Introduction à LUKS

La façon la plus simple de transporter chiffrés les documents que vous voulez utiliser avec Tails est d'utiliser le stockage persistant.

Vous pouvez créer d'autres volumes chiffrés en utilisant LUKS pour chiffrer, par exemple, une autre clé USB ou un disque dur externe. LUKS est le standard pour le chiffrement de disque sous Linux.

  • The Disks utility allows you to create encrypted volumes.

  • The GNOME desktop allows you to open encrypted volumes.

Comparaison entre LUKS et VeraCrypt

Vous pouvez également ouvrir des volumes chiffrés VeraCrypt dans Tails. VeraCrypt est un outil de chiffrement de disque pour Windows, macOS et Linux. Voir notre documentation sur VeraCrypt.

Nous vous recommandons d'utiliser :

  • VeraCrypt pour partager des fichiers chiffrés entre différents systèmes d'exploitation.
  • LUKS pour chiffrer des fichiers pour Tails et Linux.
LUKSVeraCrypt
CompatibilitéLinuxWindows + macOS + Linux
Créer de nouveaux volumesOuiEn dehors de Tails
Ouvrir et modifier des volumes existantsOuiOui
Partitions chiffrées (ou disques entiers) ¹OuiOui
Fichiers conteneurs chiffrés ¹CompliquéFacile
Déni plausible ²NonOui
Facilité d'utilisationPlus facilePlus compliqué
VitessePlus rapidePlus lent
  1. Voir la différence entre fichiers conteneurs et partitions.

  2. Déni plausible : dans certains cas (par exemple, avec les volumes cachés VeraCrypt), il est impossible pour un adversaire de prouver techniquement l’existence d'un volume chiffré.

    Still, deniable encryption might not protect you if you are forced to reveal the existence of the encrypted volume. See VeraCrypt: Plausible Deniability.

Créer une partition chiffrée

Choose Applications ▸ Utilities ▸ Disks to open the Disks utility.

Identifier votre périphérique de stockage externe

The Disks utility lists all the current storage devices on the left side of the screen.

  1. Branchez le périphérique externe que vous souhaitez utiliser.

  2. A new device appears in the list of storage devices. Click on it.

  3. Vérifiez que la description du périphérique sur le côté droit de l'écran correspond à votre périphérique : sa marque, sa taille, etc.

Formatting the device

  1. Click on the Drive Options button in the title bar and choose Format Disk to erase all the existing partitions on the device.

  2. In the Format Disk dialog:

    • If you want to overwrite all data on the device, choose Overwrite existing data with zeroes in the Erase menu.

      Overwriting existing data does not erase all data on flash memories, such as USB sticks and SSDs (Solid-State Drives).

      See the limitations of file deletion.

    • Choose Compatible with all systems and devices (MBR/DOS) in the Partitioning menu.

  3. Click Format.

  4. In the confirmation dialog, make sure that the device is correct.

  5. Click Format.

Creating a new encrypted partition

Maintenant, le schéma des partitions au milieu de l'écran affiche un périphérique vide :

Espace libre 123 Go

  1. Cliquez sur le bouton Créer partition pour créer une nouvelle partition sur le périphérique.

  2. Configurez les différents paramètres de votre nouvelle partition dans l'assistant de création de partition :

    • Dans l'écran Créer une partition :

      • Taille de la partition : vous pouvez créer une partition sur l'ensemble du périphérique ou seulement sur une partie de celui-ci.

        Dans l'exemple suivant, nous allons créer une partition de 4,0 Go sur un périphérique de 8,1 Go.

    • In the Format Volume dialog:

      • Volume Name

        You can give a name to the partition. This name remains invisible until the partition is open but can help you to identify it during use.

      • Erase

        You can choose to overwrite existing data on the partition.

        Overwriting existing data does not erase all data on flash memories, such as USB sticks and SSDs (Solid-State Drives).

        See the limitations of file deletion.

      • Type

        Choose Internal disk for use with Linux systems only (Ext4) and Password protect volume (LUKS).

    • Dans l'écran Définir un mot de passe :

      • Mot de passe : saisir la phrase de passe qui permettra l'accès à la partition chiffrée et la saisir à nouveau pour la confirmer.

        Nous recommandons de choisir une phrase de passe longue composée de 5 à 7 mots aléatoires. Découvrez les mathématiques derrière les phrases de passe sûres et mémorisables. (en anglais)

        Il est impossible de récupérer votre phrase de passe si vous l'avez oubliée !

        Pour vous aider à vous rappeler de votre phrase de passe, vous pouvez l'écrire sur un morceau de papier, le ranger dans votre portefeuille quelques jours, puis le détruire une fois que vous la connaissez bien.

      Cliquez ensuite sur Créer.

    • La création de la partition devrait prendre entre quelques secondes et quelques minutes. La création terminée, la nouvelle partition chiffrée apparaît dans les volumes du périphérique :

      Partition 1 4.0 Go LUKS / Filesystem 4.0 Go Ext4

    • Vous pouvez alors, si vous le souhaitez, créer d'autres partitions sur l'espace libre en le sélectionnant et en cliquant de nouveau sur le bouton Créer
partition.

Utiliser la nouvelle partition

Vous pouvez accéder à cette nouvelle partition depuis le panneau latéral du navigateur de fichiers en cliquant sur le nom que vous lui avez donné.

Après avoir ouvert la partition avec le navigateur de fichier, vous pouvez aussi y accéder depuis le menu Emplacements.

Ouvrir une partition chiffrée existante

When you plug in a device that has an encrypted partition, Tails offers to unlock the encryption automatically.

  1. Plug in the external storage device that has the encrypted partition.

  2. A dialog appears, asking for the passphrase to unlock the partition.

    Authentication Required

  3. Enter the passphrase of the partition in the password prompt and click Unlock.

    If you turn on the option Remember Password, Tails remembers the passphrase of this partition only until you shut down. The passphrase is not stored in your Persistent Storage.

  4. After unlocking, you can access the content of the partition from either:

    • The Places menu
    • The sidebar of the Files browser

After you finished using the partition, click on the Eject button next to the partition in the sidebar of the Files browser to eject the partition safety and lock again the encryption.

Stocker des documents sensibles

De tels volumes chiffrés ne sont pas cachés. Un attaquant en possession du périphérique peut savoir qu'il contient un volume chiffré. Prenez en considération le fait que cet attaquant peut vous tromper ou vous menacer pour obtenir la phrase de passe protégeant ce volume.

Ouvrir des volumes chiffrés depuis d'autres systèmes d'exploitation

Il est possible d'ouvrir de tels volumes chiffrés en utilisant d'autres systèmes d'exploitation. Mais cela pourrait compromettre la sécurité fournie par Tails.

Par exemple, des miniatures d'images pourraient être crées et sauvegardées par l'autre système d'exploitation. Ou le contenu de fichiers pourrait être indexé par l'autre système.

Changer la phrase de passe d'une partition chiffrée existante

  1. Choose Applications ▸ Utilities ▸ Disks to open the Disks utility.

  2. Plug in the external storage device that contains the encrypted partition for which you want to change the passphrase.

  3. The device appears in the list of storage devices. Click on it.

  4. Vérifiez que la description du périphérique sur le côté droit de l'écran correspond à votre périphérique : sa marque, sa taille, etc.

  5. Click on the partition displaying a Parition LUKS in the bottom-right corner.

  6. Click on the Additional partition options button and choose Change Passphrase in the shortcut menu.