security
Parâmetros criptográficos fracos em LUKS1

Parâmetros criptográficos fracos em LUKS1 2023-06-14

security/fixed

Os parâmetros criptográficos do LUKS nas versões 5.12 e anteriores do Tails são considerados fracos contra atacantes com muitos recursos (por exemplo, Estados-nação) e acesso físico ao seu dispositivo.

Recomendamos que você altere a senha do seu armazenamento persistente e outros Volumes criptografados LUKS, a menos que você use uma senha longa de 5 palavras aleatórias ou mais.

Compreender o ponto fraco e sua solução
Mantendo sua criptografia segura

Compreender o ponto fraco e sua solução

A corrida armamentista para proteção contra ataques de força bruta

Em toda tecnologia de criptografia que protege dados em um disco ou pendrive com uma senha ou senha, um invasor pode tentar todas as combinações possíveis até adivinhar sua senha e desbloquear a criptografia. Este tipo de ataque é chamado de [[!ataque de força bruta da Wikipédia]].

Uma senha forte torna os ataques de força bruta mais lentos e mais caros. Quanto mais longa a senha, mais caro se torna o ataque de força bruta.

Alguns parâmetros criptográficos também podem tornar cada tentativa de ataque de força bruta mais lenta e mais cara, por exemplo, tendo que fazer alguns cálculos complicados em cada frase secreta antes de tentar desbloquear a criptografia com o resultado desse cálculo.

Com o passar dos anos, os computadores se tornaram mais rápidos e mais baratos. As tecnologias de criptografia atualizam regularmente seus parâmetros para encontrar um equilíbrio entre tornar a criptografia rápida e utilizável pelos usuários e, ao mesmo tempo, tornar os ataques de força bruta tão caros quanto possível para os invasores.

Parâmetros de criptografia fortes combinados com uma senha forte tornam os ataques de força bruta tão lentos e caros que são impossíveis de serem executados na prática. Por exemplo, um ataque de força bruta seria impossível de ser realizado na prática se demorasse milhares de anos, mesmo com os supercomputadores mais poderosos.

Força do Argon2id em comparação com PBKDF2

Até Tails 5.12 (19 de abril de 2023), Tails criou dispositivos LUKS versão 1 (LUKS1) com PBKDF2 como função de derivação de chave, um cálculo executado na senha antes de tentar desbloquear a criptografia com o resultado.

O PBKDF2 é agora considerado muito fraco em comparação com o poder de computação disponível.

Alguns criptógrafos pensam que esta fraqueza já pode ter sido usada contra um ativista em França, mas as operações reais da polícia francesa são mantidas em segredo.

Desde Tails 5.13 (16 de maio de 2023), Tails cria dispositivos LUKS versão 2 (LUKS2) com Argon2id como função de derivação de chave.

Versão do Tails
quando a criptografia foi criadaData de lançamentoVersão do LUKSFunção de derivação de chaveForça 5.12 ou anterior19 de abril de 2023LUKS1PBKDF2Fraco 5.13 ou posterior16 de maio de 2023LUKS2Argon2idForte

Estimamos quanto custaria eletricidade para adivinhar senhas de diferentes intensidades. Como recomendamos para o Armazenamento Persistente, avaliamos senhas compostas por diversas palavras aleatórias.

Comprimento da senhaPBKDF2Argon2id 3 palavras aleatórias$0,1$100 4 palavras aleatórias$1 000$1 000 000 5 palavras aleatórias$10 000 000$10 000 000 000 6 palavras aleatórias$100 000 000 000$100 000 000  000 000 7 palavras aleatórias$1 000 000 000 000 000$1  000 000 000 000 000 000

Esses números são estimativas muito aproximadas, mas dão uma ideia do tamanho da senha que um adversário muito poderoso, como um invasor patrocinado pelo Estado, poderia adivinhar.

Mesmo que adivinhar uma senha de 3 palavras aleatórias com LUKS1 custe muito pouca energia, qualquer ataque desse tipo também requer:

Acesso físico ao dispositivo - Equipamento de informática muito caro - Habilidades profissionais de hacking

Você pode ver os detalhes de nossos cálculos em #19615 e nesta planilha.

Outros esquemas de senha oferecem pouca garantia

Recomendamos o uso de senhas compostas por diversas palavras aleatórias porque usar a aleatoriedade é a única maneira de realmente garantir a força de uma senha.

O uso de outros esquemas de senha oferece poucas garantias sobre a força de uma senha, mesmo que ela siga políticas de senha complicadas e seja validada em medidores de força de senha.

Por exemplo, um hacker holandês entrou na conta do Twitter de Donald Trump duas vezes adivinhando seu as senhas, apesar de incluírem várias palavras, tinham mais de 8 caracteres e até caracteres especiais. Eles definitivamente não eram aleatórios o suficiente: "maga2020!" e "yourefired".

Para entender a matemática por trás da força da senha, assista Um modelo teórico da informação de métricas de privacidade e segurança. Bill Budington, da EFF, explica o conceito de entropia e suas implicações na impressão digital do navegador e na segurança de senhas em termos acessíveis.

Mantendo sua criptografia segura

Recomenda-se que todos os usuários atualizem para LUKS2 em todos os seus dispositivos criptografados: armazenamento persistente, Tails de backup e outros volumes criptografados externos.

Dependendo da força da sua senha, também podemos recomendar escolher uma senha diferente e migrar para outro pendrive Tails:

Se sua senha tiver 4 palavras aleatórias ou menos - Se sua senha tiver 5 palavras aleatórias - [[Se sua senha tiver 6 palavras aleatórias ou mais|argon2id#6 ]]

Se sua senha tiver 4 palavras aleatórias ou menos

Se sua senha atual tiver 4 palavras aleatórias ou menos:

Sua criptografia é insegura com LUKS1.

Você precisa atualizar para LUKS2.
Sua criptografia é mais segura com LUKS2.

Ainda recomendamos alterar sua senha para 5 palavras aleatórias ou mais.

Armazenamento persistente (4 palavras ou menos)

Para proteger seu armazenamento persistente:

Atualização para Tails 5.14.

Ao iniciar o Tails 5.14 pela primeira vez, o Tails irá automaticamente converta seu armazenamento persistente em LUKS2.
Escolha uma nova senha de 5 a 7 palavras aleatórias.

Exibe as instruções para gerar uma senha usando KeePassXC.
1. Escolha Aplicativos▸ KeePassXC.
2. Escolha Ferramentas▸ Gerador de senhas.
3. Mude para a guia Senha.
  
  Uma senha muito forte de 7 palavras aleatórias é gerada automaticamente.
  
  É impossível recuperar sua senha caso você a esqueça!
  
  Para ajudá-lo a lembrar sua senha, você pode escrevê-la em um pedaço de papel, guarde-o na carteira por alguns dias e destrua-o uma vez você conhece bem.
Altere sua senha.

Exibe as instruções para alterar a senha do seu armazenamento persistente.
1. Escolha Aplicativos▸ Armazenamento persistente.
2. Click on the Change Passphrase button on the left of the title bar.
3. Insira a senha atual na caixa de texto Senha atual.
4. Digite sua nova senha na caixa de texto Nova senha.
5. Digite sua nova senha novamente na caixa de texto Confirmar nova senha.
6. Clique em Alterar.
7. Feche as configurações de Armazenamento persistente.
Se você criou seu armazenamento persistente com Tails 5.12 ou anterior, recomendamos que você migre todo o seu Tails para um pendrive diferente e destrua seu pendrive antigo do Tails (ou pelo menos [[exclua com segurança todo o dispositivo|doc/encryption_and_privacy/secure_deletion#device ]]).

Caso contrário, os dados anteriores do LUKS1 ainda poderão ser gravados em alguma recuperação dados no pendrive e podem ser recuperados usando análise forense de dados avançada técnicas.

Mostra as instruções para migrar seu Tails para um novo pendrive.
1. Conecte o novo pendrive.
2. Escolha Aplicativos ▸ Tails Cloner.
3. Ative a opção Clone the current Persistent Storage abaixo da opção Clone the current Tails.
4. Certifique-se de que o novo pendrive esteja selecionado no menu Personalizado pendrive de destino.
5. Para iniciar a clonagem, clique no botão Instalar.
6. Insira uma senha para o armazenamento persistente no novo pendrive na caixa de texto Senha.
7. Digite a mesma senha novamente na caixa de texto Confirmar.
8. Clique em Continuar.
9. Leia a mensagem de aviso na caixa de diálogo de confirmação.
10. Clique em Excluir todos os dados e instalar para confirmar.
  
  A clonagem leva alguns minutos.
  
  A barra de progresso geralmente congela por algum tempo enquanto sincroniza dados no disco.

Crie um novo backup do Tails usando Tails Cloner

Para proteger seu backup Tails, se você tiver um:

Comece no seu pendrive principal do Tails.
Atualize seu pendrive principal do Tails para Tails 5.14.
Crie um novo backup do Tails usando Tails Cloner

Se você criou seu armazenamento persistente com Tails 5.12 ou anterior, nós recomendo que você crie seu novo backup do Tails em um pendrive diferente e destrua seu antigo backup do Tails (ou pelo menos exclua com segurança todo o dispositivo).

Caso contrário, os dados anteriores do LUKS1 ainda poderão ser gravados em alguma recuperação dados no pendrive e podem ser recuperados usando análise forense de dados avançada técnicas.

Exibe as instruções para criar um novo backup.
1. Conecte o novo pendrive.
2. Escolha Aplicativos ▸ Tails Cloner.
3. Ative a opção Clone the current Persistent Storage abaixo da opção Clone the current Tails.
4. Certifique-se de que o novo pendrive esteja selecionado no menu Personalizado pendrive de destino.
5. Para iniciar a clonagem, clique no botão Instalar.
6. Insira uma senha para o armazenamento persistente no novo pendrive na caixa de texto Senha.
7. Digite a mesma senha novamente na caixa de texto Confirmar.
8. Clique em Continuar.
9. Leia a mensagem de aviso na caixa de diálogo de confirmação.
10. Clique em Excluir todos os dados e instalar para confirmar.
  
  A clonagem leva alguns minutos.
  
  A barra de progresso geralmente congela por algum tempo enquanto sincroniza dados no disco.

Outros volumes criptografados (4 palavras ou menos)

Para proteger seus outros volumes criptografados, se você tiver algum:

Atualização para Tails 5.14.
Escolha uma nova senha de 5 a 7 palavras aleatórias.

Exibe as instruções para gerar uma senha usando KeePassXC.
1. Escolha Aplicativos▸ KeePassXC.
2. Escolha Ferramentas▸ Gerador de senhas.
3. Mude para a guia Senha.
  
  Uma senha muito forte de 7 palavras aleatórias é gerada automaticamente.
  
  É impossível recuperar sua senha caso você a esqueça!
  
  Para ajudá-lo a lembrar sua senha, você pode escrevê-la em um pedaço de papel, guarde-o na carteira por alguns dias e destrua-o uma vez você conhece bem.

Se o seu volume criptografado estiver em um disco rígido tradicional (não um SSD) e você puder usar a linha de comando:

Identifique o nome da partição do seu volume criptografado.

Exiba as instruções para identificar o nome da partição usando a linha de comando.
1. Ao iniciar o Tails, configure uma senha de administração.
2. Escolha Aplicativos▸ Ferramentas do Sistema▸ Terminal Raiz.
3. Execute o seguinte comando:
```
lsblk
```
  A saída é uma lista dos dispositivos de armazenamento e partições do sistema. Por exemplo:
```
NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0                  254:0    0  2.8G  0 disk  [SWAP]
```
4. Conecte seu volume criptografado. Mantenha a criptografia bloqueada.
5. Execute o mesmo comando novamente:
```
lsblk
```
  Seu volume criptografado aparece como um novo dispositivo com uma lista de partições. Verifique se o tamanho da partição corresponde ao seu volume criptografado.
```
  NOME MAJ:MIN RM TAMANHO RO TIPO PONTO DE MONTAGEM
```
  loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 disco 7G 0 ├─sda1 8:1 1 4G 0 parte /lib/live/mount/medium └─sda2 8:2 1 3G 0 parte └─TailsData_unlocked 253:0 0 3G 0 cripta /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disco └─sdb1 8:2 1 7G 0 parte zram0 254:0 0 2.8G 0 disco [SWAP]
6. Anote o nome da partição do seu volume criptografado. Neste exemplo, o novo dispositivo na lista é sdb e o volume criptografado está na partição sdb1. O seu pode ser diferente.
Se você criou seu volume criptografado com Tails 5.12 ou anterior, atualize para LUKS2.

Exiba as instruções para atualizar para LUKS2 usando a linha de comando.
1. Para verificar se o seu volume criptografado usa PBKDF2 ou Argon2id, execute o seguinte comando.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksDump /dev/[partição]
  
  Na saída:
  - Version indica a versão do LUKS, 1 ou 2.
  - PBKDF indica a função de derivação de chave, pbkdf2 ou argon2id.
  Se o seu volume criptografado já usa LUKS2 e Argon2id, você pode parar aqui.
2. Execute o seguinte comando para fazer um backup do seu cabeçalho LUKS1.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksHeaderBackup /dev/[partição] --header-backup-file /home/amnesia/luks1header
  
  Se algo der errado, você poderá restaurar seu cabeçalho LUKS1 deste backup com:
  
  cryptsetup luksHeaderRestore /dev/[partição] --header-backup-file /home/amnesia/luks1header
3. Para atualizar seu cabeçalho LUKS para LUKS2, execute o seguinte comando.
  
  Substitua [partição] pelo nome do dispositivo encontrado na etapa 1.6.
  
  cryptsetup convert /dev/[partição] --type luks2
4. Para verificar se Argon2id é a nova função de derivação de chave, execute o seguinte comando novamente.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksDump /dev/[partição]
  
  Na saída, verifique se:
  - A Versão é 2 e não 1.
  - O PBKDF é argon2id e não pbkdf2.
5. Tente desbloquear seu volume criptografado.
Altere sua senha.

Exiba as instruções para atualizar para LUKS2 usando uma linha de comando.
1. Para alterar sua senha, execute o seguinte comando.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksChangeKey /dev/[partição]

Caso contrário, se o seu volume criptografado estiver em um pendrive (ou SSD) ou se você não se sentir confortável com a linha de comando:

Se você criou seu volume criptografado com Tails 5.13 ou posterior, recomendamos que você altere sua senha.

Siga nossas instruções sobre alterar a senha de um arquivo criptografado existente partição.
Se você criou seu volume criptografado com Tails 5.12 ou anterior, recomendamos que você migre todos os seus dados criptografados para um novo dispositivo criptografado.

Siga nossas instruções sobre criar e usar criptografia LUKS volumes.

Também recomendamos que você destrua seu dispositivo antigo (ou pelo menos exclua com segurança todo o dispositivo).

Caso contrário, os dados anteriores do LUKS1 ainda poderão ser gravados em alguma recuperação dados no pendrive e podem ser recuperados usando análise forense de dados avançada técnicas.

Se sua senha tiver 5 palavras aleatórias

Se sua senha atual tiver 5 palavras aleatórias:

Sua criptografia é segura com o LUKS1, exceto contra um adversário muito poderoso, como um invasor patrocinado pelo estado com um orçamento enorme para gastar na adivinhação de sua senha.

Ainda recomendamos que você atualize para LUKS2.
Sua criptografia fica ainda mais segura com LUKS2.

Parabéns por seguir nossas recomendações!

Armazenamento persistente (5 palavras)

Para proteger seu armazenamento persistente:

Atualização para Tails 5.14.

Ao iniciar o Tails 5.14 pela primeira vez, o Tails irá automaticamente converta seu armazenamento persistente em LUKS2.
Considere adicionar outra palavra aleatória à sua senha.

Exibe as instruções para alterar a senha do seu armazenamento persistente.
1. Escolha Aplicativos▸ Armazenamento persistente.
2. Click on the Change Passphrase button on the left of the title bar.
3. Insira a senha atual na caixa de texto Senha atual.
4. Digite sua nova senha na caixa de texto Nova senha.
5. Digite sua nova senha novamente na caixa de texto Confirmar nova senha.
6. Clique em Alterar.
7. Feche as configurações de Armazenamento persistente.
Se você criou seu volume criptografado com Tails 5.12 ou anterior e está preocupado com um adversário muito poderoso, considere migrar todo o seu Tails para um pendrive USB diferente e destruir seu pendrive antigo do Tails (ou pelo menos [[excluir com segurança todo o dispositivo|doc /encryption_and_privacy/secure_deletion#device]]).

Caso contrário, os dados anteriores do LUKS1 ainda poderão ser gravados em alguma recuperação dados no pendrive e podem ser recuperados usando análise forense de dados avançada técnicas.

Exibe as instruções para migrar todo o seu Tails para um novo pendrive.
1. Conecte o novo pendrive.
2. Escolha Aplicativos ▸ Tails Cloner.
3. Ative a opção Clone the current Persistent Storage abaixo da opção Clone the current Tails.
4. Certifique-se de que o novo pendrive esteja selecionado no menu Personalizado pendrive de destino.
5. Para iniciar a clonagem, clique no botão Instalar.
6. Insira uma senha para o armazenamento persistente no novo pendrive na caixa de texto Senha.
7. Digite a mesma senha novamente na caixa de texto Confirmar.
8. Clique em Continuar.
9. Leia a mensagem de aviso na caixa de diálogo de confirmação.
10. Clique em Excluir todos os dados e instalar para confirmar.
  
  A clonagem leva alguns minutos.
  
  A barra de progresso geralmente congela por algum tempo enquanto sincroniza dados no disco.

Caudas de backup (5 palavras)

Para proteger seu backup Tails, se você tiver um:

Comece no seu pendrive principal do Tails.
Atualize seu pendrive principal do Tails para Tails 5.14.
Atualize seu backup ou crie um novo backup do Tails usando Tails Cloner.

Se você criou seu backup do Tails com Tails 5.12 ou anterior e está preocupado sobre um adversário muito poderoso, considere criar seu novo Tails de backup em um pendrive diferente e destruindo seu antigo backup do Tails (ou pelo menos excluindo com segurança todo o dispositivo).

Caso contrário, os dados anteriores do LUKS1 ainda poderão ser gravados em alguma recuperação dados no pendrive e podem ser recuperados usando análise forense de dados avançada técnicas.

Exiba as instruções para atualizar seu backup ou criar um novo backup.
1. Conecte o novo pendrive.
2. Escolha Aplicativos ▸ Tails Cloner.
3. Ative a opção Clone the current Persistent Storage abaixo da opção Clone the current Tails.
4. Certifique-se de que o novo pendrive esteja selecionado no menu Personalizado pendrive de destino.
5. Para iniciar a clonagem, clique no botão Instalar.
6. Insira uma senha para o armazenamento persistente no novo pendrive na caixa de texto Senha.
7. Digite a mesma senha novamente na caixa de texto Confirmar.
8. Clique em Continuar.
9. Leia a mensagem de aviso na caixa de diálogo de confirmação.
10. Clique em Excluir todos os dados e instalar para confirmar.
  
  A clonagem leva alguns minutos.
  
  A barra de progresso geralmente congela por algum tempo enquanto sincroniza dados no disco.

Outros volumes criptografados (5 palavras)

Para proteger seus outros volumes criptografados, se você tiver algum:

Atualização para Tails 5.14.
Considere adicionar outra palavra aleatória à sua senha.

Se você criou seu volume criptografado com Tails 5.12 ou anterior e seu volume criptografado está em um disco rígido tradicional (não um SSD) e você pode usar a linha de comando:

Identifique o nome da partição do seu volume criptografado.

Exiba as instruções para identificar o nome da partição usando a linha de comando.
1. Ao iniciar o Tails, configure uma senha de administração.
2. Escolha Aplicativos▸ Ferramentas do Sistema▸ Terminal Raiz.
3. Execute o seguinte comando:
```
lsblk
```
  A saída é uma lista dos dispositivos de armazenamento e partições do sistema. Por exemplo:
```
NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0                  254:0    0  2.8G  0 disk  [SWAP]
```
4. Conecte seu volume criptografado. Mantenha a criptografia bloqueada.
5. Execute o mesmo comando novamente:
```
lsblk
```
  Seu volume criptografado aparece como um novo dispositivo com uma lista de partições. Verifique se o tamanho da partição corresponde ao seu volume criptografado.
```
  NOME MAJ:MIN RM TAMANHO RO TIPO PONTO DE MONTAGEM
```
  loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 disco 7G 0 ├─sda1 8:1 1 4G 0 parte /lib/live/mount/medium └─sda2 8:2 1 3G 0 parte └─TailsData_unlocked 253:0 0 3G 0 cripta /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disco └─sdb1 8:2 1 7G 0 parte zram0 254:0 0 2.8G 0 disco [SWAP]
6. Anote o nome da partição do seu volume criptografado. Neste exemplo, o novo dispositivo na lista é sdb e o volume criptografado está na partição sdb1. O seu pode ser diferente.
Se você criou seu volume criptografado com Tails 5.12 ou anterior, atualize para LUKS2.

Exiba as instruções para atualizar para LUKS2 usando a linha de comando.
1. Para verificar se o seu volume criptografado usa PBKDF2 ou Argon2id, execute o seguinte comando.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksDump /dev/[partição]
  
  Na saída:
  - Version indica a versão do LUKS, 1 ou 2.
  - PBKDF indica a função de derivação de chave, pbkdf2 ou argon2id.
  Se o seu volume criptografado já usa LUKS2 e Argon2id, você pode parar aqui.
2. Execute o seguinte comando para fazer um backup do seu cabeçalho LUKS1.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksHeaderBackup /dev/[partição] --header-backup-file /home/amnesia/luks1header
  
  Se algo der errado, você poderá restaurar seu cabeçalho LUKS1 deste backup com:
  
  cryptsetup luksHeaderRestore /dev/[partição] --header-backup-file /home/amnesia/luks1header
3. Para atualizar seu cabeçalho LUKS para LUKS2, execute o seguinte comando.
  
  Substitua [partição] pelo nome do dispositivo encontrado na etapa 1.6.
  
  cryptsetup convert /dev/[partição] --type luks2
4. Para verificar se Argon2id é a nova função de derivação de chave, execute o seguinte comando novamente.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksDump /dev/[partição]
  
  Na saída, verifique se:
  - A Versão é 2 e não 1.
  - O PBKDF é argon2id e não pbkdf2.
5. Tente desbloquear seu volume criptografado.
Altere sua senha.

Exiba as instruções para alterar sua senha usando a linha de comando.
1. Para alterar sua senha, execute o seguinte comando.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksChangeKey /dev/[partição]

Se você criar seu volume criptografado com Tails 5.12 ou anterior e seu volume criptografado estiver em um pendrive (ou SSD) ou se você não se sentir confortável com a linha de comando:

Migre todos os seus dados criptografados para um novo dispositivo criptografado.

Siga nossas instruções sobre criar e usar criptografia LUKS volumes.
Se você está preocupado com um adversário muito poderoso, considere destruir seu dispositivo antigo (ou pelo menos excluir todo o dispositivo com segurança).

Caso contrário, os dados anteriores do LUKS1 ainda poderão ser gravados em alguma recuperação dados no pendrive e podem ser recuperados usando análise forense de dados avançada técnicas.

Se sua senha tiver 6 palavras aleatórias ou mais

Se sua senha atual tiver 6 palavras aleatórias ou mais:

Sua criptografia fica segura com o LUKS1, mesmo contra um adversário muito poderoso.

Ainda recomendamos que você atualize para LUKS2.
Sua criptografia fica ainda mais segura com LUKS2.

Parabéns por seguir nossas recomendações mais seguras!

Armazenamento persistente (6 palavras ou mais)

Seu armazenamento persistente já está seguro, mesmo com LUKS1.

Depois de atualizar para o Tails 5.14 ou posterior, o Tails converterá automaticamente seu armazenamento persistente para LUKS2 e tornará seu armazenamento persistente ainda mais seguro.

Backup Tails (6 palavras ou mais)

Seu backup do Tails já está seguro, mesmo com LUKS1.

Se você deseja atualizar seu backup do Tails para LUKS2 de qualquer maneira:

Comece no seu pendrive principal do Tails.
Atualize seu pendrive principal do Tails para Tails 5.14.
Atualize seu backup usando Tails Cloner.

Exiba as instruções para atualizar seu backup.
1. Conecte o novo pendrive.
2. Escolha Aplicativos ▸ Tails Cloner.
3. Ative a opção Clone the current Persistent Storage abaixo da opção Clone the current Tails.
4. Certifique-se de que o novo pendrive esteja selecionado no menu Personalizado pendrive de destino.
5. Para iniciar a clonagem, clique no botão Instalar.
6. Insira uma senha para o armazenamento persistente no novo pendrive na caixa de texto Senha.
7. Digite a mesma senha novamente na caixa de texto Confirmar.
8. Clique em Continuar.
9. Leia a mensagem de aviso na caixa de diálogo de confirmação.
10. Clique em Excluir todos os dados e instalar para confirmar.
  
  A clonagem leva alguns minutos.
  
  A barra de progresso geralmente congela por algum tempo enquanto sincroniza dados no disco.

Outros volumes criptografados (6 palavras ou mais)

Seus outros volumes criptografados já estão seguros, mesmo com LUKS1.

Se você deseja atualizar seus outros volumes criptografados para LUKS2 e sabe como usar a linha de comando:

Identifique o nome da partição do seu volume criptografado.

Exiba as instruções para identificar o nome da partição usando a linha de comando.
1. Ao iniciar o Tails, configure uma senha de administração.
2. Escolha Aplicativos▸ Ferramentas do Sistema▸ Terminal Raiz.
3. Execute o seguinte comando:
```
lsblk
```
  A saída é uma lista dos dispositivos de armazenamento e partições do sistema. Por exemplo:
```
NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0                  254:0    0  2.8G  0 disk  [SWAP]
```
4. Conecte seu volume criptografado. Mantenha a criptografia bloqueada.
5. Execute o mesmo comando novamente:
```
lsblk
```
  Seu volume criptografado aparece como um novo dispositivo com uma lista de partições. Verifique se o tamanho da partição corresponde ao seu volume criptografado.
```
  NOME MAJ:MIN RM TAMANHO RO TIPO PONTO DE MONTAGEM
```
  loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 disco 7G 0 ├─sda1 8:1 1 4G 0 parte /lib/live/mount/medium └─sda2 8:2 1 3G 0 parte └─TailsData_unlocked 253:0 0 3G 0 cripta /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disco └─sdb1 8:2 1 7G 0 parte zram0 254:0 0 2.8G 0 disco [SWAP]
6. Anote o nome da partição do seu volume criptografado. Neste exemplo, o novo dispositivo na lista é sdb e o volume criptografado está na partição sdb1. O seu pode ser diferente.
Atualize para LUKS2.

Exiba as instruções para atualizar para LUKS2 usando a linha de comando.
1. Para verificar se o seu volume criptografado usa PBKDF2 ou Argon2id, execute o seguinte comando.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksDump /dev/[partição]
  
  Na saída:
  - Version indica a versão do LUKS, 1 ou 2.
  - PBKDF indica a função de derivação de chave, pbkdf2 ou argon2id.
  Se o seu volume criptografado já usa LUKS2 e Argon2id, você pode parar aqui.
2. Execute o seguinte comando para fazer um backup do seu cabeçalho LUKS1.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksHeaderBackup /dev/[partição] --header-backup-file /home/amnesia/luks1header
  
  Se algo der errado, você poderá restaurar seu cabeçalho LUKS1 deste backup com:
  
  cryptsetup luksHeaderRestore /dev/[partição] --header-backup-file /home/amnesia/luks1header
3. Para atualizar seu cabeçalho LUKS para LUKS2, execute o seguinte comando.
  
  Substitua [partição] pelo nome do dispositivo encontrado na etapa 1.6.
  
  cryptsetup convert /dev/[partição] --type luks2
4. Para verificar se Argon2id é a nova função de derivação de chave, execute o seguinte comando novamente.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 1.6.
  
  cryptsetup luksDump /dev/[partição]
  
  Na saída, verifique se:
  - A Versão é 2 e não 1.
  - O PBKDF é argon2id e não pbkdf2.
5. Tente desbloquear seu volume criptografado.

Saber qual versão do LUKS é usada em seus dispositivos

Se você souber usar a linha de comando, poderá verificar se sua criptografia usa PBKDF2 ou Argon2id.

Armazenamento Persistente

Ao iniciar o Tails, configure uma senha de administração.
Escolha Aplicativos▸ Ferramentas do Sistema▸ Terminal Raiz.
Execute o seguinte comando:
```
lsblk
```
A saída é uma lista dos dispositivos de armazenamento e partições do sistema. Por exemplo:
```
    NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
    loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
    sda                      8:0    1    7G  0 disk
    ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
    └─sda2                   8:2    1    3G  0 part
      └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
    zram0                  254:0    0  2.8G  0 disk  [SWAP]

Seu armazenamento persistente aparece como `TailsData_unlocked`.
```
1. Anote o nome da partição do seu armazenamento persistente, que aparece acima de TailsData_unlocked. Neste exemplo, o armazenamento persistente está na partição sda2. O seu pode ser diferente.
2. Para verificar se o seu volume criptografado usa PBKDF2 ou Argon2id, execute o seguinte comando.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 4.
  
  sudo cryptsetup luksDump /dev/[partition]
  
  Na saída:
  - Version indica a versão do LUKS, 1 ou 2.
  - PBKDF indica a função de derivação de chave, pbkdf2 ou argon2id.

Outros volumes criptografados

Ao iniciar o Tails, configure uma senha de administração.
Escolha Aplicativos▸ Ferramentas do Sistema▸ Terminal Raiz.

Execute o seguinte comando:

lsblk

A saída é uma lista dos dispositivos de armazenamento e partições do sistema. Por exemplo:

  NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
  loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
  sda                      8:0    1    7G  0 disk
  ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
  └─sda2                   8:2    1    3G  0 part
    └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
  zram0                  254:0    0  2.8G  0 disk  [SWAP]

Conecte seu volume criptografado. Mantenha a criptografia bloqueada.
Execute o mesmo comando novamente:
```
lsblk
```
Seu volume criptografado aparece como um novo dispositivo com uma lista de partições. Verifique se o tamanho da partição corresponde ao seu volume criptografado.
```
    NOME MAJ:MIN RM TAMANHO RO TIPO PONTO DE MONTAGEM
```
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs sda 8:0 1 disco 7G 0 ├─sda1 8:1 1 4G 0 parte /lib/live/mount/medium └─sda2 8:2 1 3G 0 parte └─TailsData_unlocked 253:0 0 3G 0 cripta /run/nosymfollow/live/persistence/TailsData_un... sdb 8:0 1 7G 0 disco └─sdb1 8:2 1 7G 0 parte zram0 254:0 0 2.8G 0 disco [SWAP]
1. Anote o nome da partição do seu volume criptografado. Neste exemplo, o novo dispositivo na lista é sdb e o volume criptografado está na partição sdb1. O seu pode ser diferente.
2. Para verificar se o seu volume criptografado usa PBKDF2 ou Argon2id, execute o seguinte comando.
  
  Substitua [partição] pelo nome da partição encontrado na etapa 6.
  
  sudo cryptsetup luksDump /dev/[partition]
  
  Na saída:
  - Version indica a versão do LUKS, 1 ou 2.
  - PBKDF indica a função de derivação de chave, pbkdf2 ou argon2id.