Creació i ús de volums encriptats amb LUKS

  1. Creació i ús de volums encriptats amb LUKS
  2. Introducció a LUKS
    1. Comparació entre LUKS i VeraCrypt
  3. Creació d'una partició encriptada
    1. Identificació del dispositiu d'emmagatzematge extern
    2. Formatar el dispositiu
    3. Creació d'una partició encriptada nova
    4. Ús de la nova partició
  4. Obrir una partició encriptada existent
  5. Obrir volums encriptats des d'altres sistemes operatius
  6. Canvi de la contrasenya d'una partició encriptada existent

Introducció a LUKS

La manera més senzilla de portar els documents que voleu utilitzar amb Tails encriptats és utilitzar l'Emmagatzematge Persistent.

Podeu crear altres volums encriptats utilitzant LUKS per encriptar, per exemple, un altre llapis USB o un disc dur extern. LUKS és l'estàndard per a l'encriptatge de disc a Linux.

  • The Disks utility allows you to create encrypted volumes.

  • The GNOME desktop allows you to open encrypted volumes.

Such encrypted volumes, like the Persistent Storage, are not hidden.

An attacker in possession of the device can know that there is an encrypted volume on it. Take into consideration that you can be forced or tricked to give out its passphrase.

Comparació entre LUKS i VeraCrypt

També podeu obrir volums encriptats amb VeraCrypt a Tails. VeraCrypt és una eina d'encriptatge de discs per a Windows, macOS i Linux. Vegeu la nostra documentació sobre VeraCrypt.

Us recomanem que utilitzeu:

  • VeraCrypt per compartir fitxers encriptats entre diferents sistemes operatius.

  • LUKS per encriptar fitxers per a Tails i Linux.

LUKSVeraCrypt
CompatibilityLinuxWindows + macOS + Linux
Create new volumesYesOutside of Tails
Open and modify existing volumesYesYes
Encrypted partitions (or entire disks)¹YesYes
Encrypted file containers¹Complicated Easy
Plausible deniability²NoYes
Ease of useEasierMore complicated
SpeedFasterSlower

  1. Vegeu la diferència entre contenidors de fitxers i particions.

  2. Negació plausible: en alguns casos (per exemple, amb volums ocults de VeraCrypt), és impossible que un adversari demostri tècnicament l'existència d'un volum encriptat.

    Tot i així, és possible que l'encriptatge denegable no us protegeixi si esteu obligats a revelar l'existència del volum encriptat. Vegeu VeraCrypt: Plausible Deniability (en anglès).

Creació d'una partició encriptada

Choose Apps ▸ Utilities ▸ Disks to open the Disks utility.

Identificació del dispositiu d'emmagatzematge extern

La utilitat Discs enumera tots els dispositius d'emmagatzematge actuals a la part esquerra de la pantalla.

  1. Connecteu el dispositiu d'emmagatzematge extern que voleu utilitzar.

  2. Apareix un dispositiu nou a la llista de dispositius d'emmagatzematge. Cliqueu-lo.

  3. Comproveu que la descripció del dispositiu a la part dreta de la pantalla correspon al vostre dispositiu: la seva marca, la seva mida, etc.

Formatar el dispositiu

  1. Select the Menu button in the title bar and choose Format Disk to erase all the existing partitions on the device.

  2. Al diàleg Formata disc:

    • Si voleu sobreescriure totes les dades del dispositiu de manera segura, trieu Sobreescriu les dades existents amb zeros al menú Esborra.

      Sobreescriure les dades existents no esborrarà totes les dades de les memòries flash, com ara llapis USB i SSD (unitats d'estat sòlid).

      Consulteu les limitacions de l'eliminació de fitxers.

    • Trieu Compatible amb tots els sistemes i dispositius (MBR/DOS) al menú de Particions.

  3. Feu clic a Formata.

  4. Al diàleg de confirmació, assegureu-vos que el dispositiu sigui correcte.

  5. Feu clic a Formata.

Creació d'una partició encriptada nova

Ara l'esquema de les particions al centre de la pantalla mostra un dispositiu buit:

Free Space 123 GB

  1. Feu clic al botó Crea una partició per crear una partició nova al dispositiu.

  2. Configureu els diferents paràmetres de la vostra nova partició a l'assistent de creació de particions:

    • A la pantalla Crea una partició:

      • Mida de la partició: podeu crear una partició a tot el dispositiu o només a una part.

        A l'exemple següent, estem creant una partició de 4,0 GB en un dispositiu de 8,1 GB.

    • Al diàleg Formata volum:

      • Nom del volum

        Podeu donar un nom a la partició. Aquest nom roman invisible fins que la partició s'obre, però pot ajudar a identificar-la durant l'ús.

      • Esborra

        Podeu triar sobreescriure les dades existents a la partició.

        Sobreescriure les dades existents no esborra totes les dades de les memòries flash, com ara llapis USB i memòries SSD (unitats d'estat sòlid).

        Consulteu les limitacions de l'eliminació de fitxers.

      • Tipus

        Trieu Disc intern per utilitzar-lo amb sistemes Linux només (Ext4) i Volum de protecció amb contrasenya (LUKS).

    • A la pantalla Estableix la contrasenya:

      • Contrasenya: escriviu una contrasenya per a la partició encriptada i repetiu-la per confirmar.

        Us recomanem que escolliu una contrasenya llarga de 5 a 7 paraules aleatòries. Vegeu les matemàtiques darrere de contrasenyes fàcils de memoritzar i segures.

        És impossible recuperar la contrasenya si l'oblideu!

        Per ajudar-vos a recordar la vostra contrasenya, podeu escriure-la en un tros de paper, guardar-lo a la cartera durant uns dies i destruir-lo una vegada us la sabeu bé.

      A continuació, feu clic a Crea.

    • La creació de la partició triga des d'uns segons a uns minuts. Després d'això, la nova partició encriptada apareixerà als volums del dispositiu:

      Partition 1 4.0 GB LUKS / Filesystem 4.0 GB Ext4

    • Si voleu crear una altra partició a l'espai lliure del dispositiu, feu clic a l'espai lliure i després feu clic a Crea una partició de nou.

Ús de la nova partició

You can open this new partition from the sidebar of the Files browser with the name you gave it.

Obrir una partició encriptada existent

Quan connecteu un dispositiu que té una partició encriptada, Tails ofereix desbloquejar l'encriptatge automàticament.

  1. Connecteu el dispositiu d'emmagatzematge que té la partició encriptada.

  2. Apareix un diàleg que demana la contrasenya per desbloquejar la partició.

    Authentication Required

  3. Introduïu la contrasenya de la partició a la sol·licitud de contrasenya i feu clic a Desbloqueja.

    Si activeu l'opció Recorda la contrasenya, Tails recordarà la contrasenya d'aquesta partició només fins que s'apagui. La contrasenya no s'emmagatzema al vostre Emmagatzematge Persistent.

  4. After unlocking, you can access the content of the partition from the sidebar of the Files browser.

Quan hàgiu acabat d'utilitzar la partició, feu clic al botó Expulsa al costat de la partició a la barra lateral del navegador de Fitxers per expulsar la partició de forma segura i tornar a bloquejar l'encriptatge.

Obrir volums encriptats des d'altres sistemes operatius

És possible obrir aquests volums encriptats des d'altres sistemes operatius. Però, fer-ho podria comprometre la seguretat proporcionada per Tails.

Per exemple, l'altre sistema operatiu pot crear miniatures d'imatges i desar -les. O bé, el contingut dels fitxers pot ser indexat per l'altre sistema operatiu.

Canvi de la contrasenya d'una partició encriptada existent

  1. Choose Apps ▸ Utilities ▸ Disks to open the Disks utility.

  2. Connecteu el dispositiu d'emmagatzematge extern que conté la partició encriptada de la qual voleu canviar la contrasenya.

  3. El dispositiu apareix a la llista de dispositius d'emmagatzematge. Cliqueu-lo.

  4. Comproveu que la descripció del dispositiu a la part dreta de la pantalla correspon al vostre dispositiu: la seva marca, la seva mida, etc.

  5. Feu clic a la partició que mostra una Partició LUKS a la cantonada inferior dreta.

  6. Feu clic al botó Opcions addicionals de la partició i seleccioneu Canvia la contrasenya al menú de drecera.