Les paramètres cryptographiques de LUKS jusqu'à Tails 5.12 sont vulnérables contre un adversaire étatique ayant un accès physique à votre périphérique.

Nous recommandons de changer la phrase de passe de votre stockage persistant et de tout autre volume LUKS sauf si vous utilisez une phrase de passe longue d'au moins 5 mots aléatoires.

  1. Comprendre la vulnérabilité et sa solution
    1. La course à la protection contre les attaques par force brute
    2. Robustesse d'Argon2id comparé à PBKDF2
    3. Other password schemes give too little guarantee
  2. Keeping your encryption secure
    1. If your passphrase has 4 random words or fewer
    2. If your passphrase has 5 random words
    3. If your passphrase has 6 random words or more
    4. Knowing which version of LUKS is used in your devices

Comprendre la vulnérabilité et sa solution

La course à la protection contre les attaques par force brute

Avec toutes les technologies de chiffrement qui protègent des données sur un disque dur ou une clé USB avec un mot de passe ou une phrase de passe, un attaquant peut essayer toutes les combinaisons possibles jusqu'à deviner la phrase de passe et outrepasser le chiffrement. Ce type d'attaque est appelé une attaque par force brute.

Un mot de passe robuste rend les attaques par force brute plus lentes et onéreuses. Plus une phrase de passe est longue, plus l'attaque par force brute devient onéreuse.

Certains paramètres cryptographiques peuvent également rendre chaque essai d'attaque par force brute plus lent et plus onéreux, par exemple en ajoutant des opérations complexes sur chaque phrase de passe avant de pouvoir essayer de déchiffrer la partition avec le résultat de ces opérations.

Au cours des années, les ordinateurs sont devenus de plus en plus rapides et abordables. Les technologies de chiffrement mettent à jour régulièrement leurs paramètres pour trouver un équilibre entre rapidité et sécurité pour les personnes les utilisant et rendre les attaques par force brute aussi coûteuses que possibles pour les attaquants.

Des paramètres de chiffrement robustes combinés avec une phrase de passe robuste rendent les attaques par force brute tellement lentes et onéreuses qu'elles sont impossibles à réaliser dans la pratique. Par exemple, une attaque par force brute est pratiquement impossible si elle nécessite des milliers d'années même avec les ordinateurs les plus puissants.

Robustesse d'Argon2id comparé à PBKDF2

Jusqu'à Tails 5.12 (19 avril 2023), Tails créait des partitions LUKS en version 1 (LUKS1) avec PBKDF2 comme fonction de dérivation de clé, une fonction appliquée à la phrase de passe avant d'essayer de déchiffrer la partition avec le résultat.

PBKDF2 est maintenant considéré comme trop faible comparativement à la puissance de calcul disponible.

Some cryptographers think this weakness might have already been used against an activist in France but the actual operations by the French police are kept secret.

Depuis Tails 5.13 (16 mai 2023), Tails créé des périphériques LUKS en version 2 (LUKS2) avec Argon2id comme fonction de dérivation de clé.

Tails version
when encryption was created		Release dateLUKS versionKey derivation functionStrength
5.12 or earlier19 April 2023LUKS1PBKDF2Weak
5.13 or later16 May 2023LUKS2Argon2idStrong

We estimated how much electricity it would cost to guess passphrases of different strengths. As we recommend for the Persistent Storage, we evaluated passphrases made of several random words.

Passphrase lengthPBKDF2Argon2id
3 random words$0.1$100
4 random words$1 000$1 000 000
5 random words$10 000 000$10 000 000 000
6 random words$100 000 000 000$100 000 000 000 000
7 random words$1 000 000 000 000 000$1 000 000 000 000 000 000

These numbers are very rough estimates but give an idea of what length of passphrase a very powerful adversary like a state-sponsored attacker could guess.

Même si deviner une phrase de passe de 3 mots aléatoires avec LUKS1 coûte très peu d'énergie, une attaque de ce type nécessite également :

  • Un accès physique à l'appareil
  • Un équipement informatique très onéreux
  • Des compétences de piratage professionnelles

Vous pouvez voir les détails de nos calculs ici #19615 et sur cette feuille de calcul.

Other password schemes give too little guarantee

We recommend using passphrases made of several random words because using randomness is the only way to really guarantee the strength of a password.

Using other password schemes give little guarantee over the strength of a password, even if it follows complicated password policies and validates on password strength meters.

For example, a Dutch hacker logged into Donald Trump's Twitter account twice by guessing his passwords, despite that these passwords included several words, were more than 8 characters, and even had special characters. They were definitely not random enough: "maga2020!" and "yourefired".

To understand the maths behind password strength, watch An information theoretic model of privacy and security metrics. Bill Budington from the EFF explains the concept of entropy and its implication on browser fingerprinting and password safety in accessible terms.

Keeping your encryption secure

All users are recommended to upgrade to LUKS2 on all their encrypted devices: Persistent Storage, backup Tails, and other external encrypted volumes.

Depending on the strength of your passphrase, we might also recommend choosing a different passphrase and migrating to another Tails USB stick:

If your passphrase has 4 random words or fewer

If your current passphrase has 4 random words or fewer:

  • Your encryption is insecure with LUKS1.

    You have to upgrade to LUKS2.

  • Your encryption is more secure with LUKS2.

    We still recommend changing your passphrase to be 5 random words or more.

Persistent Storage (4 words or fewer)

To secure your Persistent Storage:

  1. Passez à Tails 5.14.

    When starting Tails 5.14 for the first time, Tails will automatically convert your Persistent Storage to LUKS2.

  2. Choose a new passphrase of 5 to 7 random words.

    Display the instructions to generate a passphrase using KeePassXC.

    1. Choisir Applications ▸ KeePassXC.

    2. Choisir Outils ▸ Générateur de mot de passe.

    3. Passer à l'onglet Phrase de passe.

      Une phrase de passe très forte de sept mots aléatoires est automatiquement générée.

      Il est impossible de récupérer votre phrase de passe si vous l'oubliez !

      Pour vous aider à mémoriser votre phrase de passe, vous pouvez l'écrire sur un morceau de papier, le ranger dans votre portefeuille, et le détruire une fois que vous la connaissez bien.

  3. Changez votre phrase de passe.

    Display the instructions to change the passphrase of your Persistent Storage.

    1. Choisir Applications ▸ Stockage persistant.

    2. Cliquer sur le bouton Modifier la phrase de passe à gauche de la barre de titre.

    3. Entrer la phrase de passe actuelle dans la boîte de dialogue Phrase de passe actuelle.

    4. Entrer la nouvelle phrase de passe dans la boîte de dialogue Nouvelle phrase de passe.

    5. Entrer votre nouvelle phrase de passe une nouvelle fois dans la boîte de dialogue Confirmer la nouvelle phrase de passe.

    6. Cliquer sur Modifier.

    7. Fermer les paramètres du stockage persistant.

  4. If you created your Persistent Storage with Tails 5.12 or earlier, we recommend you migrate your entire Tails to a different USB stick and destroy your old Tails USB stick (or at least securely delete the entire device).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

    Display the instructions to migrate your Tails to a new USB stick.

    1. Insérez la nouvelle clé USB.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Vérifier que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lire le message d’avertissement dans la fenêtre de confirmation.

    10. Cliquer sur Supprimer toutes les données et installer pour confirmer.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Backup Tails (4 words or fewer)

To secure your backup Tails, if you have one:

  1. Start on your main Tails USB stick.

  2. Update your main Tails USB stick to Tails 5.14.

  3. Create a new backup Tails using Tails Cloner

    If you created your Persistent Storage with Tails 5.12 or earlier, we recommend you create your new backup Tails on a different USB stick and destroy your old backup Tails (or at least securely delete the entire device).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

    Display the instructions to create a new backup.

    1. Insérez la nouvelle clé USB.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Vérifier que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lire le message d’avertissement dans la fenêtre de confirmation.

    10. Cliquer sur Supprimer toutes les données et installer pour confirmer.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Autres volumes chiffrés (4 mots ou moins)

To secure your other encrypted volumes, if you have any:

  1. Passez à Tails 5.14.

  2. Choose a new passphrase of 5 to 7 random words.

    Display the instructions to generate a passphrase using KeePassXC.

    1. Choisir Applications ▸ KeePassXC.

    2. Choisir Outils ▸ Générateur de mot de passe.

    3. Passer à l'onglet Phrase de passe.

      Une phrase de passe très forte de sept mots aléatoires est automatiquement générée.

      Il est impossible de récupérer votre phrase de passe si vous l'oubliez !

      Pour vous aider à mémoriser votre phrase de passe, vous pouvez l'écrire sur un morceau de papier, le ranger dans votre portefeuille, et le détruire une fois que vous la connaissez bien.

If your encrypted volume is on a traditional hard disk (not an SSD) and you can use the command line:

  1. Identify the partition name of your encrypted volume.

    Display the instructions to identify the partition name using the command line.

    1. Lors du démarrage de Tails, définir un mot de passe d'administration.

    2. ChoisirApplications  Outils système  Terminal superutilisateur.

    3. Exécutez la commande suivante :

      lsblk

      La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    4. Branchez votre volume chiffré. Gardez le chiffrement verrouillé.

    5. Exécutez encore la même commande :

      lsblk

      Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions. Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb                      8:0    1    7G  0 disk
└─sdb1                   8:2    1    7G  0 part
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    6. Prenez en note le nom de la partition de votre volume chiffré. Dans cet exemple, le nouveau périphérique dans la liste est sdb et le volume chiffré est dans la partition sdb1. Les vôtres peuvent être différents.

  2. If you created your encrypted volume with Tails 5.12 or earlier, upgrade to LUKS2.

    Display the instructions to upgrade to LUKS2 using the command line.

    1. Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.

      Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.

      cryptsetup luksDump /dev/[partition]

      Dans la sortie :

      • Version indicates the version of LUKS, either 1 or 2.

      • PBKDF indique la fonction de dérivation de clé, soit pbkdf2 ou argon2id.

      Si votre volume chiffré utilise déjà LUKS2 et Argon2id, vous pouvez arrêter ici.

    2. Exécuter la commande suivante pour faire une sauvegarde de votre en-tête LUKS1.

      Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.

      cryptsetup luksHeaderBackup /dev/[partition] --header-backup-file /home/amnesia/luks1header

      Si quelque chose se passe mal, vous serez capable de restaurer votre en-tête LUKS1 depuis cette sauvegarde avec :

      cryptsetup luksHeaderRestore /dev/[partition] --header-backup-file /home/amnesia/luks1header

    3. Pour mettre à jour votre en-tête LUKS vers LUKS2, exécuter la commande suivante.

      Remplacer [partition] avec le nom de périphérique trouvé à l'étape 1.6.

      cryptsetup convert /dev/[partition] --type luks2

    4. Pour vérifier qu'Argon2id est la nouvelle fonction de dérivation de clé, exécuter de nouveau la commande suivante.

      Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.

      cryptsetup luksDump /dev/[partition]

      Dans la sortie, vérifier que :

      • The Version is 2 and not 1.

      • The PBKDF is argon2id and not pbkdf2.

    5. Essayer de déverrouiller votre volume chiffré.

  3. Changez votre phrase de passe.

    Display the instructions to change your passphrase using the command line.

    1. Pour changer votre phrase de passe, exécutez la commande suivante.

      Remplacer [partition] avec le nom de partition trouvé à l'étape 1.6.

      cryptsetup luksChangeKey /dev/[partition]

Otherwise, if your encrypted volume is on a USB stick (or an SSD) or you are not comfortable with the command line:

  • If you created your encrypted volume with Tails 5.13 or later, we recommend you change your passphrase.

    Follow our instructions on changing the passphrase of an existing encrypted partition.

  • If you created your encrypted volume with Tails 5.12 or earlier, we recommend you migrate all your encrypted data to a new encrypted device.

    Follow our instructions on creating and using LUKS encrypted volumes.

    We also recommend you destroy your old device (or at least securely delete the entire device).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

If your passphrase has 5 random words

If your current passphrase has 5 random words:

  • Your encryption is secure with LUKS1, except against a very powerful adversary, like a state-sponsored attacker with a huge budget to spend on guessing your passphrase.

    We still recommend you upgrade to LUKS2.

  • Your encryption is even more secure with LUKS2.

Congratulations on following our recommendations!

Stockage persistant (5 mots)

To secure your Persistent Storage:

  1. Passez à Tails 5.14.

    When starting Tails 5.14 for the first time, Tails will automatically convert your Persistent Storage to LUKS2.

  2. Consider adding another random word to your passphrase.

    Display the instructions to change the passphrase of your Persistent Storage.

    1. Choisir Applications ▸ Stockage persistant.

    2. Cliquer sur le bouton Modifier la phrase de passe à gauche de la barre de titre.

    3. Entrer la phrase de passe actuelle dans la boîte de dialogue Phrase de passe actuelle.

    4. Entrer la nouvelle phrase de passe dans la boîte de dialogue Nouvelle phrase de passe.

    5. Entrer votre nouvelle phrase de passe une nouvelle fois dans la boîte de dialogue Confirmer la nouvelle phrase de passe.

    6. Cliquer sur Modifier.

    7. Fermer les paramètres du stockage persistant.

  3. If you created your encrypted volume with Tails 5.12 or earlier and are worried about a very powerful adversary, consider migrating your entire Tails to a different USB stick and destroying your old Tails USB stick (or at least securely deleting the entire device).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

    Display the instructions to migrate your entire Tails to a new USB stick.

    1. Insérez la nouvelle clé USB.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Vérifier que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lire le message d’avertissement dans la fenêtre de confirmation.

    10. Cliquer sur Supprimer toutes les données et installer pour confirmer.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Backup Tails (5 words)

To secure your backup Tails, if you have one:

  1. Start on your main Tails USB stick.

  2. Update your main Tails USB stick to Tails 5.14.

  3. Update your backup or create a new backup Tails using Tails Cloner.

    If you created your backup Tails with Tails 5.12 or earlier and are worried about a very powerful adversary, consider creating your new backup Tails on a different USB stick and destroying your old backup Tails (or at least securely deleting the entire device).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

    Display the instructions to update your backup or create a new backup.

    1. Insérez la nouvelle clé USB.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Vérifier que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lire le message d’avertissement dans la fenêtre de confirmation.

    10. Cliquer sur Supprimer toutes les données et installer pour confirmer.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Other encrypted volumes (5 words)

To secure your other encrypted volumes, if you have any:

  1. Passez à Tails 5.14.

  2. Consider adding another random word to your passphrase.

If you created your encrypted volume with Tails 5.12 or earlier and your encrypted volume is on a traditional hard disk (not an SSD) and you can use the command line:

  1. Identify the partition name of your encrypted volume.

    Display the instructions to identify the partition name using the command line.

    1. Lors du démarrage de Tails, définir un mot de passe d'administration.

    2. ChoisirApplications  Outils système  Terminal superutilisateur.

    3. Exécutez la commande suivante :

      lsblk

      La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    4. Branchez votre volume chiffré. Gardez le chiffrement verrouillé.

    5. Exécutez encore la même commande :

      lsblk

      Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions. Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb                      8:0    1    7G  0 disk
└─sdb1                   8:2    1    7G  0 part
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    6. Prenez en note le nom de la partition de votre volume chiffré. Dans cet exemple, le nouveau périphérique dans la liste est sdb et le volume chiffré est dans la partition sdb1. Les vôtres peuvent être différents.

  2. If you created your encrypted volume with Tails 5.12 or earlier, upgrade to LUKS2.

    Display the instructions to upgrade to LUKS2 using the command line.

    1. Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.

      Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.

      cryptsetup luksDump /dev/[partition]

      Dans la sortie :

      • Version indicates the version of LUKS, either 1 or 2.

      • PBKDF indique la fonction de dérivation de clé, soit pbkdf2 ou argon2id.

      Si votre volume chiffré utilise déjà LUKS2 et Argon2id, vous pouvez arrêter ici.

    2. Exécuter la commande suivante pour faire une sauvegarde de votre en-tête LUKS1.

      Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.

      cryptsetup luksHeaderBackup /dev/[partition] --header-backup-file /home/amnesia/luks1header

      Si quelque chose se passe mal, vous serez capable de restaurer votre en-tête LUKS1 depuis cette sauvegarde avec :

      cryptsetup luksHeaderRestore /dev/[partition] --header-backup-file /home/amnesia/luks1header

    3. Pour mettre à jour votre en-tête LUKS vers LUKS2, exécuter la commande suivante.

      Remplacer [partition] avec le nom de périphérique trouvé à l'étape 1.6.

      cryptsetup convert /dev/[partition] --type luks2

    4. Pour vérifier qu'Argon2id est la nouvelle fonction de dérivation de clé, exécuter de nouveau la commande suivante.

      Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.

      cryptsetup luksDump /dev/[partition]

      Dans la sortie, vérifier que :

      • The Version is 2 and not 1.

      • The PBKDF is argon2id and not pbkdf2.

    5. Essayer de déverrouiller votre volume chiffré.

  3. Changez votre phrase de passe.

    Display the instructions to change your passphrase using the command line.

    1. Pour changer votre phrase de passe, exécutez la commande suivante.

      Remplacer [partition] avec le nom de partition trouvé à l'étape 1.6.

      cryptsetup luksChangeKey /dev/[partition]

If you create your encrypted volume with Tails 5.12 or earlier and your encrypted volume is on a USB stick (or an SSD) or if you are not comfortable with the command line:

  1. Migrate all your encrypted data to a new encrypted device.

    Follow our instructions on creating and using LUKS encrypted volumes.

  2. If you are worried about a very powerful adversary, consider destroying your old device (or at least securely deleting the entire device).

    If you don't, the previous LUKS1 data might still be written in some recovery data on the USB stick and could be recovered using advanced data forensics techniques.

If your passphrase has 6 random words or more

If your current passphrase has 6 random words or more:

  • Your encryption is secure with LUKS1, even against a very powerful adversary.

    We still recommend you upgrade to LUKS2.

  • Your encryption is even more secure with LUKS2.

Congratulations on following our most secure recommendations!

Persistent Storage (6 words or more)

Your Persistent Storage is already secure, even with LUKS1.

After you upgrade to Tails 5.14 or later, Tails will automatically convert your Persistent Storage to LUKS2 and make your Persistent Storage even more secure.

Backup Tails (6 words or more)

Your backup Tails is already secure, even with LUKS1.

If you want to upgrade your backup Tails to LUKS2 anyway:

  1. Start on your main Tails USB stick.

  2. Update your main Tails USB stick to Tails 5.14.

  3. Update your backup using Tails Cloner.

    Display the instructions to update your backup.

    1. Insérez la nouvelle clé USB.

    2. Choose Applications ▸ Tails Cloner.

    3. Turn on the option Clone the current Persistent Storage below the option Clone the current Tails.

    4. Vérifier que cette nouvelle clé USB est sélectionnée dans le menu Clé USB cible.

    5. To start the cloning, click on the Install button.

    6. Enter a passphrase for the Persistent Storage on the new USB stick in the Passphrase text box.

    7. Enter the same passphrase again in the Confirm text box.

    8. Click Continue.

    9. Lire le message d’avertissement dans la fenêtre de confirmation.

    10. Cliquer sur Supprimer toutes les données et installer pour confirmer.

      Cloning takes a few minutes.

      The progress bar usually freezes for some time while synchronizing data on disk.

Other encrypted volumes (6 words or more)

Your other encrypted volumes are already secure, even with LUKS1.

If you want to upgrade your other encrypted volumes to LUKS2 anyway and you know how to use the command line:

  1. Identify the partition name of your encrypted volume.

    Display the instructions to identify the partition name using the command line.

    1. Lors du démarrage de Tails, définir un mot de passe d'administration.

    2. ChoisirApplications  Outils système  Terminal superutilisateur.

    3. Exécutez la commande suivante :

      lsblk

      La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    4. Branchez votre volume chiffré. Gardez le chiffrement verrouillé.

    5. Exécutez encore la même commande :

      lsblk

      Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions. Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
sda                      8:0    1    7G  0 disk
├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
└─sda2                   8:2    1    3G  0 part
  └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb                      8:0    1    7G  0 disk
└─sdb1                   8:2    1    7G  0 part
zram0                  254:0    0  2.8G  0 disk  [SWAP]

    6. Prenez en note le nom de la partition de votre volume chiffré. Dans cet exemple, le nouveau périphérique dans la liste est sdb et le volume chiffré est dans la partition sdb1. Les vôtres peuvent être différents.

  2. Upgrade to LUKS2.

    Display the instructions to upgrade to LUKS2 using the command line.

    1. Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.

      Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.

      cryptsetup luksDump /dev/[partition]

      Dans la sortie :

      • Version indicates the version of LUKS, either 1 or 2.

      • PBKDF indique la fonction de dérivation de clé, soit pbkdf2 ou argon2id.

      Si votre volume chiffré utilise déjà LUKS2 et Argon2id, vous pouvez arrêter ici.

    2. Exécuter la commande suivante pour faire une sauvegarde de votre en-tête LUKS1.

      Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.

      cryptsetup luksHeaderBackup /dev/[partition] --header-backup-file /home/amnesia/luks1header

      Si quelque chose se passe mal, vous serez capable de restaurer votre en-tête LUKS1 depuis cette sauvegarde avec :

      cryptsetup luksHeaderRestore /dev/[partition] --header-backup-file /home/amnesia/luks1header

    3. Pour mettre à jour votre en-tête LUKS vers LUKS2, exécuter la commande suivante.

      Remplacer [partition] avec le nom de périphérique trouvé à l'étape 1.6.

      cryptsetup convert /dev/[partition] --type luks2

    4. Pour vérifier qu'Argon2id est la nouvelle fonction de dérivation de clé, exécuter de nouveau la commande suivante.

      Remplacer [partition] avec le nom de la partition trouvé à l'étape 1.6.

      cryptsetup luksDump /dev/[partition]

      Dans la sortie, vérifier que :

      • The Version is 2 and not 1.

      • The PBKDF is argon2id and not pbkdf2.

    5. Essayer de déverrouiller votre volume chiffré.

Knowing which version of LUKS is used in your devices

If you know how to use the command line, you can verify whether your encryption uses PBKDF2 or Argon2id.

Stockage persistant

  1. Lors du démarrage de Tails, définir un mot de passe d'administration.

  2. ChoisirApplications  Outils système  Terminal superutilisateur.

  3. Exécutez la commande suivante :

    lsblk

    La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
  loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
  sda                      8:0    1    7G  0 disk
  ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
  └─sda2                   8:2    1    3G  0 part
    └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
  zram0                  254:0    0  2.8G  0 disk  [SWAP]

    Your Persistent Storage appears as TailsData_unlocked.

  4. Take note of the partition name of your Persistent Storage, which appears above TailsData_unlocked. In this example, the Persistent Storage is in the partition sda2. Yours might be different.

  5. Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.

    Replace [partition] with the partition name found in step 4.

    sudo cryptsetup luksDump /dev/[partition]

    Dans la sortie :

    • Version indicates the version of LUKS, either 1 or 2.

    • PBKDF indicates the key derivation function, either pbkdf2 or rgon2id.

Other encrypted volumes

  1. Lors du démarrage de Tails, définir un mot de passe d'administration.

  2. ChoisirApplications  Outils système  Terminal superutilisateur.

  3. Exécutez la commande suivante :

    lsblk

    La sortie est une liste de périphériques de stockage et de partitions du système. Par exemple :

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
  loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
  sda                      8:0    1    7G  0 disk
  ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
  └─sda2                   8:2    1    3G  0 part
    └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
  zram0                  254:0    0  2.8G  0 disk  [SWAP]

  4. Branchez votre volume chiffré. Gardez le chiffrement verrouillé.

  5. Exécutez encore la même commande :

    lsblk

    Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions. Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.

      NAME                   MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
  loop0                    7:0    0  1.2G  1 loop  /lib/live/mount/rootfs/filesystem.squashfs
  sda                      8:0    1    7G  0 disk
  ├─sda1                   8:1    1    4G  0 part  /lib/live/mount/medium
  └─sda2                   8:2    1    3G  0 part
    └─TailsData_unlocked 253:0    0    3G  0 crypt /run/nosymfollow/live/persistence/TailsData_un...
  sdb                      8:0    1    7G  0 disk
  └─sdb1                   8:2    1    7G  0 part
  zram0                  254:0    0  2.8G  0 disk  [SWAP]

  6. Prenez en note le nom de la partition de votre volume chiffré. Dans cet exemple, le nouveau périphérique dans la liste est sdb et le volume chiffré est dans la partition sdb1. Les vôtres peuvent être différents.

  7. Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id, exécuter la commande suivante.

    Replace [partition] with the partition name found in step 6.

    sudo cryptsetup luksDump /dev/[partition]

    Dans la sortie :

    • Version indicates the version of LUKS, either 1 or 2.

    • PBKDF indique la fonction de dérivation de clé, soit pbkdf2 ou argon2id.