud de la contrasenya que podria endevinar un adversari molt poderós com un atacant patrocinat per l'estat.

Fins i tot si endevinar una contrasenya de 3 paraules aleatòries amb LUKS1 costa molt poca energia, qualsevol atac d'aquest tipus també requereix:

  • Accés físic al dispositiu
  • Equips informàtics molt cars
  • Habilitats professionals de pirateria informàtica

Podeu veure els detalls dels nostres càlculs a #19615 i aquest full de càlcul.

Altres esquemes de contrasenyes donen poca garantia

Recomanem utilitzar contrasenyes fetes de diverses paraules aleatòries perquè l'ús de l'atzar és l'única manera de garantir realment la força d'una contrasenya.

L'ús d'altres esquemes de contrasenya ofereix poca garantia sobre la força d'una contrasenya, fins i tot si segueix polítiques de contrasenya complicades i es valida als mesuradors de la força de la contrasenya.

Per exemple, un hacker holandès va iniciar sessió al compte de Twitter de Donald Trump dues vegades endevinant les contrasenyes, malgrat que aquestes incloïen diverses paraules, tenien més de 8 caràcters, i fins i tot tenien caràcters especials. Definitivament no eren prou aleatòries: "maga2020!" i "yourefired".

Per entendre les matemàtiques darrere de la força de la contrasenya, mireu Un model teòric de la informació de mètriques de privadesa i seguretat (en anglès). Bill Budington de l'EFF explica el concepte d'entropia i la seva implicació en l'empremta dactilar del navegador i la seguretat de la contrasenya en termes accessibles.

Mantenir el vostre encriptatge segur

Es recomana a tots els usuaris que actualitzin a LUKS2 en tots els seus dispositius encriptats: Emmagatzematge Persistent, còpies de seguretat de Tails i altres volums encriptats externs.

Depenent de la força de la vostra contrasenya, també us recomanem que trieu una altra contrasenya i migreu a un altre llapis USB de Tails:

Si la vostra contrasenya té 4 paraules aleatòries o menys

Si la vostra contrasenya actual té 4 paraules aleatòries o menys:

  • El vostre encriptatge no és segur amb LUKS1.

    Heu d'actualitzar a LUKS2.

  • El vostre encriptatge és més segur amb LUKS2.

    Encara recomanem que canvieu la contrasenya perquè sigui de 5 paraules aleatòries o més.

Emmagatzematge Persistent (4 paraules o menys)

Per protegir el vostre Emmagatzematge Persistent:

  1. Actualitzeu a Tails 5.14.

    Quan s'inicia Tails 5.14 per primera vegada, Tails automàticament convertirà el vostre Emmagatzematge Persistent a LUKS2.

  2. Trieu una nova contrasenya de 5 a 7 paraules aleatòries.

    Mostra les instruccions per generar una contrasenya amb KeePassXC.

    1. Trieu Aplicacions ▸ KeePassXC.

    2. Trieu Eines ▸ Generador de contrasenyes.

    3. Canvieu a la pestanya Contrasenya.

      Es genera automàticament una contrasenya molt forta de set paraules aleatòries.

      És impossible recuperar la contrasenya si l'oblideu!

      Per ajudar-vos a recordar la vostra contrasenya, podeu escriure-la en un tros de paper, guardar-la a la cartera durant uns dies i destruir-la una vegada la sabeu bé.

  3. Canvieu la vostra contrasenya.

    Mostra les instruccions per canviar la contrasenya del vostre Emmagatzematge Persistent.

    1. Trieu Aplicacions ▸ Emmagatzematge Persistent.

    2. Feu clic al botó Canvia la contrasenya a l'esquerra de la barra de títol.

    3. Introduïu la contrasenya actual al quadre de text Contrasenya actual.

    4. Introduïu la nova contrasenya al quadre de text Contrasenya nova.

    5. Torneu a introduir la vostra nova contrasenya al quadre de text Confirma la nova contrasenya.

    6. Feu clic a Canvia.

    7. Tanqueu la configuració de l'Emmagatzematge Persistent.

  4. Si vau crear el vostre Emmagatzematge Persistent amb Tails 5.12 o anterior, us recomanem que migreu tot el vostre Tails a un llapis USB diferent i destruïu el vostre antic llapis USB de Tails (o almenys elimineu de manera segura tot el dispositiu).

    Si no ho feu, és possible que les dades anteriors de LUKS1 encara estiguin escrites en algunes dades de recuperació al llapis USB i es podrien recuperar mitjançant tècniques avançades d'anàlisi forense de dades.

    Mostra les instruccions per migrar el vostre Tails a un nou llapis USB.

    1. Connecteu el nou llapis USB.

    2. Trieu Aplicacions ▸ Clonador de Tails.

    3. Activeu l'opció Clona l'Emmagatzematge Persistent actual a sota de l'opció Clona el Tails actual.

    4. Assegureu-vos que el nou llapis USB estigui seleccionat al menú Llapis USB objectiu.

    5. Per iniciar la clonació, feu clic al botó Instal·la.

    6. Introduïu una contrasenya per a l'Emmagatzematge Persistent al nou llapis USB al quadre de text Contrasenya.

    7. Torneu a introduir la mateixa contrasenya al quadre de text Confirma.

    8. Feu clic a Continua.

    9. Llegiu el missatge d'advertència al diàleg de confirmació.

    10. Feu clic a Suprimeix totes les dades i instal·la per confirmar.

      La clonació triga uns minuts.

      La barra de progrés normalment es bloqueja durant un temps mentre sincronitzeu les dades al disc.

Còpia de seguretat de Tails (4 paraules o menys)

Per protegir la vostra còpia de seguretat de Tails, si en teniu:

  1. Comenceu al vostre llapis USB principal de Tails.

  2. Actualitzeu el vostre llapis USB principal de Tails a Tails 5.14.

  3. Creeu una nova còpia de seguretat de Tails amb el Clonador de Tails

    Si heu creat el vostre Emmagatzematge Persistent amb Tails 5.12 o anterior, us recomanem que creeu la vostra nova còpia de seguretat de Tails en un llapis USB diferent i destruïu les vostres còpies de seguretat anteriors de Tails (o almenys suprimiu de manera segura tot el dispositiu).

    Si no ho feu, és possible que les dades anteriors de LUKS1 encara estiguin escrites en algunes dades de recuperació al llapis USB i es podrien recuperar mitjançant tècniques avançades d'anàlisi forense de dades.

    Mostra les instruccions per crear una còpia de seguretat nova.

    1. Connecteu el nou llapis USB.

    2. Trieu Aplicacions ▸ Clonador de Tails.

    3. Activeu l'opció Clona l'Emmagatzematge Persistent actual a sota de l'opció Clona el Tails actual.

    4. Assegureu-vos que el nou llapis USB estigui seleccionat al menú Llapis USB objectiu.

    5. Per iniciar la clonació, feu clic al botó Instal·la.

    6. Introduïu una contrasenya per a l'Emmagatzematge Persistent al nou llapis USB al quadre de text Contrasenya.

    7. Torneu a introduir la mateixa contrasenya al quadre de text Confirma.

    8. Feu clic a Continua.

    9. Llegiu el missatge d'advertència al diàleg de confirmació.

    10. Feu clic a Suprimeix totes les dades i instal·la per confirmar.

      La clonació triga uns minuts.

      La barra de progrés normalment es bloqueja durant un temps mentre sincronitzeu les dades al disc.

Altres volums encriptats (4 paraules o menys)

Per protegir els vostres altres volums encriptats, si en teniu:

  1. Actualitzeu a Tails 5.14.

  2. Trieu una nova contrasenya de 5 a 7 paraules aleatòries.

    Mostra les instruccions per generar una contrasenya amb KeePassXC.

    1. Trieu Aplicacions ▸ KeePassXC.

    2. Trieu Eines ▸ Generador de contrasenyes.

    3. Canvieu a la pestanya Contrasenya.

      Es genera automàticament una contrasenya molt forta de set paraules aleatòries.

      És impossible recuperar la contrasenya si l'oblideu!

      Per ajudar-vos a recordar la vostra contrasenya, podeu escriure-la en un tros de paper, guardar-la a la cartera durant uns dies i destruir-la una vegada la sabeu bé.

Si el vostre volum encriptat es troba en un disc dur tradicional (no en un SSD) i podeu utilitzar la línia d'ordres:

  1. Identifiqueu el nom de la partició del vostre volum encriptat.

    Mostra les instruccions per identificar el nom de la partició mitjançant la línia d'ordres.

    1. Quan inicieu Tails, configureu una contrasenya d'administració.

    2. Trieu Aplicacions ▸ Eines del sistema ▸ Terminal d'administrador.

    3. Executeu l'ordre següent:

      lsblk

      La sortida és una llista dels dispositius d'emmagatzematge i particions del sistema. Per exemple:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    4. Connecteu el vostre volum encriptat. Mantingueu l'encriptatge bloquejat.

    5. Torneu a executar la mateixa ordre:

      lsblk

      El vostre volum encriptat apareix com a dispositiu nou amb una llista de particions. Comproveu que la mida de la partició correspon al vostre volum encriptat.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb                      8:0    1    7G  0 disk
└─sdb1                   8:2    1    7G  0 part
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    6. Preneu nota del nom de la partició del vostre volum encriptat. En aquest exemple, el dispositiu nou de la llista és sdb i el volum encriptat es troba a la partició sdb1. El vostre pot ser diferent.

  2. Si heu creat el vostre volum encriptat amb Tails 5.12 o anterior, actualitzeu-lo a LUKS2.

    Mostra les instruccions per actualitzar a LUKS2 mitjançant la línia d'ordres.

    1. Per verificar si el vostre volum encriptat utilitza PBKDF2 o Argon2id, executeu l'ordre següent.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksDump /dev/[partició]

      A la sortida:

      • Version indica la versió de LUKS, ja sigui 1 o 2.

      • PBKDF indica la funció de derivació de clau, ja sigui pbkdf2 o argon2id.

      Si el vostre volum encriptat ja utilitza LUKS2 i Argon2id, podeu aturar-vos aquí.

    2. Executeu l'ordre següent per fer una còpia de seguretat de la vostra capçalera LUKS1.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksHeaderBackup /dev/[partició] --header-backup-file /home/amnesia/luks1header

      Si alguna cosa va malament, podreu restaurar la vostra capçalera LUKS1 d'aquesta còpia de seguretat amb:

      cryptsetup luksHeaderRestore /dev/[partició] --header-backup-file /home/amnesia/luks1header

    3. Per actualitzar la capçalera de LUKS a LUKS2, executeu l'ordre següent.

      Substituïu [partició] amb el nom del dispositiu trobat al pas 1.6.

      cryptsetup convert /dev/[partició] --type luks2

    4. Per verificar que Argon2id és la nova funció de derivació de claus, torneu a executar l'ordre següent.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksDump /dev/[partició]

      A la sortida, verifiqueu que:

      • La Version és 2 i no 1.

      • El PBKDF és argon2id i no pbkdf2.

    5. Intenteu desbloquejar el vostre volum encriptat.

  3. Canvieu la vostra contrasenya.

    Mostra les instruccions per canviar la contrasenya mitjançant la línia d'ordres.

    1. Per canviar la contrasenya, executeu l'ordre següent.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksChangeKey /dev/[partició]

En cas contrari, si el vostre volum encriptat es troba en un llapis USB (o un SSD) o no us sentiu còmode amb la línia d'ordres:

  • Si heu creat el vostre volum encriptat amb Tails 5.13 o posterior, us recomanem que canvieu la contrasenya.

    Seguiu les nostres instruccions sobre com canviar la contrasenya d'una partició encriptada existent.

  • Si heu creat el vostre volum encriptat amb Tails 5.12 o anterior, us recomanem que migreu totes les vostres dades encriptades a un nou dispositiu encriptat.

    Seguiu les nostres instruccions sobre com crear i utilitzar volums encriptats amb LUKS.

    També us recomanem que destruïu el vostre dispositiu antic (o almenys suprimiu de manera segura tot el dispositiu).

    Si no ho feu, les dades anteriors de LUKS1 encara es podrien escriure en algunes dades de recuperació del llapis USB i es podrien recuperar mitjançant tècniques forenses de dades avançades.

Si la vostra contrasenya té 5 paraules aleatòries

Si la vostra contrasenya actual té 5 paraules aleatòries:

  • El vostre encriptatge és segur amb LUKS1, excepte contra un adversari molt poderós, com un atacant patrocinat per l'estat amb un pressupost enorme per gastar en endevinar la vostra contrasenya.

    Encara us recomanem que actualitzeu a LUKS2.

  • El vostre encriptatge és encara més segur amb LUKS2.

Enhorabona per seguir les nostres recomanacions!

Emmagatzematge Persistent (5 paraules)

Per protegir el vostre Emmagatzematge Persistent:

  1. Actualitzeu a Tails 5.14.

    Quan s'inicia Tails 5.14 per primera vegada, Tails automàticament convertirà el vostre Emmagatzematge Persistent a LUKS2.

  2. Penseu en afegir una altra paraula aleatòria a la vostra contrasenya.

    Mostra les instruccions per canviar la contrasenya del vostre Emmagatzematge Persistent.

    1. Trieu Aplicacions ▸ Emmagatzematge Persistent.

    2. Feu clic al botó Canvia la contrasenya a l'esquerra de la barra de títol.

    3. Introduïu la contrasenya actual al quadre de text Contrasenya actual.

    4. Introduïu la nova contrasenya al quadre de text Contrasenya nova.

    5. Torneu a introduir la vostra nova contrasenya al quadre de text Confirma la nova contrasenya.

    6. Feu clic a Canvia.

    7. Tanqueu la configuració de l'Emmagatzematge Persistent.

  3. Si heu creat el vostre volum encriptat amb Tails 5.12 o anterior i us preocupa un adversari molt poderós, penseu a migrar tot el vostre Tails a un llapis USB diferent i destruir el vostre antic llapis USB de Tails (o almenys suprimir de manera segura tot el dispositiu).

    Si no ho feu, és possible que les dades anteriors de LUKS1 encara estiguin escrites en algunes dades de recuperació al llapis USB i es podrien recuperar mitjançant tècniques avançades d'anàlisi forense de dades.

    Mostra les instruccions per migrar tot el vostre Tails a un nou llapis USB.

    1. Connecteu el nou llapis USB.

    2. Trieu Aplicacions ▸ Clonador de Tails.

    3. Activeu l'opció Clona l'Emmagatzematge Persistent actual a sota de l'opció Clona el Tails actual.

    4. Assegureu-vos que el nou llapis USB estigui seleccionat al menú Llapis USB objectiu.

    5. Per iniciar la clonació, feu clic al botó Instal·la.

    6. Introduïu una contrasenya per a l'Emmagatzematge Persistent al nou llapis USB al quadre de text Contrasenya.

    7. Torneu a introduir la mateixa contrasenya al quadre de text Confirma.

    8. Feu clic a Continua.

    9. Llegiu el missatge d'advertència al diàleg de confirmació.

    10. Feu clic a Suprimeix totes les dades i instal·la per confirmar.

      La clonació triga uns minuts.

      La barra de progrés normalment es bloqueja durant un temps mentre sincronitzeu les dades al disc.

Còpia de seguretat de Tails (5 paraules)

Per protegir la vostra còpia de seguretat de Tails, si en teniu:

  1. Comenceu al vostre llapis USB principal de Tails.

  2. Actualitzeu el vostre llapis USB principal de Tails a Tails 5.14.

  3. Actualitzeu la vostra còpia de seguretat o creeu una còpia de seguretat de Tails nova amb el Clonador de Tails.

    Si heu creat la vostra còpia de seguretat de Tails amb Tails 5.12 o anterior i esteu preocupats sobre un adversari molt poderós, penseu a crear la vostra nova còpia de seguretat Tails a un llapis USB diferent i destruir la vostra antiga còpia de seguretat de Tails (o almenys esborrar de manera segura tot el dispositiu).

    Si no ho feu, és possible que les dades anteriors de LUKS1 encara estiguin escrites en algunes dades de recuperació al llapis USB i es podrien recuperar mitjançant tècniques avançades d'anàlisi forense de dades.

    Mostra les instruccions per actualitzar la còpia de seguretat o crear una còpia de seguretat nova.

    1. Connecteu el nou llapis USB.

    2. Trieu Aplicacions ▸ Clonador de Tails.

    3. Activeu l'opció Clona l'Emmagatzematge Persistent actual a sota de l'opció Clona el Tails actual.

    4. Assegureu-vos que el nou llapis USB estigui seleccionat al menú Llapis USB objectiu.

    5. Per iniciar la clonació, feu clic al botó Instal·la.

    6. Introduïu una contrasenya per a l'Emmagatzematge Persistent al nou llapis USB al quadre de text Contrasenya.

    7. Torneu a introduir la mateixa contrasenya al quadre de text Confirma.

    8. Feu clic a Continua.

    9. Llegiu el missatge d'advertència al diàleg de confirmació.

    10. Feu clic a Suprimeix totes les dades i instal·la per confirmar.

      La clonació triga uns minuts.

      La barra de progrés normalment es bloqueja durant un temps mentre sincronitzeu les dades al disc.

Altres volums encriptats (5 paraules)

Per protegir els vostres altres volums encriptats, si en teniu:

  1. Actualitzeu a Tails 5.14.

  2. Penseu en afegir una altra paraula aleatòria a la vostra contrasenya.

Si heu creat el vostre volum encriptat amb Tails 5.12 o anterior i el vostre volum encriptat es troba en un disc dur tradicional (no en un SSD) i podeu utilitzar la línia d'ordres:

  1. Identifiqueu el nom de la partició del vostre volum encriptat.

    Mostra les instruccions per identificar el nom de la partició mitjançant la línia d'ordres.

    1. Quan inicieu Tails, configureu una contrasenya d'administració.

    2. Trieu Aplicacions ▸ Eines del sistema ▸ Terminal d'administrador.

    3. Executeu l'ordre següent:

      lsblk

      La sortida és una llista dels dispositius d'emmagatzematge i particions del sistema. Per exemple:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    4. Connecteu el vostre volum encriptat. Mantingueu l'encriptatge bloquejat.

    5. Torneu a executar la mateixa ordre:

      lsblk

      El vostre volum encriptat apareix com a dispositiu nou amb una llista de particions. Comproveu que la mida de la partició correspon al vostre volum encriptat.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb                      8:0    1    7G  0 disk
└─sdb1                   8:2    1    7G  0 part
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    6. Preneu nota del nom de la partició del vostre volum encriptat. En aquest exemple, el dispositiu nou de la llista és sdb i el volum encriptat es troba a la partició sdb1. El vostre pot ser diferent.

  2. Si heu creat el vostre volum encriptat amb Tails 5.12 o anterior, actualitzeu-lo a LUKS2.

    Mostra les instruccions per actualitzar a LUKS2 mitjançant la línia d'ordres.

    1. Per verificar si el vostre volum encriptat utilitza PBKDF2 o Argon2id, executeu l'ordre següent.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksDump /dev/[partició]

      A la sortida:

      • Version indica la versió de LUKS, ja sigui 1 o 2.

      • PBKDF indica la funció de derivació de clau, ja sigui pbkdf2 o argon2id.

      Si el vostre volum encriptat ja utilitza LUKS2 i Argon2id, podeu aturar-vos aquí.

    2. Executeu l'ordre següent per fer una còpia de seguretat de la vostra capçalera LUKS1.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksHeaderBackup /dev/[partició] --header-backup-file /home/amnesia/luks1header

      Si alguna cosa va malament, podreu restaurar la vostra capçalera LUKS1 d'aquesta còpia de seguretat amb:

      cryptsetup luksHeaderRestore /dev/[partició] --header-backup-file /home/amnesia/luks1header

    3. Per actualitzar la capçalera de LUKS a LUKS2, executeu l'ordre següent.

      Substituïu [partició] amb el nom del dispositiu trobat al pas 1.6.

      cryptsetup convert /dev/[partició] --type luks2

    4. Per verificar que Argon2id és la nova funció de derivació de claus, torneu a executar l'ordre següent.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksDump /dev/[partició]

      A la sortida, verifiqueu que:

      • La Version és 2 i no 1.

      • El PBKDF és argon2id i no pbkdf2.

    5. Intenteu desbloquejar el vostre volum encriptat.

  3. Canvieu la vostra contrasenya.

    Mostra les instruccions per canviar la contrasenya mitjançant la línia d'ordres.

    1. Per canviar la contrasenya, executeu l'ordre següent.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksChangeKey /dev/[partició]

Si creeu el vostre volum encriptat amb Tails 5.12 o anterior i el vostre volum encriptat es troba en un llapis USB (o un SSD) o si no us sentiu còmode amb la línia d'ordres:

  1. Migreu totes les vostres dades encriptades a un nou dispositiu encriptat.

    Seguiu les nostres instruccions sobre com crear i utilitzar volums encriptats amb LUKS.

  2. Si us preocupa un adversari molt poderós, penseu a destruir el vostre dispositiu antic (o almenys suprimir de manera segura tot el dispositiu).

    Si no ho feu, és possible que les dades anteriors de LUKS1 encara estiguin escrites en algunes dades de recuperació al llapis USB i es podrien recuperar mitjançant tècniques avançades d'anàlisi forense de dades.

Si la vostra contrasenya té 6 paraules aleatòries o més

Si la vostra contrasenya actual té 6 paraules aleatòries o més:

  • El vostre encriptatge és segur amb LUKS1, fins i tot contra un adversari molt poderós.

    Encara us recomanem que actualitzeu a LUKS2.

  • El vostre encriptatge és encara més segur amb LUKS2.

Enhorabona per seguir les nostres recomanacions més segures!

Emmagatzematge Persistent (6 paraules o més)

El vostre Emmagatzematge Persistent ja és segur, fins i tot amb LUKS1.

Després d'actualitzar a Tails 5.14 o posterior, Tails convertirà automàticament el vostre Emmagatzematge Persistent a LUKS2 i farà que el vostre Emmagatzematge Persistent sigui encara més segur.

Còpia de seguretat de Tails (6 paraules o més)

La vostra còpia de seguretat de Tails ja és segura, fins i tot amb LUKS1.

Si voleu actualitzar la vostra còpia de seguretat de Tails a LUKS2 de totes maneres:

  1. Comenceu al vostre llapis USB principal de Tails.

  2. Actualitzeu el vostre llapis USB principal de Tails a Tails 5.14.

  3. Actualitzeu la vostra còpia de seguretat mitjançant el Clonador de Tails.

    Mostra les instruccions per actualitzar la còpia de seguretat.

    1. Connecteu el nou llapis USB.

    2. Trieu Aplicacions ▸ Clonador de Tails.

    3. Activeu l'opció Clona l'Emmagatzematge Persistent actual a sota de l'opció Clona el Tails actual.

    4. Assegureu-vos que el nou llapis USB estigui seleccionat al menú Llapis USB objectiu.

    5. Per iniciar la clonació, feu clic al botó Instal·la.

    6. Introduïu una contrasenya per a l'Emmagatzematge Persistent al nou llapis USB al quadre de text Contrasenya.

    7. Torneu a introduir la mateixa contrasenya al quadre de text Confirma.

    8. Feu clic a Continua.

    9. Llegiu el missatge d'advertència al diàleg de confirmació.

    10. Feu clic a Suprimeix totes les dades i instal·la per confirmar.

      La clonació triga uns minuts.

      La barra de progrés normalment es bloqueja durant un temps mentre sincronitzeu les dades al disc.

Altres volums encriptats (6 paraules o més)

Els vostres altres volums encriptats ja son segurs, fins i tot amb LUKS1.

Si voleu actualitzar els vostres altres volums encriptats a LUKS2 de totes maneres i sabeu com utilitzar la línia d'ordres:

  1. Identifiqueu el nom de la partició del vostre volum encriptat.

    Mostra les instruccions per identificar el nom de la partició mitjançant la línia d'ordres.

    1. Quan inicieu Tails, configureu una contrasenya d'administració.

    2. Trieu Aplicacions ▸ Eines del sistema ▸ Terminal d'administrador.

    3. Executeu l'ordre següent:

      lsblk

      La sortida és una llista dels dispositius d'emmagatzematge i particions del sistema. Per exemple:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    4. Connecteu el vostre volum encriptat. Mantingueu l'encriptatge bloquejat.

    5. Torneu a executar la mateixa ordre:

      lsblk

      El vostre volum encriptat apareix com a dispositiu nou amb una llista de particions. Comproveu que la mida de la partició correspon al vostre volum encriptat.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb                      8:0    1    7G  0 disk
└─sdb1                   8:2    1    7G  0 part
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    6. Preneu nota del nom de la partició del vostre volum encriptat. En aquest exemple, el dispositiu nou de la llista és sdb i el volum encriptat es troba a la partició sdb1. El vostre pot ser diferent.

  2. Actualitzeu a LUKS2.

    Mostra les instruccions per actualitzar a LUKS2 mitjançant la línia d'ordres.

    1. Per verificar si el vostre volum encriptat utilitza PBKDF2 o Argon2id, executeu l'ordre següent.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksDump /dev/[partició]

      A la sortida:

      • Version indica la versió de LUKS, ja sigui 1 o 2.

      • PBKDF indica la funció de derivació de clau, ja sigui pbkdf2 o argon2id.

      Si el vostre volum encriptat ja utilitza LUKS2 i Argon2id, podeu aturar-vos aquí.

    2. Executeu l'ordre següent per fer una còpia de seguretat de la vostra capçalera LUKS1.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksHeaderBackup /dev/[partició] --header-backup-file /home/amnesia/luks1header

      Si alguna cosa va malament, podreu restaurar la vostra capçalera LUKS1 d'aquesta còpia de seguretat amb:

      cryptsetup luksHeaderRestore /dev/[partició] --header-backup-file /home/amnesia/luks1header

    3. Per actualitzar la capçalera de LUKS a LUKS2, executeu l'ordre següent.

      Substituïu [partició] amb el nom del dispositiu trobat al pas 1.6.

      cryptsetup convert /dev/[partició] --type luks2

    4. Per verificar que Argon2id és la nova funció de derivació de claus, torneu a executar l'ordre següent.

      Substituïu [partició] amb el nom de la partició trobat al pas 1.6.

      cryptsetup luksDump /dev/[partició]

      A la sortida, verifiqueu que:

      • La Version és 2 i no 1.

      • El PBKDF és argon2id i no pbkdf2.

    5. Intenteu desbloquejar el vostre volum encriptat.

Saber quina versió de LUKS s'utilitza als vostres dispositius

Si sabeu com utilitzar la línia d'ordres, podeu verificar si el vostre encriptatge utilitza PBKDF2 o Argon2id.

Emmagatzematge Persistent

  1. Quan inicieu Tails, configureu una contrasenya d'administració.

  2. Trieu Aplicacions ▸ Eines del sistema ▸ Terminal d'administrador.

  3. Executeu l'ordre següent:

    lsblk

    La sortida és una llista dels dispositius d'emmagatzematge i particions del sistema. Per exemple:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
  loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
  sda                      8:0    1    7G  0 disk
  ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
  └─sda2                   8:2    1    3G  0 part
    └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
  zram0                  254:0    0  2.8G  0 disk  [SWAP]

    El vostre Emmagatzematge Persistent apareix com a TailsData_unlocked.

  4. Preneu nota del nom de la partició del vostre Emmagatzematge Persistent, que apareix a sobre de TailsData_unlocked. En aquest exemple, l'Emmagatzematge Persistent es troba a la partició sda2. El vostre pot ser diferent.

  5. Per verificar si el vostre volum encriptat utilitza PBKDF2 o Argon2id, executeu l'ordre següent.

    Substituïu [partició] amb el nom de la partició trobat al pas 4.

    sudo cryptsetup luksDump /dev/[partició]

    A la sortida:

    • Version indica la versió de LUKS, ja sigui 1 o 2.

    • PBKDF indica la funció de derivació de clau, ja sigui pbkdf2 o rgon2id.

Altres volums encriptats

  1. Quan inicieu Tails, configureu una contrasenya d'administració.

  2. Trieu Aplicacions ▸ Eines del sistema ▸ Terminal d'administrador.

  3. Executeu l'ordre següent:

    lsblk

    La sortida és una llista dels dispositius d'emmagatzematge i particions del sistema. Per exemple:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
  loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
  sda                      8:0    1    7G  0 disk
  ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
  └─sda2                   8:2    1    3G  0 part
    └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
  zram0                  254:0    0  2.8G  0 disk  [SWAP]

  4. Connecteu el vostre volum encriptat. Mantingueu l'encriptatge bloquejat.

  5. Torneu a executar la mateixa ordre:

    lsblk

    El vostre volum encriptat apareix com a dispositiu nou amb una llista de particions. Comproveu que la mida de la partició correspon al vostre volum encriptat.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
  loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
  sda                      8:0    1    7G  0 disk
  ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
  └─sda2                   8:2    1    3G  0 part
    └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
  sdb                      8:0    1    7G  0 disk
  └─sdb1                   8:2    1    7G  0 part
  zram0                  254:0    0  2.8G  0 disk  [SWAP]

  6. Preneu nota del nom de la partició del vostre volum encriptat. En aquest exemple, el dispositiu nou de la llista és sdb i el volum encriptat es troba a la partició sdb1. El vostre pot ser diferent.

  7. Per verificar si el vostre volum encriptat utilitza PBKDF2 o Argon2id, executeu l'ordre següent.

    Substituïu [partició] amb el nom de la partició trobat al pas 6.

    sudo cryptsetup luksDump /dev/[partició]

    A la sortida:

    • Version indica la versió de LUKS, ja sigui 1 o 2.

    • PBKDF indica la funció de derivació de clau, ja sigui pbkdf2 o argon2id.