- security
- Parámetros criptográficos débiles en LUKS1
Los parámetros criptográficos de LUKS de Tails 5.12 o anterior son débiles contra un atacante patrocinado por el estado con acceso físico a tu dispositivo.
Te recomendamos que cambies la frase de contraseña de tu Almacenamiento Persistente y otros volúmenes cifrados de LUKS, a menos que uses una frase de contraseña larga de 5 palabras aleatorias o más.
Entendiendo la debilidad y su solución.
La carrera armamentista para protegerse de los ataques de fuerza bruta
En toda la tecnología de cifrado que protege los datos en un disco o memoria USB con una contraseña o frase de contraseña, un atacante puede probar todas las combinaciones posibles hasta que adivine tu frase de contraseña y desbloquee el cifrado. Este tipo de ataque se llama ataque de fuerza bruta.
Una contraseña segura hace que los ataques de fuerza bruta sean más lentos y costosos. Cuanto más larga sea la frase de contraseña, más caro se vuelve el ataque de fuerza bruta.
Algunos parámetros criptográficos también pueden hacer que cada suposición de un ataque de fuerza bruta sea más lenta y costosa, por ejemplo, al tener que hacer algunos cálculos complicados en cada frase de contraseña antes de poder intentar desbloquear el cifrado con el resultado de este cálculo.
Con los años, las computadoras se vuelven más rápidas y económicas. Las tecnologías de cifrado actualizan regularmente sus parámetros para encontrar un equilibrio entre hacer que el cifrado sea rápido y utilizable por los usuarios y hacer que los ataques de fuerza bruta sean lo más costosos posible para los atacantes.
Los parámetros de cifrado fuertes combinados con una frase de contraseña fuerte hacen que los ataques de fuerza bruta sean tan lentos y costosos que son imposibles de realizar en la práctica. Por ejemplo, un ataque de fuerza bruta es imposible de realizar en la práctica si lleva miles de años, incluso con las supercomputadoras más poderosas.
Fuerza de Argon2id en comparación con PBKDF2
Hasta Tails 5.12 (19 de abril de 2023), Tails creaba dispositivos LUKS versión 1 (LUKS1) con PBKDF2 como función de derivación de clave, un cálculo ejecutado sobre la frase de contraseña antes de intentar desbloquear el cifrado con el resultado.
Actualmente se considera que PBKDF2 es demasiado débil en comparación con la potencia de cálculo disponible.
Algunos criptógrafos creen que esta debilidad podría haber sido ya utilizada contra un activista en Francia, pero las operaciones reales de la policía francesa se mantienen en secreto.
Desde Tails 5.13 (16 de mayo de 2023), Tails crea dispositivos LUKS versión 2 (LUKS2) con Argon2id como función de derivación de claves.
Versión de Tails cuándo se creó el cifrado | Fecha de lanzamiento | Versión de LUKS | Función de derivación de claves | Fuerza |
---|---|---|---|---|
5.12 o anterior | 19 de abril de 2023 | LUKS1 | PBKDF2 | Débil |
5.13 o posterior | 16 de mayo de 2023 | LUKS2 | Argon2id | Fuerte |
Calculamos cuánta electricidad costaría adivinar frases de contraseña de distinta intensidad. Como recomendamos para el Almacenamiento Persistente, evaluamos frases de contraseña compuestas por varias palabras aleatorias.
Longitud de la contraseña | PBKDF2 | Argon2id |
---|---|---|
3 palabras aleatorias | $0.1 | $100 |
4 palabras aleatorias | $1 000 | $1 000 000 |
5 palabras aleatorias | $10 000 000 | $10 000 000 000 |
6 palabras aleatorias | $100 000 000 000 | $100 000 000 000 000 |
7 palabras aleatorias | $1 000 000 000 000 000 | $1 000 000 000 000 000 000 |
Estas cifras son estimaciones muy aproximadas, pero dan una idea de la longitud de la frase de contraseña que podría adivinar un adversario muy poderoso, como un atacante patrocinado por un Estado.
Aunque adivinar una frase de contraseña de 3 palabras aleatorias con LUKS1 cuesta muy poca energía, cualquier ataque de este tipo también requiere:
- Acceso físico al dispositivo
- Equipo informático muy caro
- Conocimientos profesionales de hacking
Puedes ver los detalles de nuestros cálculos en #19615 y en esta hoja de cálculo.
Otros esquemas de contraseñas dan muy pocas garantías
Recomendamos utilizar frases de contraseña compuestas por varias palabras aleatorias, ya que el uso de la aleatoriedad es la única forma de garantizar realmente la solidez de una contraseña.
El uso de otros esquemas de contraseñas ofrece pocas garantías sobre la solidez de una contraseña, aunque siga políticas de contraseñas complicadas y se valide en medidores de solidez de contraseñas.
Por ejemplo, un hacker holandés entró en la cuenta de Twitter de Donald Trump dos veces adivinando sus contraseñas, a pesar de que estas contraseñas incluían varias palabras, tenían más de 8 caracteres e incluso caracteres especiales. Definitivamente no eran lo suficientemente aleatorias: "maga2020!" y "yourefired".
Para entender las matemáticas que hay detrás de la seguridad de las contraseñas, lee Un modelo teórico de la información sobre privacidad y seguridad (en inglés). Bill Budington, de la EFF, explica de forma accesible el concepto de entropía y sus implicaciones para las huellas digitales de los navegadores y la seguridad de las contraseñas.
Mantener tu cifrado seguro
Se recomienda a todos los usuarios que actualicen a LUKS2 todos sus dispositivos cifrados: Almacenamiento Persistente, Tails de copia de seguridad y otros volúmenes cifrados externos.
Dependiendo de la solidez de tu contraseña, también podríamos recomendar elegir una contraseña diferente y migrar a otra memoria USB de Tails:
- Si tu frase de contraseña tiene 4 palabras aleatorias o menos
- Si tu frase de contraseña tiene 5 palabras aleatorias
- Si tu frase de contraseña tiene 6 palabras aleatorias o más
Si tu frase de contraseña tiene 4 palabras aleatorias o menos
Si tu frase de contraseña actual tiene 4 palabras aleatorias o menos:
Tu cifrado es inseguro con LUKS1.
Tienes que actualizar a LUKS2
Tu cifrado es más seguro con LUKS2.
Aún recomendamos cambiar tu frase de contraseña para que tenga 5 palabras aleatorias o más.
Almacenamiento Persistente (4 palabras o menos)
Para proteger tu Almacenamiento Persistente:
Actualiza a Tails 5.14.
Al iniciar Tails 5.14 por primera vez, Tails automáticamente convierte tu Almacenamiento Persistente a LUKS2.
Elige una nueva frase de contraseña de 5 a 7 palabras aleatorias.
Muestra las instrucciones para generar una frase de contraseña usando KeePassXC.
Choose Applications ▸ KeePassXC.
Choose Tools ▸ Password Generator.
Switch to the Passphrase tab.
A very strong passphrase of 7 random words is automatically generated.
It is impossible to recover your passphrase if you forget it!
To help you remember your passphrase, you can write it on a piece of paper, store it in your wallet for a few days, and destroy it once you know it well.
Cambia tu frase de contraseña.
Muestra las instrucciones para cambiar la contraseña de tu Almacenamiento Persistente.
Elige Aplicaciones ▸ Almacenamiento Persistente.
Haz clic en el botón Cambiar frase de contraseña situado a la izquierda de la barra de título.
Introduce la frase de contraseña actual en el cuadro de texto Contraseña actual.
Introduce tu nueva contraseña en el cuadro de texto Nueva contraseña.
Vuelve a introducir tu nueva contraseña en el cuadro de texto Confirmar nueva contraseña.
Pulsa Cambiar.
Cierra la configuración del Almacenamiento Persistente.
Si creaste tu Almacenamiento Persistente con Tails 5.12 o una versión anterior, te recomendamos migrar todo tu Tails a una memoria USB diferente y destruir tu antigua memoria USB de Tails (o al menos eliminar de forma segura todo el dispositivo).
If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.
Muestra las instrucciones para migrar tu Tails a una nueva memoria USB.
Plug in the new USB stick.
Choose Applications ▸ Tails Cloner.
Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.
Make sure that the new USB stick is selected in the Target USB stick menu.
To start the cloning, click on the Install button.
Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.
Enter the same passphrase again in the Confirm text box.
Click Continue.
Lee el mensaje de advertencia en el diálogo de confirmación.
Click Delete All Data and Install to confirm.
Cloning takes a few minutes.
The progress bar usually freezes for some time while synchronizing data on disk.
Tails de Respaldo (4 palabras o menos)
Para asegurar tu copia de seguridad de Tails, si tienes alguna:
Inicia en tu memoria USB principal de Tails.
Actualiza tu memoria USB principal de Tails a Tails 5.14.
Crea una nueva copia de seguridad de Tails usando Tails Cloner
Si creaste tu Almacenamiento Persistente con Tails 5.12 o una versión anterior, Te recomendamos que crees tu nueva copia de seguridad de Tails en una memoria USB diferente y destruyas tu antigua copia de seguridad de Tails (o al menos borra de forma segura todo el dispositivo).
If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.
Muestra las instrucciones para crear una nueva copia de seguridad.
Plug in the new USB stick.
Choose Applications ▸ Tails Cloner.
Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.
Make sure that the new USB stick is selected in the Target USB stick menu.
To start the cloning, click on the Install button.
Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.
Enter the same passphrase again in the Confirm text box.
Click Continue.
Lee el mensaje de advertencia en el diálogo de confirmación.
Click Delete All Data and Install to confirm.
Cloning takes a few minutes.
The progress bar usually freezes for some time while synchronizing data on disk.
Otros volúmenes cifrados (4 palabras o menos)
Para proteger tus otros volúmenes cifrados, si tienes alguno:
Actualiza a Tails 5.14.
Elige una nueva frase de contraseña de 5 a 7 palabras aleatorias.
Muestra las instrucciones para generar una frase de contraseña usando KeePassXC.
Choose Applications ▸ KeePassXC.
Choose Tools ▸ Password Generator.
Switch to the Passphrase tab.
A very strong passphrase of 7 random words is automatically generated.
It is impossible to recover your passphrase if you forget it!
To help you remember your passphrase, you can write it on a piece of paper, store it in your wallet for a few days, and destroy it once you know it well.
Si tu volumen cifrado está en un disco duro tradicional (no en un SSD) y puedes usar la línea de comandos:
Identifica el nombre de la partición de tu volumen cifrado.
Muestra las instrucciones para identificar el nombre de la partición usando la línea de comandos.
Al iniciar Tails, configura una contraseña de administración.
Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.
Ejecuta el siguiente comando:
lsblk
El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Conecta tu volumen encriptado. Mantén el cifrado bloqueado.
Ejecuta el mismo comando de nuevo:
lsblk
Tu volumen cifrado aparece como un nuevo dispositivo con una lista de particiones. Comprueba que el tamaño de la partición corresponde a tu volumen cifrado.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disk └─sdb1 8:2 1 7G 0 part zram0 254:0 0 2.8G 0 disk [SWAP]
Take note of the partition name of your encrypted volume. In this example, the new device in the list is sdb and the encrypted volume is in the partition sdb1. Yours might be different.
Si creaste tu volumen cifrado con Tails 5.12 o una versión anterior, actualiza a LUKS2.
Muestra las instrucciones para actualizar a LUKS2 usando la línea de comandos.
Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.
Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.
cryptsetup luksDump /dev/[partición]
En la salida:
Versión
indica la versión de LUKS, ya sea1
o2
.PBKDF
indica la función de derivación de clave, ya seapbkdf2
oargon2id
.
Si tu volumen cifrado ya utiliza LUKS2 y Argon2id, puedes detenerte aquí.
Ejecuta el siguiente comando para hacer una copia de seguridad de tu cabecera LUKS1.
Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.
cryptsetup luksHeaderBackup /dev/[partición] --header-backup-file /home/amnesia/luks1header
Si algo sale mal, podrás restaurar tu cabecera LUKS1 de esta copia de seguridad con:
cryptsetup luksHeaderRestore /dev/[partición] --header-backup-file /home/amnesia/luks1header
Para actualizar tu cabecera LUKS a LUKS2, ejecuta el siguiente comando.
Reemplaza [partición] con el nombre del dispositivo encontrado en el paso 1.6.
cryptsetup convert /dev/[partition] --type luks2
Para verificar que Argon2id sea la nueva función de derivación de clave, ejecuta el siguiente comando nuevamente.
Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.
cryptsetup luksDump /dev/[partición]
En la salida, verifica que:
La
Versión
es2
y no1
.La
PBKDF
esargon2id
y nopbkdf2
.
Intenta desbloquear tu volumen cifrado.
Cambia tu frase de contraseña.
Muestra las instrucciones para cambiar tu frase de contraseña usando la línea de comandos.
Para cambiar tu frase de contraseña, ejecuta el siguiente comando.
Remplaza [partición] con el nombre de la partición encontrada en el paso 1.6.
cryptsetup luksChangeKey /dev/[partición]
De lo contrario, si tu volumen cifrado está en una memoria USB (o SSD) o no te sientes cómodo con la línea de comandos:
Si creaste tu volumen cifrado con Tails 5.13 o posterior, te recomendamos que cambies tu frase de contraseña.
Follow our instructions on changing the passphrase of an existing encrypted partition.
Si creaste tu volumen cifrado con Tails 5.12 o una versión anterior, te recomendamos que migres todos tus datos cifrados a un nuevo dispositivo cifrado.
Follow our instructions on creating and using LUKS encrypted volumes.
We also recommend you destroy your old device (or at least securely delete the entire device).
If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.
Si tu frase de contraseña tiene 5 palabras aleatorias
Si tu frase de contraseña actual tiene 5 palabras aleatorias:
Tu cifrado es seguro con LUKS1, excepto contra un adversario muy poderoso, como un atacante patrocinado por el estado con un presupuesto enorme para gastar en adivinar tu frase de contraseña.
Aún así te recomendamos actualizar a LUKS2.
Tu cifrado es aún más seguro con LUKS2.
¡Felicitaciones por seguir nuestras recomendaciones!
Almacenamiento Persistente (5 palabras)
Para proteger tu Almacenamiento Persistente:
Actualiza a Tails 5.14.
Al iniciar Tails 5.14 por primera vez, Tails automáticamente convierte tu Almacenamiento Persistente a LUKS2.
Considera agregar otra palabra aleatoria a tu frase de contraseña.
Display the instructions to change the passphrase of your Persistent Storage.
Elige Aplicaciones ▸ Almacenamiento Persistente.
Haz clic en el botón Cambiar frase de contraseña situado a la izquierda de la barra de título.
Introduce la frase de contraseña actual en el cuadro de texto Contraseña actual.
Introduce tu nueva contraseña en el cuadro de texto Nueva contraseña.
Vuelve a introducir tu nueva contraseña en el cuadro de texto Confirmar nueva contraseña.
Pulsa Cambiar.
Cierra la configuración del Almacenamiento Persistente.
If you created your encrypted volume with Tails 5.12 or earlier and are worried about a very powerful adversary, consider migrating your entire Tails to a different USB stick and destroying your old Tails USB stick (or at least securely deleting the entire device).
If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.
Muestra las instrucciones para migrar todo tu Tails a una nueva memoria USB.
Plug in the new USB stick.
Choose Applications ▸ Tails Cloner.
Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.
Make sure that the new USB stick is selected in the Target USB stick menu.
To start the cloning, click on the Install button.
Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.
Enter the same passphrase again in the Confirm text box.
Click Continue.
Lee el mensaje de advertencia en el diálogo de confirmación.
Click Delete All Data and Install to confirm.
Cloning takes a few minutes.
The progress bar usually freezes for some time while synchronizing data on disk.
Copia de seguridad de Tails (5 palabras)
Para asegurar tu copia de seguridad de Tails, si tienes alguna:
Inicia en tu memoria USB principal de Tails.
Actualiza tu memoria USB principal de Tails a Tails 5.14.
Actualiza tu copia de seguridad o crea una nueva copia de seguridad de Tails usando Tails Cloner.
If you created your backup Tails with Tails 5.12 or earlier and are worried about a very powerful adversary, consider creating your new backup Tails on a different USB stick and destroying your old backup Tails (or at least securely deleting the entire device).
If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.
Display the instructions to update your backup or create a new backup.
Plug in the new USB stick.
Choose Applications ▸ Tails Cloner.
Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.
Make sure that the new USB stick is selected in the Target USB stick menu.
To start the cloning, click on the Install button.
Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.
Enter the same passphrase again in the Confirm text box.
Click Continue.
Lee el mensaje de advertencia en el diálogo de confirmación.
Click Delete All Data and Install to confirm.
Cloning takes a few minutes.
The progress bar usually freezes for some time while synchronizing data on disk.
Otros volúmenes cifrados (5 palabras)
Para proteger tus otros volúmenes cifrados, si tienes alguno:
Actualiza a Tails 5.14.
Considera agregar otra palabra aleatoria a tu frase de contraseña.
Si creaste tu volumen cifrado con Tails 5.12 o anterior y tu volumen cifrado está en un disco duro tradicional (no en un SSD) y puedes usar la línea de comandos:
Identifica el nombre de la partición de tu volumen cifrado.
Muestra las instrucciones para identificar el nombre de la partición usando la línea de comandos.
Al iniciar Tails, configura una contraseña de administración.
Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.
Ejecuta el siguiente comando:
lsblk
El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Conecta tu volumen encriptado. Mantén el cifrado bloqueado.
Ejecuta el mismo comando de nuevo:
lsblk
Tu volumen cifrado aparece como un nuevo dispositivo con una lista de particiones. Comprueba que el tamaño de la partición corresponde a tu volumen cifrado.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disk └─sdb1 8:2 1 7G 0 part zram0 254:0 0 2.8G 0 disk [SWAP]
Take note of the partition name of your encrypted volume. In this example, the new device in the list is sdb and the encrypted volume is in the partition sdb1. Yours might be different.
Si creaste tu volumen cifrado con Tails 5.12 o una versión anterior, actualiza a LUKS2.
Muestra las instrucciones para actualizar a LUKS2 usando la línea de comandos.
Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.
Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.
cryptsetup luksDump /dev/[partición]
En la salida:
Versión
indica la versión de LUKS, ya sea1
o2
.PBKDF
indica la función de derivación de clave, ya seapbkdf2
oargon2id
.
Si tu volumen cifrado ya utiliza LUKS2 y Argon2id, puedes detenerte aquí.
Ejecuta el siguiente comando para hacer una copia de seguridad de tu cabecera LUKS1.
Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.
cryptsetup luksHeaderBackup /dev/[partición] --header-backup-file /home/amnesia/luks1header
Si algo sale mal, podrás restaurar tu cabecera LUKS1 de esta copia de seguridad con:
cryptsetup luksHeaderRestore /dev/[partición] --header-backup-file /home/amnesia/luks1header
Para actualizar tu cabecera LUKS a LUKS2, ejecuta el siguiente comando.
Reemplaza [partición] con el nombre del dispositivo encontrado en el paso 1.6.
cryptsetup convert /dev/[partition] --type luks2
Para verificar que Argon2id sea la nueva función de derivación de clave, ejecuta el siguiente comando nuevamente.
Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.
cryptsetup luksDump /dev/[partición]
En la salida, verifica que:
La
Versión
es2
y no1
.La
PBKDF
esargon2id
y nopbkdf2
.
Intenta desbloquear tu volumen cifrado.
Cambia tu frase de contraseña.
Muestra las instrucciones para cambiar tu frase de contraseña usando la línea de comandos.
Para cambiar tu frase de contraseña, ejecuta el siguiente comando.
Remplaza [partición] con el nombre de la partición encontrada en el paso 1.6.
cryptsetup luksChangeKey /dev/[partición]
If you create your encrypted volume with Tails 5.12 or earlier and your encrypted volume is on a USB stick (or an SSD) or if you are not comfortable with the command line:
Migra todos tus datos cifrados a un nuevo dispositivo cifrado.
Follow our instructions on creating and using LUKS encrypted volumes.
Si te preocupa un adversario muy poderoso, considera destruir tu antiguo dispositivo (o al menos eliminar de forma segura todo el dispositivo).
If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.
Si tu frase de contraseña tiene 6 palabras aleatorias o más
Si tu frase de contraseña actual tiene 6 palabras aleatorias o más:
Tu cifrado es seguro con LUKS1, incluso contra un adversario muy poderoso.
Aún así te recomendamos actualizar a LUKS2.
Tu cifrado es aún más seguro con LUKS2.
¡Felicitaciones por seguir nuestras recomendaciones más seguras!
Almacenamiento Persistente (6 palabras o más)
Tu Almacenamiento Persistente ya es seguro, incluso con LUKS1.
Después de actualizar a Tails 5.14 o posterior, Tails convertirá automáticamente tu Almacenamiento Persistente a LUKS2 y hará que tu Almacenamiento Persistente sea aún más seguro.
Copia de seguridad de Tails (6 palabras o más)
Tu copia de seguridad de Tails ya es segura, incluso con LUKS1.
Si deseas actualizar tu copia de seguridad de Tails a LUKS2 de todos modos:
Inicia en tu memoria USB principal de Tails.
Actualiza tu memoria USB principal de Tails a Tails 5.14.
Actualiza tu copia de seguridad usando Tails Cloner.
Muestra las instrucciones para actualizar tu copia de seguridad.
Plug in the new USB stick.
Choose Applications ▸ Tails Cloner.
Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.
Make sure that the new USB stick is selected in the Target USB stick menu.
To start the cloning, click on the Install button.
Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.
Enter the same passphrase again in the Confirm text box.
Click Continue.
Lee el mensaje de advertencia en el diálogo de confirmación.
Click Delete All Data and Install to confirm.
Cloning takes a few minutes.
The progress bar usually freezes for some time while synchronizing data on disk.
Otros volúmenes cifrados (6 palabras o más)
Tus otros volúmenes cifrados ya están seguros, incluso con LUKS1.
Si deseas actualizar tus otros volúmenes cifrados a LUKS2 de todos modos y sabes cómo usar la línea de órdenes:
Identifica el nombre de la partición de tu volumen cifrado.
Display the instructions to identify the partition name using the command line.
Al iniciar Tails, configura una contraseña de administración.
Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.
Ejecuta el siguiente comando:
lsblk
El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Conecta tu volumen encriptado. Mantén el cifrado bloqueado.
Ejecuta el mismo comando de nuevo:
lsblk
Tu volumen cifrado aparece como un nuevo dispositivo con una lista de particiones. Comprueba que el tamaño de la partición corresponde a tu volumen cifrado.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disk └─sdb1 8:2 1 7G 0 part zram0 254:0 0 2.8G 0 disk [SWAP]
Take note of the partition name of your encrypted volume. In this example, the new device in the list is sdb and the encrypted volume is in the partition sdb1. Yours might be different.
Upgrade to LUKS2.
Display the instructions to upgrade to LUKS2 using the command line.
Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.
Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.
cryptsetup luksDump /dev/[partición]
En la salida:
Versión
indica la versión de LUKS, ya sea1
o2
.PBKDF
indica la función de derivación de clave, ya seapbkdf2
oargon2id
.
Si tu volumen cifrado ya utiliza LUKS2 y Argon2id, puedes detenerte aquí.
Ejecuta el siguiente comando para hacer una copia de seguridad de tu cabecera LUKS1.
Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.
cryptsetup luksHeaderBackup /dev/[partición] --header-backup-file /home/amnesia/luks1header
Si algo sale mal, podrás restaurar tu cabecera LUKS1 de esta copia de seguridad con:
cryptsetup luksHeaderRestore /dev/[partición] --header-backup-file /home/amnesia/luks1header
Para actualizar tu cabecera LUKS a LUKS2, ejecuta el siguiente comando.
Reemplaza [partición] con el nombre del dispositivo encontrado en el paso 1.6.
cryptsetup convert /dev/[partition] --type luks2
Para verificar que Argon2id sea la nueva función de derivación de clave, ejecuta el siguiente comando nuevamente.
Remplaza [partición] con el nombre de la partición encontrado en el paso 1.6.
cryptsetup luksDump /dev/[partición]
En la salida, verifica que:
La
Versión
es2
y no1
.La
PBKDF
esargon2id
y nopbkdf2
.
Intenta desbloquear tu volumen cifrado.
Knowing which version of LUKS is used in your devices
If you know how to use the command line, you can verify whether your encryption uses PBKDF2 or Argon2id.
Almacenamiento Persistente
Al iniciar Tails, configura una contraseña de administración.
Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.
Ejecuta el siguiente comando:
lsblk
El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Your Persistent Storage appears as
TailsData_unlocked
.Take note of the partition name of your Persistent Storage, which appears above
TailsData_unlocked
. In this example, the Persistent Storage is in the partition sda2. Yours might be different.Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.
Replace [partition] with the partition name found in step 4.
sudo cryptsetup luksDump /dev/[partition]
En la salida:
Versión
indica la versión de LUKS, ya sea1
o2
.PBKDF
indica la función de derivación de clave, ya seapbkdf2
oargon2id
.
Otros volúmenes cifrados
Al iniciar Tails, configura una contraseña de administración.
Elige Aplicaciones ▸ Herramientas del Sistema ▸ Terminal de root.
Ejecuta el siguiente comando:
lsblk
El resultado es una lista de los dispositivos de almacenamiento y las particiones del sistema. Por ejemplo:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Conecta tu volumen encriptado. Mantén el cifrado bloqueado.
Ejecuta el mismo comando de nuevo:
lsblk
Tu volumen cifrado aparece como un nuevo dispositivo con una lista de particiones. Comprueba que el tamaño de la partición corresponde a tu volumen cifrado.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disk └─sdb1 8:2 1 7G 0 part zram0 254:0 0 2.8G 0 disk [SWAP]
Take note of the partition name of your encrypted volume. In this example, the new device in the list is sdb and the encrypted volume is in the partition sdb1. Yours might be different.
Para verificar si tu volumen cifrado usa PBKDF2 o Argon2id, ejecuta el siguiente comando.
Replace [partition] with the partition name found in step 6.
sudo cryptsetup luksDump /dev/[partition]
En la salida:
Versión
indica la versión de LUKS, ya sea1
o2
.PBKDF
indica la función de derivación de clave, ya seapbkdf2
oargon2id
.