Los parámetros criptográficos de LUKS de Tails 5.12 o anterior son débiles contra un atacante patrocinado por el estado con acceso físico a tu dispositivo.

Te recomendamos que cambies la frase de contraseña de tu Almacenamiento Persistente y otros volúmenes cifrados de LUKS, a menos que uses una frase de contraseña larga de 5 palabras aleatorias o más.

Entendiendo la debilidad y su solución.

La carrera armamentista para protegerse de los ataques de fuerza bruta

En toda la tecnología de cifrado que protege los datos en un disco o memoria USB con una contraseña o frase de contraseña, un atacante puede probar todas las combinaciones posibles hasta que adivine tu frase de contraseña y desbloquee el cifrado. Este tipo de ataque se llama ataque de fuerza bruta.

Una contraseña segura hace que los ataques de fuerza bruta sean más lentos y costosos. Cuanto más larga sea la frase de contraseña, más caro se vuelve el ataque de fuerza bruta.

Algunos parámetros criptográficos también pueden hacer que cada suposición de un ataque de fuerza bruta sea más lenta y costosa, por ejemplo, al tener que hacer algunos cálculos complicados en cada frase de contraseña antes de poder intentar desbloquear el cifrado con el resultado de este cálculo.

Con los años, las computadoras se vuelven más rápidas y económicas. Las tecnologías de cifrado actualizan regularmente sus parámetros para encontrar un equilibrio entre hacer que el cifrado sea rápido y utilizable por los usuarios y hacer que los ataques de fuerza bruta sean lo más costosos posible para los atacantes.

Los parámetros de cifrado fuertes combinados con una frase de contraseña fuerte hacen que los ataques de fuerza bruta sean tan lentos y costosos que son imposibles de realizar en la práctica. Por ejemplo, un ataque de fuerza bruta es imposible de realizar en la práctica si lleva miles de años, incluso con las supercomputadoras más poderosas.

Fuerza de Argon2id en comparación con PBKDF2

Hasta Tails 5.12 (19 de abril de 2023), Tails creaba dispositivos LUKS versión 1 (LUKS1) con PBKDF2 como función de derivación de clave, un cálculo ejecutado sobre la frase de contraseña antes de intentar desbloquear el cifrado con el resultado.

Actualmente se considera que PBKDF2 es demasiado débil en comparación con la potencia de cálculo disponible.

Algunos criptógrafos creen que esta debilidad podría haber sido ya utilizada contra un activista en Francia, pero las operaciones reales de la policía francesa se mantienen en secreto.

Desde Tails 5.13 (16 de mayo de 2023), Tails crea dispositivos LUKS versión 2 (LUKS2) con Argon2id como función de derivación de claves.

Versión de Tails
cuándo se creó el cifrado
Fecha de lanzamientoVersión de LUKSFunción de derivación de clavesFuerza
5.12 o anterior19 de abril de 2023LUKS1PBKDF2Débil
5.13 o posterior16 de mayo de 2023LUKS2Argon2idFuerte

Calculamos cuánta electricidad costaría adivinar frases de contraseña de distinta intensidad. Como recomendamos para el Almacenamiento Persistente, evaluamos frases de contraseña compuestas por varias palabras aleatorias.

Longitud de la contraseñaPBKDF2Argon2id
3 palabras aleatorias$0.1$100
4 palabras aleatorias$1 000$1 000 000
5 palabras aleatorias$10 000 000$10 000 000 000
6 palabras aleatorias$100 000 000 000$100 000 000 000 000
7 palabras aleatorias$1 000 000 000 000 000$1 000 000 000 000 000 000

Estas cifras son estimaciones muy aproximadas, pero dan una idea de la longitud de la frase de contraseña que podría adivinar un adversario muy poderoso, como un atacante patrocinado por un Estado.

Aunque adivinar una frase de contraseña de 3 palabras aleatorias con LUKS1 cuesta muy poca energía, cualquier ataque de este tipo también requiere:

  • Acceso físico al dispositivo
  • Equipo informático muy caro
  • Conocimientos profesionales de hacking

Puedes ver los detalles de nuestros cálculos en #19615 y en esta hoja de cálculo.

Otros esquemas de contraseñas dan muy pocas garantías

Recomendamos utilizar frases de contraseña compuestas por varias palabras aleatorias, ya que el uso de la aleatoriedad es la única forma de garantizar realmente la solidez de una contraseña.

El uso de otros esquemas de contraseñas ofrece pocas garantías sobre la solidez de una contraseña, aunque siga políticas de contraseñas complicadas y se valide en medidores de solidez de contraseñas.

Por ejemplo, un hacker holandés entró en la cuenta de Twitter de Donald Trump dos veces adivinando sus contraseñas, a pesar de que estas contraseñas incluían varias palabras, tenían más de 8 caracteres e incluso caracteres especiales. Definitivamente no eran lo suficientemente aleatorias: "maga2020!" y "yourefired".

Para entender las matemáticas que hay detrás de la seguridad de las contraseñas, lee Un modelo teórico de la información sobre privacidad y seguridad (en inglés). Bill Budington, de la EFF, explica de forma accesible el concepto de entropía y sus implicaciones para las huellas digitales de los navegadores y la seguridad de las contraseñas.

Mantener tu cifrado seguro

Se recomienda a todos los usuarios que actualicen a LUKS2 todos sus dispositivos cifrados: Almacenamiento Persistente, Tails de copia de seguridad y otros volúmenes cifrados externos.

Dependiendo de la solidez de tu contraseña, también podríamos recomendar elegir una contraseña diferente y migrar a otra memoria USB de Tails:

Si tu frase de contraseña tiene 4 palabras aleatorias o menos

Si tu frase de contraseña actual tiene 4 palabras aleatorias o menos:

  • Tu cifrado es inseguro con LUKS1.

    Tienes que actualizar a LUKS2

  • Tu cifrado es más seguro con LUKS2.

    Aún recomendamos cambiar tu frase de contraseña para que tenga 5 palabras aleatorias o más.

Almacenamiento Persistente (4 palabras o menos)

Para proteger tu Almacenamiento Persistente:

  1. Actualiza a Tails 5.14.

    Al iniciar Tails 5.14 por primera vez, Tails automáticamente convierte tu Almacenamiento Persistente a LUKS2.

  2. Elige una nueva frase de contraseña de 5 a 7 palabras aleatorias.

    Muestra las instrucciones para generar una frase de contraseña usando KeePassXC.

    1. Choose Applications ▸ KeePassXC.

    2. Choose Tools ▸ Password Generator.

    3. Switch to the Passphrase tab.

      A very strong passphrase of 7 random words is automatically generated.

      It is impossible to recover your passphrase if you forget it!

      To help you remember your passphrase, you can write it on a piece of paper, store it in your wallet for a few days, and destroy it once you know it well.

  3. Cambia tu frase de contraseña.

    Muestra las instrucciones para cambiar la contraseña de tu Almacenamiento Persistente.

    1. Elige Aplicaciones ▸ Almacenamiento Persistente.

    2. Haz clic en el botón Cambiar frase de contraseña situado a la izquierda de la barra de título.

    3. Introduce la frase de contraseña actual en el cuadro de texto Contraseña actual.

    4. Introduce tu nueva contraseña en el cuadro de texto Nueva contraseña.

    5. Vuelve a introducir tu nueva contraseña en el cuadro de texto Confirmar nueva contraseña.

    6. Pulsa Cambiar.

    7. Cierra la configuración del Almacenamiento Persistente.

  4. Si creaste tu Almacenamiento Persistente con Tails 5.12 o una versión anterior, te recomendamos migrar todo tu Tails a una memoria USB diferente y destruir tu antigua memoria USB de Tails (o al menos eliminar de forma segura todo el dispositivo).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

    Muestra las instrucciones para migrar tu Tails a una nueva memoria USB.

    1. Plug in the new USB stick.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Make sure that the new USB stick is selected in the Target USB stick menu.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lee el mensaje de advertencia en el diálogo de confirmación.

    10. Click Delete All Data and Install to confirm.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Tails de Respaldo (4 palabras o menos)

Para asegurar tu copia de seguridad de Tails, si tienes alguna:

  1. Inicia en tu memoria USB principal de Tails.

  2. Actualiza tu memoria USB principal de Tails a Tails 5.14.

  3. Crea una nueva copia de seguridad de Tails usando Tails Cloner

    Si creaste tu Almacenamiento Persistente con Tails 5.12 o una versión anterior, Te recomendamos que crees tu nueva copia de seguridad de Tails en una memoria USB diferente y destruyas tu antigua copia de seguridad de Tails (o al menos borra de forma segura todo el dispositivo).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

    Muestra las instrucciones para crear una nueva copia de seguridad.

    1. Plug in the new USB stick.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Make sure that the new USB stick is selected in the Target USB stick menu.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lee el mensaje de advertencia en el diálogo de confirmación.

    10. Click Delete All Data and Install to confirm.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Otros volúmenes cifrados (4 palabras o menos)

Para proteger tus otros volúmenes cifrados, si tienes alguno:

  1. Actualiza a Tails 5.14.

  2. Elige una nueva frase de contraseña de 5 a 7 palabras aleatorias.

    Muestra las instrucciones para generar una frase de contraseña usando KeePassXC.

    1. Choose Applications ▸ KeePassXC.

    2. Choose Tools ▸ Password Generator.

    3. Switch to the Passphrase tab.

      A very strong passphrase of 7 random words is automatically generated.

      It is impossible to recover your passphrase if you forget it!

      To help you remember your passphrase, you can write it on a piece of paper, store it in your wallet for a few days, and destroy it once you know it well.

Si tu volumen cifrado está en un disco duro tradicional (no en un SSD) y puedes usar la línea de comandos:

  1. Identifica el nombre de la partición de tu volumen cifrado.

    Muestra las instrucciones para identificar el nombre de la partición usando la línea de comandos.

    1. Al iniciar Tails, configura una contraseña de administración.

    2. Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.

    3. Ejecuta el siguiente comando:

      lsblk
      

      El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
      loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
      sda                      8:0    1    7G  0 disk
      ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
      └─sda2                   8:2    1    3G  0 part
        └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
      zram0                  254:0    0  2.8G  0 disk  [SWAP]
      
    4. Conecta tu volumen encriptado. Mantén el cifrado bloqueado.

    5. Ejecuta el mismo comando de nuevo:

      lsblk
      

      Tu volumen cifrado aparece como un nuevo dispositivo con una lista de particiones. Comprueba que el tamaño de la partición corresponde a tu volumen cifrado.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
      loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
      sda                      8:0    1    7G  0 disk
      ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
      └─sda2                   8:2    1    3G  0 part
        └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
      sdb                      8:0    1    7G  0 disk
      └─sdb1                   8:2    1    7G  0 part
      zram0                  254:0    0  2.8G  0 disk  [SWAP]
      
    6. Take note of the partition name of your encrypted volume. In this example, the new device in the list is sdb and the encrypted volume is in the partition sdb1. Yours might be different.

  2. Si creaste tu volumen cifrado con Tails 5.12 o una versión anterior, actualiza a LUKS2.

    Muestra las instrucciones para actualizar a LUKS2 usando la línea de comandos.

    1. Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.

      Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.

      cryptsetup luksDump /dev/[partición]

      En la salida:

      • Versión indica la versión de LUKS, ya sea 1 o 2.

      • PBKDF indica la función de derivación de clave, ya sea pbkdf2 o argon2id.

      Si tu volumen cifrado ya utiliza LUKS2 y Argon2id, puedes detenerte aquí.

    2. Ejecuta el siguiente comando para hacer una copia de seguridad de tu cabecera LUKS1.

      Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.

      cryptsetup luksHeaderBackup /dev/[partición] --header-backup-file /home/amnesia/luks1header

      Si algo sale mal, podrás restaurar tu cabecera LUKS1 de esta copia de seguridad con:

      cryptsetup luksHeaderRestore /dev/[partición] --header-backup-file /home/amnesia/luks1header

    3. Para actualizar tu cabecera LUKS a LUKS2, ejecuta el siguiente comando.

      Reemplaza [partición] con el nombre del dispositivo encontrado en el paso 1.6.

      cryptsetup convert /dev/[partition] --type luks2

    4. Para verificar que Argon2id sea la nueva función de derivación de clave, ejecuta el siguiente comando nuevamente.

      Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.

      cryptsetup luksDump /dev/[partición]

      En la salida, verifica que:

      • La Versión es 2 y no 1.

      • La PBKDF esargon2id y no pbkdf2.

    5. Intenta desbloquear tu volumen cifrado.

  3. Cambia tu frase de contraseña.

    Muestra las instrucciones para cambiar tu frase de contraseña usando la línea de comandos.

    1. Para cambiar tu frase de contraseña, ejecuta el siguiente comando.

      Remplaza [partición] con el nombre de la partición encontrada en el paso 1.6.

      cryptsetup luksChangeKey /dev/[partición]

De lo contrario, si tu volumen cifrado está en una memoria USB (o SSD) o no te sientes cómodo con la línea de comandos:

  • Si creaste tu volumen cifrado con Tails 5.13 o posterior, te recomendamos que cambies tu frase de contraseña.

    Follow our instructions on changing the passphrase of an existing encrypted partition.

  • Si creaste tu volumen cifrado con Tails 5.12 o una versión anterior, te recomendamos que migres todos tus datos cifrados a un nuevo dispositivo cifrado.

    Follow our instructions on creating and using LUKS encrypted volumes.

    We also recommend you destroy your old device (or at least securely delete the entire device).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

Si tu frase de contraseña tiene 5 palabras aleatorias

Si tu frase de contraseña actual tiene 5 palabras aleatorias:

  • Tu cifrado es seguro con LUKS1, excepto contra un adversario muy poderoso, como un atacante patrocinado por el estado con un presupuesto enorme para gastar en adivinar tu frase de contraseña.

    Aún así te recomendamos actualizar a LUKS2.

  • Tu cifrado es aún más seguro con LUKS2.

¡Felicitaciones por seguir nuestras recomendaciones!

Almacenamiento Persistente (5 palabras)

Para proteger tu Almacenamiento Persistente:

  1. Actualiza a Tails 5.14.

    Al iniciar Tails 5.14 por primera vez, Tails automáticamente convierte tu Almacenamiento Persistente a LUKS2.

  2. Considera agregar otra palabra aleatoria a tu frase de contraseña.

    Display the instructions to change the passphrase of your Persistent Storage.

    1. Elige Aplicaciones ▸ Almacenamiento Persistente.

    2. Haz clic en el botón Cambiar frase de contraseña situado a la izquierda de la barra de título.

    3. Introduce la frase de contraseña actual en el cuadro de texto Contraseña actual.

    4. Introduce tu nueva contraseña en el cuadro de texto Nueva contraseña.

    5. Vuelve a introducir tu nueva contraseña en el cuadro de texto Confirmar nueva contraseña.

    6. Pulsa Cambiar.

    7. Cierra la configuración del Almacenamiento Persistente.

  3. If you created your encrypted volume with Tails 5.12 or earlier and are worried about a very powerful adversary, consider migrating your entire Tails to a different USB stick and destroying your old Tails USB stick (or at least securely deleting the entire device).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

    Muestra las instrucciones para migrar todo tu Tails a una nueva memoria USB.

    1. Plug in the new USB stick.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Make sure that the new USB stick is selected in the Target USB stick menu.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lee el mensaje de advertencia en el diálogo de confirmación.

    10. Click Delete All Data and Install to confirm.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Copia de seguridad de Tails (5 palabras)

Para asegurar tu copia de seguridad de Tails, si tienes alguna:

  1. Inicia en tu memoria USB principal de Tails.

  2. Actualiza tu memoria USB principal de Tails a Tails 5.14.

  3. Actualiza tu copia de seguridad o crea una nueva copia de seguridad de Tails usando Tails Cloner.

    If you created your backup Tails with Tails 5.12 or earlier and are worried about a very powerful adversary, consider creating your new backup Tails on a different USB stick and destroying your old backup Tails (or at least securely deleting the entire device).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

    Display the instructions to update your backup or create a new backup.

    1. Plug in the new USB stick.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Make sure that the new USB stick is selected in the Target USB stick menu.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lee el mensaje de advertencia en el diálogo de confirmación.

    10. Click Delete All Data and Install to confirm.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Otros volúmenes cifrados (5 palabras)

Para proteger tus otros volúmenes cifrados, si tienes alguno:

  1. Actualiza a Tails 5.14.

  2. Considera agregar otra palabra aleatoria a tu frase de contraseña.

Si creaste tu volumen cifrado con Tails 5.12 o anterior y tu volumen cifrado está en un disco duro tradicional (no en un SSD) y puedes usar la línea de comandos:

  1. Identifica el nombre de la partición de tu volumen cifrado.

    Muestra las instrucciones para identificar el nombre de la partición usando la línea de comandos.

    1. Al iniciar Tails, configura una contraseña de administración.

    2. Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.

    3. Ejecuta el siguiente comando:

      lsblk
      

      El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
      loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
      sda                      8:0    1    7G  0 disk
      ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
      └─sda2                   8:2    1    3G  0 part
        └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
      zram0                  254:0    0  2.8G  0 disk  [SWAP]
      
    4. Conecta tu volumen encriptado. Mantén el cifrado bloqueado.

    5. Ejecuta el mismo comando de nuevo:

      lsblk
      

      Tu volumen cifrado aparece como un nuevo dispositivo con una lista de particiones. Comprueba que el tamaño de la partición corresponde a tu volumen cifrado.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
      loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
      sda                      8:0    1    7G  0 disk
      ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
      └─sda2                   8:2    1    3G  0 part
        └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
      sdb                      8:0    1    7G  0 disk
      └─sdb1                   8:2    1    7G  0 part
      zram0                  254:0    0  2.8G  0 disk  [SWAP]
      
    6. Take note of the partition name of your encrypted volume. In this example, the new device in the list is sdb and the encrypted volume is in the partition sdb1. Yours might be different.

  2. Si creaste tu volumen cifrado con Tails 5.12 o una versión anterior, actualiza a LUKS2.

    Muestra las instrucciones para actualizar a LUKS2 usando la línea de comandos.

    1. Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.

      Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.

      cryptsetup luksDump /dev/[partición]

      En la salida:

      • Versión indica la versión de LUKS, ya sea 1 o 2.

      • PBKDF indica la función de derivación de clave, ya sea pbkdf2 o argon2id.

      Si tu volumen cifrado ya utiliza LUKS2 y Argon2id, puedes detenerte aquí.

    2. Ejecuta el siguiente comando para hacer una copia de seguridad de tu cabecera LUKS1.

      Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.

      cryptsetup luksHeaderBackup /dev/[partición] --header-backup-file /home/amnesia/luks1header

      Si algo sale mal, podrás restaurar tu cabecera LUKS1 de esta copia de seguridad con:

      cryptsetup luksHeaderRestore /dev/[partición] --header-backup-file /home/amnesia/luks1header

    3. Para actualizar tu cabecera LUKS a LUKS2, ejecuta el siguiente comando.

      Reemplaza [partición] con el nombre del dispositivo encontrado en el paso 1.6.

      cryptsetup convert /dev/[partition] --type luks2

    4. Para verificar que Argon2id sea la nueva función de derivación de clave, ejecuta el siguiente comando nuevamente.

      Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.

      cryptsetup luksDump /dev/[partición]

      En la salida, verifica que:

      • La Versión es 2 y no 1.

      • La PBKDF esargon2id y no pbkdf2.

    5. Intenta desbloquear tu volumen cifrado.

  3. Cambia tu frase de contraseña.

    Muestra las instrucciones para cambiar tu frase de contraseña usando la línea de comandos.

    1. Para cambiar tu frase de contraseña, ejecuta el siguiente comando.

      Remplaza [partición] con el nombre de la partición encontrada en el paso 1.6.

      cryptsetup luksChangeKey /dev/[partición]

If you create your encrypted volume with Tails 5.12 or earlier and your encrypted volume is on a USB stick (or an SSD) or if you are not comfortable with the command line:

  1. Migra todos tus datos cifrados a un nuevo dispositivo cifrado.

    Follow our instructions on creating and using LUKS encrypted volumes.

  2. Si te preocupa un adversario muy poderoso, considera destruir tu antiguo dispositivo (o al menos eliminar de forma segura todo el dispositivo).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

Si tu frase de contraseña tiene 6 palabras aleatorias o más

Si tu frase de contraseña actual tiene 6 palabras aleatorias o más:

  • Tu cifrado es seguro con LUKS1, incluso contra un adversario muy poderoso.

    Aún así te recomendamos actualizar a LUKS2.

  • Tu cifrado es aún más seguro con LUKS2.

¡Felicitaciones por seguir nuestras recomendaciones más seguras!

Almacenamiento Persistente (6 palabras o más)

Tu Almacenamiento Persistente ya es seguro, incluso con LUKS1.

Después de actualizar a Tails 5.14 o posterior, Tails convertirá automáticamente tu Almacenamiento Persistente a LUKS2 y hará que tu Almacenamiento Persistente sea aún más seguro.

Copia de seguridad de Tails (6 palabras o más)

Tu copia de seguridad de Tails ya es segura, incluso con LUKS1.

Si deseas actualizar tu copia de seguridad de Tails a LUKS2 de todos modos:

  1. Inicia en tu memoria USB principal de Tails.

  2. Actualiza tu memoria USB principal de Tails a Tails 5.14.

  3. Actualiza tu copia de seguridad usando Tails Cloner.

    Muestra las instrucciones para actualizar tu copia de seguridad.

    1. Plug in the new USB stick.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Make sure that the new USB stick is selected in the Target USB stick menu.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lee el mensaje de advertencia en el diálogo de confirmación.

    10. Click Delete All Data and Install to confirm.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Otros volúmenes cifrados (6 palabras o más)

Tus otros volúmenes cifrados ya están seguros, incluso con LUKS1.

Si deseas actualizar tus otros volúmenes cifrados a LUKS2 de todos modos y sabes cómo usar la línea de órdenes:

  1. Identifica el nombre de la partición de tu volumen cifrado.

    Display the instructions to identify the partition name using the command line.

    1. Al iniciar Tails, configura una contraseña de administración.

    2. Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.

    3. Ejecuta el siguiente comando:

      lsblk
      

      El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
      loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
      sda                      8:0    1    7G  0 disk
      ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
      └─sda2                   8:2    1    3G  0 part
        └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
      zram0                  254:0    0  2.8G  0 disk  [SWAP]
      
    4. Conecta tu volumen encriptado. Mantén el cifrado bloqueado.

    5. Ejecuta el mismo comando de nuevo:

      lsblk
      

      Tu volumen cifrado aparece como un nuevo dispositivo con una lista de particiones. Comprueba que el tamaño de la partición corresponde a tu volumen cifrado.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
      loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
      sda                      8:0    1    7G  0 disk
      ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
      └─sda2                   8:2    1    3G  0 part
        └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
      sdb                      8:0    1    7G  0 disk
      └─sdb1                   8:2    1    7G  0 part
      zram0                  254:0    0  2.8G  0 disk  [SWAP]
      
    6. Take note of the partition name of your encrypted volume. In this example, the new device in the list is sdb and the encrypted volume is in the partition sdb1. Yours might be different.

  2. Upgrade to LUKS2.

    Display the instructions to upgrade to LUKS2 using the command line.

    1. Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.

      Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.

      cryptsetup luksDump /dev/[partición]

      En la salida:

      • Versión indica la versión de LUKS, ya sea 1 o 2.

      • PBKDF indica la función de derivación de clave, ya sea pbkdf2 o argon2id.

      Si tu volumen cifrado ya utiliza LUKS2 y Argon2id, puedes detenerte aquí.

    2. Ejecuta el siguiente comando para hacer una copia de seguridad de tu cabecera LUKS1.

      Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.

      cryptsetup luksHeaderBackup /dev/[partición] --header-backup-file /home/amnesia/luks1header

      Si algo sale mal, podrás restaurar tu cabecera LUKS1 de esta copia de seguridad con:

      cryptsetup luksHeaderRestore /dev/[partición] --header-backup-file /home/amnesia/luks1header

    3. Para actualizar tu cabecera LUKS a LUKS2, ejecuta el siguiente comando.

      Reemplaza [partición] con el nombre del dispositivo encontrado en el paso 1.6.

      cryptsetup convert /dev/[partition] --type luks2

    4. Para verificar que Argon2id sea la nueva función de derivación de clave, ejecuta el siguiente comando nuevamente.

      Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.

      cryptsetup luksDump /dev/[partición]

      En la salida, verifica que:

      • La Versión es 2 y no 1.

      • La PBKDF esargon2id y no pbkdf2.

    5. Intenta desbloquear tu volumen cifrado.

Knowing which version of LUKS is used in your devices

If you know how to use the command line, you can verify whether your encryption uses PBKDF2 or Argon2id.

Almacenamiento Persistente

  1. Al iniciar Tails, configura una contraseña de administración.

  2. Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.

  3. Ejecuta el siguiente comando:

    lsblk
    

    El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
      loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
      sda                      8:0    1    7G  0 disk
      ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
      └─sda2                   8:2    1    3G  0 part
        └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
      zram0                  254:0    0  2.8G  0 disk  [SWAP]
    

    Your Persistent Storage appears as TailsData_unlocked.

  4. Take note of the partition name of your Persistent Storage, which appears above TailsData_unlocked. In this example, the Persistent Storage is in the partition sda2. Yours might be different.

  5. Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.

    Replace [partition] with the partition name found in step 4.

    sudo cryptsetup luksDump /dev/[partition]

    En la salida:

    • Versión indica la versión de LUKS, ya sea 1 o 2.

    • PBKDF indica la función de derivación de clave, ya sea pbkdf2 o argon2id.

Otros volúmenes cifrados

  1. Al iniciar Tails, configura una contraseña de administración.

  2. Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.

  3. Ejecuta el siguiente comando:

    lsblk
    

    El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
      loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
      sda                      8:0    1    7G  0 disk
      ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
      └─sda2                   8:2    1    3G  0 part
        └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
      zram0                  254:0    0  2.8G  0 disk  [SWAP]
    
  4. Conecta tu volumen encriptado. Mantén el cifrado bloqueado.

  5. Ejecuta el mismo comando de nuevo:

    lsblk
    

    Tu volumen cifrado aparece como un nuevo dispositivo con una lista de particiones. Comprueba que el tamaño de la partición corresponde a tu volumen cifrado.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
      loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
      sda                      8:0    1    7G  0 disk
      ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
      └─sda2                   8:2    1    3G  0 part
        └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
      sdb                      8:0    1    7G  0 disk
      └─sdb1                   8:2    1    7G  0 part
      zram0                  254:0    0  2.8G  0 disk  [SWAP]
    
  6. Take note of the partition name of your encrypted volume. In this example, the new device in the list is sdb and the encrypted volume is in the partition sdb1. Yours might be different.

  7. Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.

    Replace [partition] with the partition name found in step 6.

    sudo cryptsetup luksDump /dev/[partition]

    En la salida:

    • Versión indica la versión de LUKS, ya sea 1 o 2.

    • PBKDF indica la función de derivación de clave, ya sea pbkdf2 o argon2id.