Introduction à LUKS

La façon la plus simple de transporter chiffrés les documents que vous voulez utiliser avec Tails est d'utiliser le stockage persistant.

Vous pouvez créer d'autres volumes chiffrés en utilisant LUKS pour chiffrer, par exemple, une autre clé USB ou un disque dur externe. LUKS est le standard pour le chiffrement de disque sous Linux.

  • L'utilitaire Disques vous permet de créer des volumes chiffrés.

  • Le bureau GNOME vous permet d'ouvrir des supports chiffrés.

Comparaison entre LUKS et VeraCrypt

Vous pouvez également ouvrir des volumes chiffrés VeraCrypt dans Tails. VeraCrypt est un outil de chiffrement de disque pour Windows, macOS et Linux. Voir notre documentation sur VeraCrypt.

Nous vous recommandons d'utiliser :

  • VeraCrypt pour partager des fichiers chiffrés entre différents systèmes d'exploitation.

  • LUKS pour chiffrer des fichiers pour Tails et Linux.

LUKSVeraCrypt
CompatibilitéLinuxWindows + macOS + Linux
Créer de nouveaux volumesOuiEn dehors de Tails
Ouvrir et modifier des volumes existantsOuiOui
Partitions chiffrées (ou disques entiers) ¹OuiOui
Fichiers conteneurs chiffrés ¹CompliquéFacile
Déni plausible ²NonOui
Facilité d'utilisationPlus facilePlus compliqué
VitessePlus rapidePlus lent
  1. Voir la différence entre fichiers conteneurs et partitions.

  2. Déni plausible : dans certains cas (par exemple, avec les volumes cachés VeraCrypt), il est impossible pour un adversaire de prouver techniquement l’existence d'un volume chiffré.

    Toutefois, le déni plausible en cryptographie pourrait ne pas vous protéger si on vous force à révéler l’existence d'un volume chiffré. Voir : VeraCrypt: Plausible Deniability (en anglais).

Créer une partition chiffrée

Choisissez Applications ▸ Utilitaires ▸ Disques pour ouvrir l'utilitaire Disques.

Identifier votre périphérique de stockage externe

L'utilitaire Disques liste sur le côté gauche de l'écran tous les périphériques de stockage disponibles.

  1. Branchez le périphérique externe que vous souhaitez utiliser.

  2. Un nouveau périphérique apparaît dans la liste des périphériques de stockage. Cliquez dessus.

  3. Vérifiez que la description du périphérique sur le côté droit de l'écran correspond à votre périphérique : sa marque, sa taille, etc.

Formater le périphérique

  1. Cliquez sur le bouton Options du disque dans la barre de titre et choisissez Formater le disque pour effacer toutes les partitions existantes sur le périphérique.

  2. Dans la boîte de dialogue Formater le disque :

    • Si vous voulez écraser toutes les données sur le périphérique, choisissez Écraser les données existantes avec des zéros dans le menu Effacer.

      Écraser les données existantes n'efface pas toutes les données sur les mémoires flash, comme les clés USB et les SSD (Solid-State Drives).

      Voir les limites de l'effacement de fichier.

    • Choisissez Compatible avec tous les systèmes et périphériques (MBR / DOS) dans le menu Partitionnement.

  3. Cliquez sur Formater.

  4. Dans la boîte de dialogue de confirmation, assurez-vous que le périphérique est le bon.

  5. Cliquez sur Formater.

Créer une nouvelle partition chiffrée

Maintenant, le schéma des partitions au milieu de l'écran affiche un périphérique vide :

Espace libre 123 Go

  1. Cliquez sur le bouton Créer partition pour créer une nouvelle partition sur le périphérique.

  2. Configurez les différents paramètres de votre nouvelle partition dans l'assistant de création de partition :

    • Dans l'écran Créer une partition :

      • Taille de la partition : vous pouvez créer une partition sur l'ensemble du périphérique ou seulement sur une partie de celui-ci.

        Dans l'exemple suivant, nous allons créer une partition de 4,0 Go sur un périphérique de 8,1 Go.

    • Dans la boîte de dialogue *Formater le volume** :

      • Nom de volume

        Vous pouvez donner un nom à votre partition. Ce nom demeurera invisible tant que votre partition ne sera pas ouverte mais peut vous aider à l'identifier lorsque vous l'utiliserez.

      • Effacer

        Vous pouvez choisir d'écraser les données existantes sur la partition.

        Écraser les données existantes n'efface pas toutes les données sur les mémoires flash, comme les clés USB et les SSD (Solid-State Drives).

        Voir les limites de l'effacement de fichier.

      • Type

        Choisissez Disque interne à utiliser avec les systèmes Linux uniquement (Ext4) et Volume protégé par mot de passe (LUKS).

    • Dans l'écran Définir un mot de passe :

      • Mot de passe : saisir la phrase de passe qui permettra l'accès à la partition chiffrée et la saisir à nouveau pour la confirmer.

        Nous recommandons de choisir une phrase de passe longue composée de 5 à 7 mots aléatoires. Découvrez les mathématiques derrière les phrases de passe sûres et mémorisables. (en anglais)

        Il est impossible de récupérer votre phrase de passe si vous l'avez oubliée !

        Pour vous aider à vous rappeler de votre phrase de passe, vous pouvez l'écrire sur un morceau de papier, le ranger dans votre portefeuille quelques jours, puis le détruire une fois que vous la connaissez bien.

      Cliquez ensuite sur Créer.

    • La création de la partition devrait prendre entre quelques secondes et quelques minutes. La création terminée, la nouvelle partition chiffrée apparaît dans les volumes du périphérique :

      Partition 1 4.0 Go LUKS / Filesystem 4.0 Go Ext4

    • Vous pouvez alors, si vous le souhaitez, créer d'autres partitions sur l'espace libre en le sélectionnant et en cliquant de nouveau sur le bouton Créer
partition.

Utiliser la nouvelle partition

Vous pouvez accéder à cette nouvelle partition depuis le panneau latéral du navigateur de fichiers en cliquant sur le nom que vous lui avez donné.

Après avoir ouvert la partition avec le navigateur de fichier, vous pouvez aussi y accéder depuis le menu Emplacements.

Ouvrir une partition chiffrée existante

Lorsque vous branchez un périphérique qui a une partition chiffrée, Tails propose de déverrouiller le chiffrement automatiquement.

  1. Branchez le périphérique externe qui a la partition chiffrée.

  2. Une fenêtre apparaît, demandant la phrase de passe pour déverrouiller la partition.

    Authentification requise

  3. Saisissez la phrase de passe de la partition dans l'invite de mot de passe et cliquez sur Déverrouiller.

    Si vous activez l'option Se souvenir du mot de passe, Tails se souvient de la phrase de passe de la partition uniquement jusqu'à ce que vous éteignez. La phrase de passe n'est pas stockée sur le stockage persistant.

  4. Après déverrouillage, vous pouvez accéder au contenu de la partition depuis au choix :

    • Le menu Emplacements
    • La barre latérale du navigateur de Fichiers

Après avoir fini d'utiliser la partition, cliquez sur le bouton Éjecter situé près de la partition dans le panneau latéral du navigateur de Fichiers pour éjecter la partition de façon sûre et verrouiller à nouveau le chiffrement.

Stocker des documents sensibles

De tels volumes chiffrés ne sont pas cachés. Un attaquant en possession du périphérique peut savoir qu'il contient un volume chiffré. Prenez en considération le fait que cet attaquant peut vous tromper ou vous menacer pour obtenir la phrase de passe protégeant ce volume.

Ouvrir des volumes chiffrés depuis d'autres systèmes d'exploitation

Il est possible d'ouvrir de tels volumes chiffrés en utilisant d'autres systèmes d'exploitation. Mais cela pourrait compromettre la sécurité fournie par Tails.

Par exemple, des miniatures d'images pourraient être crées et sauvegardées par l'autre système d'exploitation. Ou le contenu de fichiers pourrait être indexé par l'autre système.

Changer la phrase de passe d'une partition chiffrée existante

  1. Choisissez Applications ▸ Utilitaires ▸ Disques pour ouvrir l'utilitaire Disques.

  2. Branchez le périphérique de stockage externe qui contient la partition chiffrée dont vous voulez changer la phrase de passe.

  3. Le périphérique apparaît dans la liste des périphériques de stockage. Cliquez dessus.

  4. Vérifiez que la description du périphérique sur le côté droit de l'écran correspond à votre périphérique : sa marque, sa taille, etc.

  5. Cliquez sur la partition affichant un Partition LUKS dans le coin en bas à droite.

  6. Cliquez sur le bouton Options de partition
supplémentaires et choisissez Changer la phrase de passe dans le menu de raccourci.