- security
- Paramètres cryptographiques faibles avec LUKS1
Les paramètres cryptographiques de LUKS jusqu'à Tails 5.12 sont vulnérables contre un adversaire étatique ayant un accès physique à votre périphérique.
Nous recommandons de changer la phrase de passe de votre stockage persistant et de tout autre volume LUKS sauf si vous utilisez une phrase de passe longue d'au moins 5 mots aléatoires.
Comprendre la vulnérabilité et sa solution
La course à la protection contre les attaques par force brute
Avec toutes les technologies de chiffrement qui protègent des données sur un disque dur ou une clé USB avec un mot de passe ou une phrase de passe, un attaquant peut essayer toutes les combinaisons possibles jusqu'à deviner la phrase de passe et outrepasser le chiffrement. Ce type d'attaque est appelé une attaque par force brute.
Un mot de passe robuste rend les attaques par force brute plus lentes et onéreuses. Plus une phrase de passe est longue, plus l'attaque par force brute devient onéreuse.
Certains paramètres cryptographiques peuvent également rendre chaque essai d'attaque par force brute plus lent et plus onéreux, par exemple en ajoutant des opérations complexes sur chaque phrase de passe avant de pouvoir essayer de déchiffrer la partition avec le résultat de ces opérations.
Au cours des années, les ordinateurs sont devenus de plus en plus rapides et abordables. Les technologies de chiffrement mettent à jour régulièrement leurs paramètres pour trouver un équilibre entre rapidité et sécurité pour les personnes les utilisant et rendre les attaques par force brute aussi coûteuses que possibles pour les attaquants.
Des paramètres de chiffrement robustes combinés avec une phrase de passe robuste rendent les attaques par force brute tellement lentes et onéreuses qu'elles sont impossibles à réaliser dans la pratique. Par exemple, une attaque par force brute est pratiquement impossible si elle nécessite des milliers d'années même avec les ordinateurs les plus puissants.
Robustesse d'Argon2id comparé à PBKDF2
Jusqu'à Tails 5.12 (19 avril 2023), Tails créait des partitions LUKS en version 1 (LUKS1) avec PBKDF2 comme fonction de dérivation de clé, une fonction appliquée à la phrase de passe avant d'essayer de déchiffrer la partition avec le résultat.
PBKDF2 est maintenant considéré comme trop faible comparativement à la puissance de calcul disponible.
Certains personnes expertes en cryptographie pensent que cette vulnérabilité a déjà été utilisée contre une personne militante en France mais les opérations réelles menées par la police française sont gardées secrètes.
Depuis Tails 5.13 (16 mai 2023), Tails crée des périphériques LUKS en version 2 (LUKS2) avec Argon2id comme fonction de dérivation de clé.
Version Tails quand le chiffrement a été initialisé | Date de sortie | Version LUKS | Fonction de dérivation de clé | Robustesse |
---|---|---|---|---|
5.12 ou antérieur | 19 avril 2023 | LUKS1 | PBKDF2 | Faible |
5.13 ou ultérieur | 16 mai 2023 | LUKS2 | Argon2id | Fort |
Nous avons estimé la quantité d'électricité nécessaire pour deviner des phrases de passe de différentes robustesses. Comme nous le recommandons pour le stockage persistant, nous évaluons les phrases de passe faites de plusieurs mots aléatoires.
Longueur de la phrase de passe | PBKDF2 | Argon2id |
---|---|---|
3 mots aléatoires | 0,1$ | 100$ |
4 mots aléatoires | 1 000$ | 1 000 000$ |
5 mots aléatoires | 10 000 000$ | 10 000 000 000$ |
6 mots aléatoires | 100 000 000 000$ | 100 000 000 000 000$ |
7 mots aléatoires | 1 000 000 000 000 000$ | 1 000 000 000 000 000 000$ |
Ces nombres sont des estimations très approximatives mais donnent une idée de la longueur de phrase de passe qu'un adversaire très puissant comme un attaquant étatique pourrait deviner.
Même si deviner une phrase de passe de 3 mots aléatoires avec LUKS1 coûte très peu d'énergie, une attaque de ce type nécessite également :
- Un accès physique à l'appareil
- Un équipement informatique très onéreux
- Des compétences de piratage professionnelles
Vous pouvez voir les détails de nos calculs ici #19615 et sur cette feuille de calcul.
D'autres schémas de mots de passe donnent trop peu de garantie
Nous recommandons d'utiliser des phrases de passe faites de plusieurs mots aléatoires parce que l'aléatoire est le seul moyen de réellement garantir la robustesse d'un mot de passe.
Utiliser d'autres schémas de mot de passe donne trop peu de garantie sur la robustesse du mot de passe, même s'il respecte des politiques compliquées et valide des tests de robustesse.
Par exemple, un pirate néerlandais s'est connecté sur le compte Twitter de Donald Trump deux fois en devinant ses mots de passe composés de plusieurs mots, faisant plus de 8 caractères et contenant même des caractères spéciaux. Ils n'étaient définitivement pas assez aléatoires : "maga2020!" et "yourefired".
Pour comprendre les mathématiques derrière la robustesse d'un mot de passe, regardez An information theoretic model of privacy and security metrics (en anglais). Bill Budington de l'EFF explique le concept d'entropie et son implication sur la prise d'empreinte du navigateur et la sécurité des mots de passe en termes accessibles.
Garder votre chiffrement sûr
Nous recommandons à toutes les personnes de mettre à jour vers LUKS2 sur tous leurs périphériques chiffrés : stockage persistant, sauvegarde de Tails et autres volumes externes chiffrés.
En fonction de la robustesse de votre phrase de passe, nous pourrions aussi vous recommander de choisir une autre phrase de passe et de migrer vers une autre clé USB Tails :
- Si votre phrase de passe a quatre mots aléatoires ou moins
- Si votre phrase de passe a cinq mots aléatoires
- Si votre phrase de passe a six mots aléatoires ou plus
Si votre phrase de passe a quatre mots aléatoires ou moins
Si votre phrase de passe actuelle a quatre mots aléatoires ou moins :
Votre chiffrement n'est pas sûr avec LUKS1.
Vous devez passer à LUKS2.
Votre chiffrement est plus sûr avec LUKS2.
Nous recommandons tout de même de changer votre phrase de passe pour qu'elle comprenne cinq mots aléatoires ou plus.
Stockage persistant (quatre mots ou moins)
Pour sécuriser votre stockage persistant :
Passez à Tails 5.14.
En démarrant Tails 5.14 pour la première fois, Tails convertira automatiquement votre stockage persistant vers LUKS2.
Choisissez une nouvelle phrase de passe de 5 à 7 mots aléatoires.
Afficher les instructions pour générer une phrase de passe avec KeePassXC.
Choisir Applications ▸ KeePassXC.
Choisir Outils ▸ Générateur de mot de passe.
Passer à l'onglet Phrase de passe.
Une phrase de passe très forte de sept mots aléatoires est automatiquement générée.
Il est impossible de récupérer votre phrase de passe si vous l'oubliez !
Pour vous aider à mémoriser votre phrase de passe, vous pouvez l'écrire sur un morceau de papier, le ranger dans votre portefeuille, et le détruire une fois que vous la connaissez bien.
Changez votre phrase de passe.
Afficher les instructions pour changer la phrase de passe de votre stockage persistant.
Choisir Applications ▸ Stockage persistant.
Cliquer sur le bouton Modifier la phrase de passe à gauche de la barre de titre.
Entrer la phrase de passe actuelle dans la boîte de dialogue Phrase de passe actuelle.
Entrer la nouvelle phrase de passe dans la boîte de dialogue Nouvelle phrase de passe.
Entrer votre nouvelle phrase de passe une nouvelle fois dans la boîte de dialogue Confirmer la nouvelle phrase de passe.
Cliquer sur Modifier.
Fermer les paramètres du stockage persistant.
Si vous avez créé votre stockage persistant en utilisant Tails 5.12 ou antérieur, nous recommandons que vous migriez votre Tails sur une clé USB différente et que vous détruisiez votre ancienne clé USB Tails (ou au moins que vous effaciez de manière sûre la totalité du périphérique).
Si vous ne le faites pas, des données LUKS1 pourraient encore être écrites dans certaines portions de la clé USB et pourraient être retrouvées en utilisant des techniques avancées de récupération de données.
Afficher les instructions pour migrer votre Tails sur une nouvelle clé USB.
Insérez la nouvelle clé USB.
Choisissez Applications ▸ Tails Cloner.
Activez l'option Cloner le stockage persistant actuel en dessous de l'option Cloner le Tails utilisé actuellement.
Vérifiez que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.
Pour démarrer le clonage, cliquez sur le bouton Installer.
Saisissez une phrase de passe pour le stockage persistant sur la nouvelle clé USB dans la boîte de texte Phrase de passe.
Saisissez à nouveau la même phrase de passe dans la boîte de texte Confirmer.
Cliquez sur Continuer.
Lisez le message d’avertissement dans la fenêtre de confirmation.
Cliquez sur Supprimer toutes les données et installer pour confirmer.
Le clonage prend quelques minutes.
La barre de progression se fige généralement pendant quelques instants pendant la synchronisation des données sur le disque.
Sauvegardez Tails (quatre mots ou moins)
Pour sécuriser votre sauvegarde Tails, si vous en avez une :
Démarrez sur votre clé USB Tails principale.
Mettez à jour votre clé USB Tails principale vers la version 5.14.
Créer une nouvelle sauvegarde de Tails en utilisant Tails Cloner
If you created your Persistent Storage with Tails 5.12 or earlier, we recommend you create your new backup Tails on a different USB stick and destroy your old backup Tails (or at least securely delete the entire device).
Si vous ne le faites pas, des données LUKS1 pourraient encore être écrites dans certaines portions de la clé USB et pourraient être retrouvées en utilisant des techniques avancées de récupération de données.
Display the instructions to create a new backup.
Insérez la nouvelle clé USB.
Choisissez Applications ▸ Tails Cloner.
Activez l'option Cloner le stockage persistant actuel en dessous de l'option Cloner le Tails utilisé actuellement.
Vérifiez que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.
Pour démarrer le clonage, cliquez sur le bouton Installer.
Saisissez une phrase de passe pour le stockage persistant sur la nouvelle clé USB dans la boîte de texte Phrase de passe.
Saisissez à nouveau la même phrase de passe dans la boîte de texte Confirmer.
Cliquez sur Continuer.
Lisez le message d’avertissement dans la fenêtre de confirmation.
Cliquez sur Supprimer toutes les données et installer pour confirmer.
Le clonage prend quelques minutes.
La barre de progression se fige généralement pendant quelques instants pendant la synchronisation des données sur le disque.
Autres volumes chiffrés (quatre mots ou moins)
Pour sécuriser vos autres volumes chiffrés, si vous en avez :
Passez à Tails 5.14.
Choisissez une nouvelle phrase de passe de 5 à 7 mots aléatoires.
Display the instructions to generate a passphrase using KeePassXC.
Choisir Applications ▸ KeePassXC.
Choisir Outils ▸ Générateur de mot de passe.
Passer à l'onglet Phrase de passe.
Une phrase de passe très forte de sept mots aléatoires est automatiquement générée.
Il est impossible de récupérer votre phrase de passe si vous l'oubliez !
Pour vous aider à mémoriser votre phrase de passe, vous pouvez l'écrire sur un morceau de papier, le ranger dans votre portefeuille, et le détruire une fois que vous la connaissez bien.
Si votre volume chiffré est sur un disque dur traditionnel (pas un SSD), et si vous pouvez utiliser la ligne de commande :
Identifiez le nom de la partition de votre volume chiffré.
Display the instructions to identify the partition name using the command line.
Lors du démarrage de Tails, définissez un mot de passe d'administration.
Choisissez Applications Outils système Terminal superutilisateur.
Exécutez la commande suivante :
lsblk
La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Branchez votre volume chiffré. Gardez le chiffrement verrouillé.
Exécutez encore la même commande :
lsblk
Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions. Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disk └─sdb1 8:2 1 7G 0 part zram0 254:0 0 2.8G 0 disk [SWAP]
Prenez en note le nom de la partition de votre volume chiffré. Dans cet exemple, le nouveau périphérique dans la liste est sdb et le volume chiffré est dans la partition sdb1. Les vôtres peuvent être différents.
Si vous avez créé votre volume chiffré avec Tails 5.12 ou antérieur, passez à LUKS2.
Display the instructions to upgrade to LUKS2 using the command line.
Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.
Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.
cryptsetup luksDump /dev/[partition]
Dans la sortie :
Version
indique la version de LUKS,1
ou2
.PBKDF
indique la fonction de dérivation de clé, soitpbkdf2
ouargon2id
.
Si votre volume chiffré utilise déjà LUKS2 et Argon2id, vous pouvez arrêter ici.
Exécuter la commande suivante pour faire une sauvegarde de votre en-tête LUKS1.
Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.
cryptsetup luksHeaderBackup /dev/[partition] --header-backup-file /home/amnesia/luks1header
Si quelque chose se passe mal, vous serez capable de restaurer votre en-tête LUKS1 depuis cette sauvegarde avec :
cryptsetup luksHeaderRestore /dev/[partition] --header-backup-file /home/amnesia/luks1header
Pour mettre à jour votre en-tête LUKS vers LUKS2, exécuter la commande suivante.
Remplacer [partition] avec le nom de périphérique trouvé à l'étape 1.6.
cryptsetup convert /dev/[partition] --type luks2
Pour vérifier qu'Argon2id est la nouvelle fonction de dérivation de clé, exécuter de nouveau la commande suivante.
Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.
cryptsetup luksDump /dev/[partition]
Dans la sortie, vérifier que :
La
Version
est2
et non1
.Le
PBKDF
estargon2id
et nonpbkdf2
.
Essayer de déverrouiller votre volume chiffré.
Changez votre phrase de passe.
Display the instructions to change your passphrase using the command line.
Pour changer votre phrase de passe, exécutez la commande suivante.
Remplacer [partition] avec le nom de partition trouvé à l'étape 1.6.
cryptsetup luksChangeKey /dev/[partition]
Sinon, si votre volume chiffré est sur une clé USB (ou un SSD), ou si vous n'êtes pas à l'aise avec la ligne de commande :
Si vous avez créé votre volume chiffré avec Tails 5.13 ou ultérieur, nous recommandons que vous changiez votre phrase de passe.
Follow our instructions on changing the passphrase of an existing encrypted partition.
Si vous avez créé votre volume chiffré avec Tails 5.12 ou antérieur, nous recommandons que vous migriez toutes vos données chiffrées sur un nouveau périphérique chiffré.
Follow our instructions on creating and using LUKS encrypted volumes.
We also recommend you destroy your old device (or at least securely delete the entire device).
If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.
Si votre phrase de passe a 5 mots aléatoires
Si votre phrase de passe actuelle a 5 mots aléatoires :
Votre chiffrement est sécurisé avec LUKS1, sauf contre un adversaire très puissant, comme un attaquant étatique disposant d'un budget immense pour trouver votre phrase de passe.
Nous recommandons tout de même de passer à LUKS2.
Votre chiffrement est encore plus sûr avec LUKS2.
Félicitations d'avoir suivi nos recommandations !
Stockage persistant (5 mots)
Pour sécuriser votre stockage persistant :
Passez à Tails 5.14.
En démarrant Tails 5.14 pour la première fois, Tails convertira automatiquement votre stockage persistant vers LUKS2.
Pensez à ajouter un autre mot aléatoire à votre phrase de passe.
Display the instructions to change the passphrase of your Persistent Storage.
Choisir Applications ▸ Stockage persistant.
Cliquer sur le bouton Modifier la phrase de passe à gauche de la barre de titre.
Entrer la phrase de passe actuelle dans la boîte de dialogue Phrase de passe actuelle.
Entrer la nouvelle phrase de passe dans la boîte de dialogue Nouvelle phrase de passe.
Entrer votre nouvelle phrase de passe une nouvelle fois dans la boîte de dialogue Confirmer la nouvelle phrase de passe.
Cliquer sur Modifier.
Fermer les paramètres du stockage persistant.
If you created your encrypted volume with Tails 5.12 or earlier and are worried about a very powerful adversary, consider migrating your entire Tails to a different USB stick and destroying your old Tails USB stick (or at least securely deleting the entire device).
Si vous ne le faites pas, des données LUKS1 pourraient encore être écrites dans certaines portions de la clé USB et pourraient être retrouvées en utilisant des techniques avancées de récupération de données.
Display the instructions to migrate your entire Tails to a new USB stick.
Insérez la nouvelle clé USB.
Choisissez Applications ▸ Tails Cloner.
Activez l'option Cloner le stockage persistant actuel en dessous de l'option Cloner le Tails utilisé actuellement.
Vérifiez que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.
Pour démarrer le clonage, cliquez sur le bouton Installer.
Saisissez une phrase de passe pour le stockage persistant sur la nouvelle clé USB dans la boîte de texte Phrase de passe.
Saisissez à nouveau la même phrase de passe dans la boîte de texte Confirmer.
Cliquez sur Continuer.
Lisez le message d’avertissement dans la fenêtre de confirmation.
Cliquez sur Supprimer toutes les données et installer pour confirmer.
Le clonage prend quelques minutes.
La barre de progression se fige généralement pendant quelques instants pendant la synchronisation des données sur le disque.
Backup Tails (5 words)
Pour sécuriser votre sauvegarde Tails, si vous en avez une :
Démarrez sur votre clé USB Tails principale.
Mettez à jour votre clé USB Tails principale vers la version 5.14.
Update your backup or create a new backup Tails using Tails Cloner.
If you created your backup Tails with Tails 5.12 or earlier and are worried about a very powerful adversary, consider creating your new backup Tails on a different USB stick and destroying your old backup Tails (or at least securely deleting the entire device).
Si vous ne le faites pas, des données LUKS1 pourraient encore être écrites dans certaines portions de la clé USB et pourraient être retrouvées en utilisant des techniques avancées de récupération de données.
Display the instructions to update your backup or create a new backup.
Insérez la nouvelle clé USB.
Choisissez Applications ▸ Tails Cloner.
Activez l'option Cloner le stockage persistant actuel en dessous de l'option Cloner le Tails utilisé actuellement.
Vérifiez que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.
Pour démarrer le clonage, cliquez sur le bouton Installer.
Saisissez une phrase de passe pour le stockage persistant sur la nouvelle clé USB dans la boîte de texte Phrase de passe.
Saisissez à nouveau la même phrase de passe dans la boîte de texte Confirmer.
Cliquez sur Continuer.
Lisez le message d’avertissement dans la fenêtre de confirmation.
Cliquez sur Supprimer toutes les données et installer pour confirmer.
Le clonage prend quelques minutes.
La barre de progression se fige généralement pendant quelques instants pendant la synchronisation des données sur le disque.
Other encrypted volumes (5 words)
Pour sécuriser vos autres volumes chiffrés, si vous en avez :
Passez à Tails 5.14.
Pensez à ajouter un autre mot aléatoire à votre phrase de passe.
If you created your encrypted volume with Tails 5.12 or earlier and your encrypted volume is on a traditional hard disk (not an SSD) and you can use the command line:
Identifiez le nom de la partition de votre volume chiffré.
Display the instructions to identify the partition name using the command line.
Lors du démarrage de Tails, définissez un mot de passe d'administration.
Choisissez Applications Outils système Terminal superutilisateur.
Exécutez la commande suivante :
lsblk
La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Branchez votre volume chiffré. Gardez le chiffrement verrouillé.
Exécutez encore la même commande :
lsblk
Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions. Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disk └─sdb1 8:2 1 7G 0 part zram0 254:0 0 2.8G 0 disk [SWAP]
Prenez en note le nom de la partition de votre volume chiffré. Dans cet exemple, le nouveau périphérique dans la liste est sdb et le volume chiffré est dans la partition sdb1. Les vôtres peuvent être différents.
Si vous avez créé votre volume chiffré avec Tails 5.12 ou antérieur, passez à LUKS2.
Display the instructions to upgrade to LUKS2 using the command line.
Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.
Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.
cryptsetup luksDump /dev/[partition]
Dans la sortie :
Version
indique la version de LUKS,1
ou2
.PBKDF
indique la fonction de dérivation de clé, soitpbkdf2
ouargon2id
.
Si votre volume chiffré utilise déjà LUKS2 et Argon2id, vous pouvez arrêter ici.
Exécuter la commande suivante pour faire une sauvegarde de votre en-tête LUKS1.
Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.
cryptsetup luksHeaderBackup /dev/[partition] --header-backup-file /home/amnesia/luks1header
Si quelque chose se passe mal, vous serez capable de restaurer votre en-tête LUKS1 depuis cette sauvegarde avec :
cryptsetup luksHeaderRestore /dev/[partition] --header-backup-file /home/amnesia/luks1header
Pour mettre à jour votre en-tête LUKS vers LUKS2, exécuter la commande suivante.
Remplacer [partition] avec le nom de périphérique trouvé à l'étape 1.6.
cryptsetup convert /dev/[partition] --type luks2
Pour vérifier qu'Argon2id est la nouvelle fonction de dérivation de clé, exécuter de nouveau la commande suivante.
Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.
cryptsetup luksDump /dev/[partition]
Dans la sortie, vérifier que :
La
Version
est2
et non1
.Le
PBKDF
estargon2id
et nonpbkdf2
.
Essayer de déverrouiller votre volume chiffré.
Changez votre phrase de passe.
Display the instructions to change your passphrase using the command line.
Pour changer votre phrase de passe, exécutez la commande suivante.
Remplacer [partition] avec le nom de partition trouvé à l'étape 1.6.
cryptsetup luksChangeKey /dev/[partition]
If you create your encrypted volume with Tails 5.12 or earlier and your encrypted volume is on a USB stick (or an SSD) or if you are not comfortable with the command line:
Migrate all your encrypted data to a new encrypted device.
Follow our instructions on creating and using LUKS encrypted volumes.
If you are worried about a very powerful adversary, consider destroying your old device (or at least securely deleting the entire device).
Si vous ne le faites pas, des données LUKS1 pourraient encore être écrites dans certaines portions de la clé USB et pourraient être retrouvées en utilisant des techniques avancées de récupération de données.
If your passphrase has 6 random words or more
If your current passphrase has 6 random words or more:
Your encryption is secure with LUKS1, even against a very powerful adversary.
Nous recommandons tout de même de passer à LUKS2.
Votre chiffrement est encore plus sûr avec LUKS2.
Congratulations on following our most secure recommendations!
Persistent Storage (6 words or more)
Your Persistent Storage is already secure, even with LUKS1.
After you upgrade to Tails 5.14 or later, Tails will automatically convert your Persistent Storage to LUKS2 and make your Persistent Storage even more secure.
Backup Tails (6 words or more)
Your backup Tails is already secure, even with LUKS1.
If you want to upgrade your backup Tails to LUKS2 anyway:
Démarrez sur votre clé USB Tails principale.
Mettez à jour votre clé USB Tails principale vers la version 5.14.
Update your backup using Tails Cloner.
Display the instructions to update your backup.
Insérez la nouvelle clé USB.
Choisissez Applications ▸ Tails Cloner.
Activez l'option Cloner le stockage persistant actuel en dessous de l'option Cloner le Tails utilisé actuellement.
Vérifiez que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.
Pour démarrer le clonage, cliquez sur le bouton Installer.
Saisissez une phrase de passe pour le stockage persistant sur la nouvelle clé USB dans la boîte de texte Phrase de passe.
Saisissez à nouveau la même phrase de passe dans la boîte de texte Confirmer.
Cliquez sur Continuer.
Lisez le message d’avertissement dans la fenêtre de confirmation.
Cliquez sur Supprimer toutes les données et installer pour confirmer.
Le clonage prend quelques minutes.
La barre de progression se fige généralement pendant quelques instants pendant la synchronisation des données sur le disque.
Other encrypted volumes (6 words or more)
Your other encrypted volumes are already secure, even with LUKS1.
If you want to upgrade your other encrypted volumes to LUKS2 anyway and you know how to use the command line:
Identifiez le nom de la partition de votre volume chiffré.
Display the instructions to identify the partition name using the command line.
Lors du démarrage de Tails, définissez un mot de passe d'administration.
Choisissez Applications Outils système Terminal superutilisateur.
Exécutez la commande suivante :
lsblk
La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Branchez votre volume chiffré. Gardez le chiffrement verrouillé.
Exécutez encore la même commande :
lsblk
Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions. Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disk └─sdb1 8:2 1 7G 0 part zram0 254:0 0 2.8G 0 disk [SWAP]
Prenez en note le nom de la partition de votre volume chiffré. Dans cet exemple, le nouveau périphérique dans la liste est sdb et le volume chiffré est dans la partition sdb1. Les vôtres peuvent être différents.
Upgrade to LUKS2.
Display the instructions to upgrade to LUKS2 using the command line.
Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.
Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.
cryptsetup luksDump /dev/[partition]
Dans la sortie :
Version
indique la version de LUKS,1
ou2
.PBKDF
indique la fonction de dérivation de clé, soitpbkdf2
ouargon2id
.
Si votre volume chiffré utilise déjà LUKS2 et Argon2id, vous pouvez arrêter ici.
Exécuter la commande suivante pour faire une sauvegarde de votre en-tête LUKS1.
Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.
cryptsetup luksHeaderBackup /dev/[partition] --header-backup-file /home/amnesia/luks1header
Si quelque chose se passe mal, vous serez capable de restaurer votre en-tête LUKS1 depuis cette sauvegarde avec :
cryptsetup luksHeaderRestore /dev/[partition] --header-backup-file /home/amnesia/luks1header
Pour mettre à jour votre en-tête LUKS vers LUKS2, exécuter la commande suivante.
Remplacer [partition] avec le nom de périphérique trouvé à l'étape 1.6.
cryptsetup convert /dev/[partition] --type luks2
Pour vérifier qu'Argon2id est la nouvelle fonction de dérivation de clé, exécuter de nouveau la commande suivante.
Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.
cryptsetup luksDump /dev/[partition]
Dans la sortie, vérifier que :
La
Version
est2
et non1
.Le
PBKDF
estargon2id
et nonpbkdf2
.
Essayer de déverrouiller votre volume chiffré.
Knowing which version of LUKS is used in your devices
If you know how to use the command line, you can verify whether your encryption uses PBKDF2 or Argon2id.
Stockage persistant
Lors du démarrage de Tails, définissez un mot de passe d'administration.
Choisissez Applications Outils système Terminal superutilisateur.
Exécutez la commande suivante :
lsblk
La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Your Persistent Storage appears as
TailsData_unlocked
.Take note of the partition name of your Persistent Storage, which appears above
TailsData_unlocked
. In this example, the Persistent Storage is in the partition sda2. Yours might be different.Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.
Replace [partition] with the partition name found in step 4.
sudo cryptsetup luksDump /dev/[partition]
Dans la sortie :
Version
indique la version de LUKS,1
ou2
.PBKDF
indique la fonction de dérivation de clé, soitpbkdf2
ouargon2id
.
Other encrypted volumes
Lors du démarrage de Tails, définissez un mot de passe d'administration.
Choisissez Applications Outils système Terminal superutilisateur.
Exécutez la commande suivante :
lsblk
La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... zram0 254:0 0 2.8G 0 disk [SWAP]
Branchez votre volume chiffré. Gardez le chiffrement verrouillé.
Exécutez encore la même commande :
lsblk
Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions. Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 7G 0 disk ├─sda1 8:1 1 4G 0 part /lib/live/mount/medium └─sda2 8:2 1 3G 0 part └─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disk └─sdb1 8:2 1 7G 0 part zram0 254:0 0 2.8G 0 disk [SWAP]
Prenez en note le nom de la partition de votre volume chiffré. Dans cet exemple, le nouveau périphérique dans la liste est sdb et le volume chiffré est dans la partition sdb1. Les vôtres peuvent être différents.
Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.
Replace [partition] with the partition name found in step 6.
sudo cryptsetup luksDump /dev/[partition]
Dans la sortie :
Version
indique la version de LUKS,1
ou2
.PBKDF
indique la fonction de dérivation de clé, soitpbkdf2
ouargon2id
.