Полный разбор Tails [Часть 1]

Tails — это операционная система на основе Linux, главная цель которой это анонимность пользователя.

Tails предназначена загружаться со сменного носителя — с USB флешки или CD диска. Во время своей работы она выходит в Интернет только через сеть Tor, а также никак не взаимодействуют с другими хранилищами компьютера (жёсткими и SSD дисками) если вы явно это не укажите. Благодаря этому Tails: обеспечивает повышенную анонимность, не оставляет следов своего использования

Дополнительно в данной операционной системе установлено несколько сопутствующих целям программ: для анонимного обмена мгновенными сообщениями, для анонимного распространения файлов, браузер Tor, почтовый клиент, Биткоин клиент, а также обычные программы для работы с документами и графикой.

С выходом Tails 3.12 внесены серьёзные изменения в установку — начнём с неё, а затем рассмотрим другие моменты как пользоваться Tails.

Установка и загрузка Tails
Страница для скачивания торрентов Tails: https://tails.boum.org/torrents/files/

rc1 — это предварительные версии — если имеется стабильная версия, то лучше скачивать её.

Файлы с расширением .sig нужны для проверки целостности и подлинности скаченного образа.

Торренты на сами образы имеют расширения .img.torrent и .iso.torrent. Если вы будете записывать Tails на USB флешку, то для скачивания вам нужен файл .img.torrent, а если вы хотите записать операционную систему на оптический диск, то вам нужен файл .iso.torrent.

Как установить Tails
Теперь разработчики делают USB образы, которые достаточно просто записать на флешку. Файлы образов для USB имеют файловое расширение .img, например, tails-amd64-3.12.img. А файлы в названии которых есть .iso, например, tails-amd64-3.12.iso, предназначены для записи на компакт-диск.

Убедитесь, что вы скачали правильный файл с расширением .img.

Теперь не нужны никакие две флешки, не нужны промежуточные системы Tails, из всех операционных систем установка Tails на флешку делается с помощью программы Etcher.

Эта программа работает на всех основных операционных системах, в том числе на Windows 7 (64-bit) и более поздник, а также на Linux.

Для Windows вы можете скачать как установочный файл, так и портативный.

Для Linux программа распространяется в удобных пакетах с расширением .AppImage. Например, после распаковки скаченного архива программа будет иметь примерно такое название: balena-etcher-electron-1.4.9-x86_64.AppImage.

Удобство AppImage в том, что в пакете собрано всё что нужно для запуска программы. То есть для запуска программы просто дважды кликните на неё — никакой установки зависимостей и прочего.

Установка делается элементарно, причём в любой из операционных систем она идентична:

Выберите образ для записи на флешку:

Если флешка уже подключена к компьютеру и она только одна, то USB флешка для записи выбирается автоматически. Если этого не произошло, то выберите её вручную.

Нажмите на кнопку Flash!

Дождитесь окончания процесса:

После записи будет сделана верификация, что данные записались без ошибок. Etcher можно закрыть — Tails готовая к использованию. Вот так всё стало просто.

Как загрузиться с USB флешки Tails
При включении компьютера вам нужно зайти в BIOS (UEFI) и проверить, отключены ли опции Fast boot и Security boot — отключите их, иначе не сможете загрузиться со стороннего носителя.

Чтобы зайти в БИОС при старте компьютера много раз нажимайте кнопку Esc или Del. Если это не работает — то погуглите, как на вашей моделе компьютера (зависит от модели ноутбука или от модели материнской платы — если это настольный компьютер) зайти в БИОС.

В самом БИОСе или при включении компьютера (для этого нажимайте много раз кнопку Esc) выберите в загрузочном меню флешку с Tails.

Запуск Tails в VirtualBox
Разработчики в дополнении образа для USB флешек по-прежнему создают и .ISO образы, которые нужны для запуска с оптического диска. Именно эти образы нужно использовать для запуска Tails в VirtualBox.

При создании новой виртуальной машины в качестве Типа выберите Linux, а в качестве Версии выберите Other Linux (64 bit).

Виртуальной машине нужно минимум 2048 MB оперативной памяти, создавать новый виртуальный диск не нужно — загрузка и вся работа будет проходить с .ISO образа.

При первом старте укажите .ISO с Tails.

При работе в виртуальной машине невозможно подключить постоянное хранилище, но из виртуальной машины можно выполнить установку Tails на флешку. Примечание: продвинутые пользователи могут установить Tails в VirtualBox и могут там создать постоянное хранилище. Пошаговые инструкции как это сделать в третьей части данного руководства.

Установка Tails из Tails
Вы по-прежнему можете устанавливать Tails как это рекомендовалось ранее: из самой Tails.

Вы можете загрузиться с оптического диска Tails или из виртуальной машины, затем в меню выберите Tails → Tails Installer:

Укажите флешку, на которую будет выполнена установка. Имеются опции:

• Клонировать текущий Tails
• Использовать загруженный ISO образ Tails

Дождитесь окончания процесса — он требует времени. Иногда может показаться, что всё замерло — просто подождите, у меня запись таким образом заняла где-то 10-15 минут.

Как запускать команды от root в Tails. Как использовать sudo в Tails. Какой в Tails пароль по умолчанию для root / администратора
Если вы просто включите Tails с настройками по умолчанию, то вы не сможете использовать sudo, то есть не сможете выполнять команды от root. Это может понадобиться, например, при установке новых программ, а также создании раздела на Tails для хранения данных, настроек, установленных программ. То есть практически для всего рассмотренного далее нужен административные права в системе, поэтому рассмотрим, как в Tails активировать администраторский пароль.

При включении Tails на этапе выбора языка нажмите + (плюс):

Нажмите на Administration Password (Пароль администратора):

Придумайте и два раза введите пароль:

Когда всё готово в поле Additional Settings (Дополнительные настройки) появится информация о том, что включён пароль администратора. Теперь достаточно нажать на кнопку Start Tails (Запуск Tails):

Почему в Tails не сохраняются настройки? Как сохранять файлы в Tails
Tails — это Live система, то есть она записывается на носитель таким образом, что изменения в файловую систему не сохраняются. Если вы делаете какие-то настройки системы (можно даже обновить пакеты), то все они держаться в оперативной памяти и после перезагрузки системы полностью пропадают.

Если вы работаете с ISO (оптического диска), то вы можете использовать для сохранения файлов другие носители, а настройки системы сохранять не получится. Но если вы запускаете Tails с флешки, то можно настроить persistence — то есть постоянное хранилище.

Если вы работали с persistence томами на других дистрибутивах Linux, то там это происходит так: с технической точки зрения persistence отличается от работы операционной системы установленной на обычный диск. В случае обычной установки, операционная система создаёт новые файлы и удаляет ненужные с диска. В случае же с persistence, система всегда остаётся Live системой — то есть она записана на раздел, в который невозможно внести изменений, то есть невозможно записать или удалить файл. Но подключается новый раздел (тот самый persistence), на который можно записывать файлы.

В результате, даже если вы обновляете систему, то исходный Live раздел не меняется — изменения записываются на persistence. При работе ОС каждый раз вычисляет результирующую: Live раздел + изменения внесённые на persistence. У этого есть плюсы и минусы. Плюс в том, что нам в принципе становится доступной сохранять настройки и файлы. Также Live раздел занимает меньше места чем полноценная установленная система. И ещё — можно запустить систему без persistence — получится Live система в её исходном состоянии.

В Tails persistence работает иначе: если вы установили новую программу, то вместо «бесшовной» работы с этой программой каждый раз, когда активирован persistence, в Tails эта программа заново устанавливается при каждой загрузке системы. Сделанные обновления и настройки системы просто не сохраняются. Если коротко: в persistence у Tails сохраняется только то, что предусмотрели разработчики. В то время как у других дистрибутивов Linux в persistence сохраняются практически все сделанные в системе изменения — как у обычной установки Linux.

Зашифрованное постоянное хранилище Tails (persistence)
Если вы запускаете Tails с USB флешки, вы можете на свободном пространстве карты памяти USB создать том с постоянным хранилищем. Файлы на таком томе хранятся зашифрованными и остаются доступными и после перезагрузки системы.

Это можно сделать только если Tails установлена на USB флешку (а не на оптический диск) и если объём этой флешки минимум 8 GB.

Этот том persistent может использоваться для хранения следующего:

• Личных файлов
• Настроек
• Дополнительного программного обеспечения
• Ключей шифрования

После создания раздела persistent, каждый раз при старте Tails вы можете выбирать — активировать его или нет.

Использование постоянного хранилища на системе, предназначенной для обеспечения анонимности и не оставлять следы, это довольно сложный вопрос, поэтому начнём с предупреждений.

Предупреждения о постоянном хранилище
Хранение чувствительных документов

Том persistent не является скрытым. Атакующий при завладении вашей USB флешкой может узнать, что на ней есть постоянное хранилище. Имейте в виду, что пароль может быть вызнан под принуждением или обманом.

Ниже также будет инструкция по безопасному удалению постоянного тома.

Переписывание конфигураций

Программы, включённые в Tails, тщательно настроены с учётом безопасности. Если вы используете том persistence для перезаписи конфигураций программ включённых в Tails, это может нарушить безопасность или сделать эти программы непригодными для использования.

Будьте особенно осторожны используя возможности Dotfiles (о них ниже).

Более того, для анонимности Tor и Tails они полагаются на то, что все установленные системы у разных пользователей идентичны, то есть затруднено различие одного пользователя Tails от других. Изменение стандартных конфигураций может нарушить вашу анонимность — то есть вы сделаете вашу систему в чём-то более уникальной, отличной от других Tails.

Установка дополнительных программ

Для защиты вашей анонимности и не оставления следов, разработчики Tails отобрали и тщательно настроили программы которые хорошо работают вместе. Установка дополнительных программ может привнести неожиданные проблемы и может нарушить встроенные в Tails защиты.

Плагины браузера

Веб-браузер — это центральная часть систем таких как Tails. Плагины включённые в браузер тщательно отобраны и настроены с учётом безопасности. Если вы установите другие плагины или измените их настройки, вы можете нарушить анонимность.

Используйте по минимуму

Сведите к минимуму использование постоянного хранилища, делайте это только когда необходимо. Всегда можно запустить Tails без активации тома persistent. Все возможности постоянного тома являются опциональными и не требуют явной активации. Сохраняются только файлы и папки, которые вы указали.

Открытие постоянного хранилища из других операционных систем

Можно открыть persistent том с других операционных систем. Но если так делать, это может скомпрометировать безопасность, обеспечиваемую Tails.

Например, другими операционными системами могут быть созданы и сохранены эскизы изображений. Или содержимое файлов может быть проиндексировано другой операционной системой.

Вероятно, не стоит доверять другим операционным системам работу с чувствительной информацией или не оставлению следов.

Создание постоянного хранилища
Важно: вы должны быть загружены с флешки для которой хотите настроить постоянное хранилище.

Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume:

Будет открыто окно, в которое нужно два раза ввести пароль — этот пароль вам нужно придумать и запомнить, поскольку если вы его забудете, то не сможете расшифровать файлы, помещённые в постоянное хранилище.

Чем длиннее пароль, тем труднее его взломать. Разработчики рекомендуют длинные парольные фразы, состоящие от пяти до семи случайных слов.

Нажмите кнопку Создать (Create):

Дождитесь завершения создания.

Программа-помощник покажет список возможных функций persistence. Каждая функция соответствует набору файлов или настроек для сохранения в зашифрованное хранилище.

Начать рекомендуется с активации только хранилища Personal Data (персональные данные). Позднее вы можете активировать больше пунктов в соответствии с вашими потребностями.

Когда всё будет готово, нажмите Save (Сохранить).

Изменения вступят в силу после перезагрузки компьютера. Поэтому перезапустите систему. При включении в приветственном окне станет доступным новый пункт. Если вы введёте верный пароль, то будет подключено постоянное хранилище. Вы также можете его не подключать, тогда загрузится обычная Live система.

Постоянное хранилище подключается только на текущую сессию (до перезагрузки компьютера). Сохраняются только файлы, помещённые в папку Persistent. Чтобы попасть в эту папку, нажмите Places (Места) и затем выберите Persistent.

Настройка постоянного хранилища
Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume.

Примечание: сообщение об ошибке Error, «Persistence partition is not unlocked.» означает, что persistent не был включён из Tails Greeter (приветственное окно Tails). Поэтому вы не можете настроить его, но вы можете удалить его и создать новое.

Функции и опции Persistence
Примечание: в настоящее время могут сохраняться только функции, которые здесь перечислены. Некоторые другие функции были запрошены и приняты разработчиками, но эти функции до сих пор дожидаются реализации: расширения браузера, обои, стандартная звуковая карта, настройки мыши и тачпада и прочее.

Помните: если вы отключили функцию, которая ранее была активирована, то она будет деактивирована после перезапуска Tails, но соответствующие файлы сохраняться на томе persistent.

Для удаления файлов, соответствующих функции:

1. Запустите Tails и установите пароль администратора.
2. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Root Terminal для открытия терминала с административными правами.
3. Выполните команду

для открытия файлового браузера с административными правами.

Либо просто в обычном терминале наберите:

1. В файловом браузере перейдите в /live/persistence/TailsData_unlocked.
2. Удалите папку, соответствующую функции для которой вы хотите удалить хранимые файлы:

Personal Data (Персональные файлы)
Когда активирована эта функция, вы можете сохранять ваши персональные файлы и рабочие документы в папку Persistent. Чтобы открыть эту папку выберите Places (Места) → Persistent.

Browser Bookmarks (Закладки браузера)
Когда активирована эта функция, изменения в закладка Tor Browser сохраняются на томе persistent. Это не применяется к Unsafe Browser.

Network Connections (Сетевые подключения)
Когда активирована эта функция, конфигурация сетевых устройств и соединений сохраняется на томе persistent.

Additional Software (Дополнительные программы)
Когда активирована эта функция, список дополнительных программ, которые вы выбрали, автоматически устанавливается каждый раз, когда вы запускаете Tails.

Соответствующие пакеты программ хранятся на томе persistent. Для безопасности они автоматически обновляются после установления сетевого соединения.

Пакеты, включённые в Tails, тщательно протестированы на безопасность. Установка дополнительных пакетов может нарушить встроенную в Tails безопасность, поэтому будьте осторожны с тем, что вы устанавливаете.

Printers (Принтеры)
Когда активирована эта функция, конфигурация принтеров сохраняется на томе persistent.

Thunderbird
Когда активирована эта функция, конфигурация и электронные письма хранятся email клиентом Thunderbird на томе persistent.

GnuPG
Когда активирована эта функция, OpenPGP ключи, которые вы создали или импортировали, хранятся на томе persistent.

Если вы вручную редактируете или переписываете конфигурационный файл

/.gnupg/gpg.conf, то вы можете уменьшить свою анонимность, ослабить настройки шифрования по умолчанию или сделать GnuPG непригодным для использования.

Bitcoin Client (Клиент (кошелёк) Биткоин)
Когда активирована эта функция, кошелёк Bitcoin и настройки клиента Биткоин Electrum сохраняются на томе persistent

Pidgin
Когда активирована эта функция, в постоянном хранилище размещаются конфигурационные файлы Интернет-мессенджера Pidgin. К ним относятся:

• Конфигурация ваших аккаунтов, списка контактов и чатов.
• Ваши ключи шифрования OTR и keyring.
• Содержимое дискуссий не сохраняется если вы специально не настроили Pidgin делать это.

SSH Client (Клиент SSH)
Когда активирована эта функция, все файлы, относящиеся к клиенту безопасного шелла (secure-shell) сохраняются в persistent:

• SSH ключи которые вы создали или импортировали
• Публичные ключи хостов к которым вы подключались
• Конфигурационный файл SSH

/.ssh/config, убедитесь, что не перезаписываете стандартную конфигурацию из файла /etc/ssh/ssh_config. В противном случае вы можете ослабить стандартное шифрование или довести SSH до неработоспособности.

Dotfiles (Дотфайлы)
Когда активирована эта функция, все файлы в папке /live/persistence/TailsData_unlocked/dotfiles подсоединены ссылками к Домашней папке. Файлы в подпапках дотфайлов также привязаны к соответствующим подпапкам вашей Домашней папки.

Например, имеются следующие файлы в /live/persistence/TailsData_unlocked/dotfiles:

/live/persistence/TailsData_unlocked/dotfiles
├── file_a
├── folder
│ ├── file_b
│ └── subfolder
│ └── file_c
└── emptyfolder

Это приводит к тому, что в /home/amnesia:

/home/amnesia
├── file_a → /live/persistence/TailsData_unlocked/dotfiles/file_a
└── folder
├── file_b → /live/persistence/TailsData_unlocked/dotfiles/folder/file_b
└── subfolder
└── file_c →
/live/persistence/TailsData_unlocked/dotfiles/folder/subfolder/file_c

Эта опция полезна если вы хотите сделать постоянными некоторые определённые файлы, но не папку, в которой они размещены. Хороший пример так называемых дотфайлов (отсюда и название этой функции) это скрытые конфигурационные файлы в корне вашей домешней директории, такие как

Как вы можете видеть в предыдущем примере, пустые папки игнорируются. Эта функция только связывает файлы, но не папки, из тома persistent в Домашнюю (Home) папку.

Сохранение конфигураций мониторов
Если у вас больше чем один дисплей (например, два монитора или проектор), вы можете сохранить конфигурации ваших дисплеев используя функцию Дотфайлов.

1. Активируйте функцию Дотфайлов и перезапустите Tails.
2. Выберите System Tools → Settings → Displays.
3. Настройте ваши дисплеи.
4. Откройте в файловом менеджере /live/persistence/TailsData_unlocked/dotfiles.
5. Выберите Menu (Меню) → Show Hidden Files (Показывать скрытые файлы).
6. Создайте папку с названием .config (config перед которой стоит точка).
7. Скопируйте файл .config/monitors.xml из вашей Домашней папки в /live/persistence/TailsData_unlocked/dotfiles/.config.

Подключение и использование постоянного хранилища
После создания постоянного хранилища, при запуске Tails на приветственном экране (там, где можно выбрать язык), появится новое поле «Encrypted Persistent Storage» — в него нужно ввести пароль от раздела persistent и нажать Unlock:

Для использования постоянного хранилища, откройте папку Persistent, в неё попасть можно выбрав Places (Места) → Persistent. Здесь вы можете хранить персональные папки и рабочие документы — они будут сохраняться после перезагрузки.

Для продвинутых пользователей, для доступа во внутреннее содержимое постоянного хранилища выберите Places (Места) → Computer (Компьютер) для открытия папок live → persistence → TailsData_unlocked.

1. Запустите Tails и задайте пароль администратора.
2. Не активируйте persistent том в приветственном окне Tails.
3. Откройте программу Disks из меню Applications (Приложения) → Utilities (Утилиты) → Disks.
4. Disks выведет список текущих устройств хранения в левой панели окна. Когда вы выберите одно из этих устройств, о нём в правой панели будет отображена подробная информация: его разделы, брэнд, размер и прочее.
5. Найдите то устройство, которое содержит том persistent. Оно должно иметь два раздела, один обозначен как Tails, а другой обозначен как TailsData, этот второй соответствует постоянному хранилищу.
6. В правой панели кликните на том раздела постоянного хранилища обозначенного как TailsData.
7. Вызовете в Disks контекстное меню
8. и выберите Change Passphrase… (Поменять пароль).
9. Введите ваш текущий пароль от постоянного хранилища и затем дважды введите новый пароль.
10. Наконец подтвердите кликнув на Change (Изменить).
11. В диалоговом коне подтверждения, введите ваш пароль администратора и кликните Authenticate.
12. Теперь вы можете перезапустить Tails и попытаться включить том persistent с его новым паролем.

Ручное копирование данных с постоянного хранилища на новую USB флешку
Эти инструкции объясняют, как вручную скопировать ваши хранимые данные на новую USB флешку. Следуйте им если у вас есть серьёзные причины думать, что ваши хранимые настройки повреждены или если вы хотите быть очень аккуратным с вашими хранимыми данными.

Создайте новую USB флешку с Tails

1. Установите последнюю Tails на новую USB флешку, используя обычные инструкции по установке. В процессе новой установки не используйте флешку Tails USB, если есть основание думать, что она повреждена.
2. Создайте постоянное хранилище на новой USB флешке. Мы рекомендуем использовать другой пароль для защиты нового тома persistent.
3. Вновь включите на этой новой USB флешке функции persistence по своему выбору.
4. Перезапустите новую USB флешку, включите раздел persistence и установите пароль администратора.

Спасание файлов из старой флешки Tails USB
Для начала, смонтируйте старый том persistent.

1. Подключите старую Tails USB флешку с который вы хотите спасти ваши данные.
2. Выберите Applications → Utilities → Disks чтобы открыть GNOME Disks.
3. В левой панели, кликните на USB флешку, соответствующую старой установке Tails USB.
4. В правой панели, кликните на раздел помеченный как LUKS. Имя раздела должно быть TailsData.
5. Кликните кнопку
6. Unlock (Разблокировка) для разблокировки старого тома persistent. Введите пароль старого тома persistent и нажмите Unlock.
7. Кликните на раздел TailsData, который появится под разделом LUKS.
8. Кликните на кнопку
9. Mount (Монтировать). Старый раздел persistent теперь смонтировано как /media/amnesia/TailsData.

Проверка файловой системы постоянного хранилища
При редких обстоятельствах вам может потребоваться выполнить проверку файловой системы для исправления дефектного тома persistent.

Разблокировка тома persistent.

1. Запустите Tails с отключённым постоянным хранилищем и установите пароль администратора.
2. Выберите Applications (Приложения) → Utilities (Утилиты) → Disks чтобы открыть GNOME Disks.
3. В левой панели кликните на устройство, соответствующее вашей флешке Tails USB.
4. В правой панели кликните на раздел отмеченный как TailsData LUKS.
5. Кликните на кнопку
6. Unlock (Разблокировка) для разблокировки постоянного хранилища. Введите пароль тома persistent и кликните Unlock (Разблокировать).
7. В диалоговом окне подтверждения, введите ваш пароль администратора и кликните Authenticate.
8. Кликните на раздел TailsData Ext4 который появится под разделом TailsData LUKS.
9. Идентифицируйте имя Устройства вашего тома persistent которое появится под списком томов. Оно должно выглядеть как /dev/mapper/luks-xxxxxxxx. Трижды кликните для выбора и нажмите Ctrl+C для копирования его (имени) в буфер обмена.

1. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Root Terminal и введите ваш пароль администратора для открытия терминала с правами root.
2. В терминале выполните следующую команду, заменив [устройство] на имя устройства, найденное на шаге 8:

Чтобы это сделать, вы можете набрать fsck -y и нажать Shift+Ctrl+V для вставки имени из буфера обмена.

1. Если в файловой системе нет ошибок, последняя строка вывода fsck будет начинаться с TailsData: clean.

1. Запустите Tails с USB флешки, на которой вы хотите удалить постоянное хранилище.
2. Не включайте том persistent в приветственном окне Tails.
3. Выберите Applications (Приложения) → Tails → Delete persistent volume.
4. Кликните Delete (Удалить).

Надёжное удаление постоянного хранилища
Предыдущая техника не препятствует атакующему восстановить файлы в старом хранилище используя техники восстановления данных. Для надёжного удаления раздела persistent, запустите Tails с другой USB флешки или DVD и выполняйте следующие операции на USB флешке с которой вы хотите сделать надёжное удаление:

Делаем шпионскую флешку с защищенной операционкой Tails

Tor, безусловно, одно из самых нужных средств защиты личных данных. Но чтобы обезопасить себя со всех сторон и работать, не оставляя вообще никаких следов, нужно намного больше. Tails — операционная система семейства Debian Linux, основанная на серьезных принципах защиты данных. Используя флешку с Tails, ты можешь не опасаться не только слежки в интернете, но и обыска в квартире.

Справочник анонима

Статьи из этого цикла публикуются бесплатно и доступны всем. Мы убеждены, что каждый имеет право на базовые знания о защите своих данных.

Другие статьи цикла:

• «Как работают токены аутентификации и в чем их отличия от паролей»;
• «Теория и практика шифрования почты»;
• «Виды шифрования и защиты трафика, выбор софта»;
• «Как шифровать переписку в Jabber: пошаговая инструкция».

Если для тебя эти материалы тривиальны — отлично! Но ты сделаешь доброе дело, отправив ссылку на них своим друзьям, знакомым и родственникам, менее подкованным в технических вопросах.

Вступление

Tails — не единственный дистрибутив Linux, который ставит защиту данных во главу угла. Но, на мой взгляд, это на сегодняшний день лучший выбор для человека, желающего сохранить конфиденциальность переписки, защищенность личных данных и сохранность важной информации от любопытных глаз. И раз уж я заговорил о принципах защиты данных в Tails, то нелишне будет их перечислить.

1. Сохранение конфиденциальности информации. Здесь все просто, нам необходимо защитить нашу информацию от посторонних. Для этого мы будем шифровать всё, использовать криптостойкие алгоритмы и длинные ключи. Что-то даже будем шифровать по нескольку раз. Ничто не должно храниться в открытом виде, ничто не передается в открытом виде.
2. Сокрытие наличия информации (стеганографическая защита). Нам необходимо скрыть сам факт хранения или передачи данных. Мы будем использовать скрытые криптоконтейнеры, заполнять свободные места на дисках случайными данными, эвристически неотличимыми от зашифрованных данных.
3. Скрытие адресата передачи информации. Иногда может потребоваться скрыть от чужих глаз не только саму информацию, но и адресата. В этом нам поможет многослойное шифрование и «луковая» маршрутизация.
4. Правдоподобный отказ (plausible deniability). Может возникнуть необходимость направить настойчивых любопытствующих (к примеру, при досмотре) на ложный след. Поверх скрытых контейнеров с важными данными мы создадим ложные, но очень правдоподобные зашифрованные разделы, в которых будем хранить поваренную книгу и картинки с котами из интернета.
5. Возможность отказаться от факта передачи информации, отозвать свои цифровые подписи и так далее. В этом нам поможет протокол OTR и использование HMAC вместо ЭЦП.
6. Работа на компьютере без следов. Все, что может остаться в оперативной памяти, на жестком диске или даже в памяти видеокарты, необходимо тщательно зачистить. Все важное должно сохраниться только на надежно зашифрованном, скрытом и оберегаемом нами носителе, риск утечек должен быть сведен к минимуму.

Все эти принципы дополняют друг друга. Если ты действительно озабочен защитой своих данных и сохранением конфиденциальности, не пренебрегай ни одним из них.

Установка

Для установки Tails нам понадобится две флешки. Почему две? Чтобы понять, что такое рекурсия, нужно сначала понять, что такое рекурсия. А Tails можно установить, только используя Tails. Скачиваем ISO с официального сайта tails.boum.org. Образ рекомендуется сразу проверить с помощью OpenPGP, подробная инструкция о том, как это сделать, есть на сайте. Скачанный образ записываем на первую, промежуточную флешку с помощью Universal Usb Installer. После этого можно выключать компьютер и загружаться с флешки. Когда ОС загрузится, нужно будет вставить вторую (основную) флешку и выбрать Applications → Tails → Tails Installer Install by Cloning.

Если все получилось, то система готова к работе.

Начало работы

После загрузки с рабочей флешки нам потребуется создать постоянный (persistent) защищенный раздел, своеобразный «жесткий диск на флешке». Это делается через Application → Tails → Configure Persistence.

Перезагружаем компьютер и на загрузочном экране выбираем Use Persistence и More Options, после чего вводим пароль для нашего хранилища.

Из меню внизу экрана выбираем регион. Это важно, поскольку от региона зависят входные узлы Tor. Здесь следует поэкспериментировать. В моем случае лучшим выбором оказалась Дания.

В меню расширенных настроек задаем пароль для программ, которым нужны права администратора. Можешь поставить любой, он работает в рамках сессии и ни на что больше не влияет.

Имей в виду, что загрузка занимает некоторое время, а потом Tails еще несколько минут будет подключаться к Tor. Отслеживать процесс можно, щелкнув по иконке Onion Circuits — луковичке в верхнем правом углу экрана.

Спустя некоторое время Tails проинформирует об успешном подключении к Tor. По умолчанию сеть сконфигурирована так, что весь трафик будет проходить через него. Теперь можно скачать все, что нам нужно для работы.

Дополнительное ПО, сохранение файлов и настроек

По умолчанию Tails не рассчитана на сохранение установленного ПО, настроек и файлов после выключения компьютера. Однако создатели предусмотрели возможность хранить некоторые данные в персистентном разделе. Настроить, что именно будет храниться, можно в разделе Settings → Persistent.

Большинство пунктов меню очевидны, поэтому я остановлюсь на последних трех. Второй и третий с конца отвечают за хранение APT-пакетов. Tails основана на Debian, поэтому большинство нужного нам ПО можно установить при помощи apt-get. И хотя сами программы при отключении компьютера не сохранятся, пакеты APT при соответствующих настройках останутся в персистентном разделе. Это позволяет развертывать все нужное ПО в процессе загрузки системы.

Последний пункт меню Dotfiles позволяет создать в персистентном разделе папку с файлами, ссылки на которые будут создаваться в домашней папке Tails при загрузке. Выглядит это следующим образом.

Вот пример структуры файлов в постоянном разделе.

В домашней папке при таком раскладе будет следующая структура ссылок:

Защищаем данные, отбрасываем хвост

Сам по себе наш персистентный раздел уже зашифрован. Однако у него есть существенный недостаток: он не обеспечивает правдоподобное отрицание наличия зашифрованных данных. Чтобы обеспечить правдоподобное отрицание, я предложу решение, которое отличается от рекомендаций создателей Tails. Как поступить тебе — решай сам.

Создатели Tails рекомендуют использовать cryptsetup, основанный на LUKS. Эта программа позволяет создавать скрытые разделы, однако такой раздел скрыт не до конца. Насколько мне известно, существует возможность обнаружить заголовок скрытого раздела, что позволяет установить его наличие.

Такой скрытый раздел лично меня не устраивает. Поэтому я решил использовать старый добрый TrueCrypt версии 7.1а. Заголовок скрытого раздела TrueCrypt неотличим от случайных данных, и, насколько мне известно, обнаружить его невозможно. Двоичный файл программы TrueCrypt лучше хранить здесь же, в персистентном разделе.

Детально описывать процесс создания двойного криптоконтейнера я не стану, отмечу лишь важный нюанс. Поскольку скрытый раздел TrueCrypt по-настоящему скрытый, о его существовании не догадывается даже сама программа, пока ты не введешь нужный пароль. Из-за этого при записи файлов в ложный раздел скрытый раздел может быть поврежден. Чтобы этого не произошло, при монтировании ложного раздела для записи на него картинок котиков нужно выбрать Mount Options → Protect hidden volume when mounting outer volume.

Подобно ящерице, которая при опасности отбрасывает свой хвост, мы теперь в случае необходимости сможем ввести пароль от фальшивого раздела и продемонстрировать всем фотографии котиков вместо конфиденциальной информации.

Общение

Теперь, когда мы обезопасили нашу информацию, можно приступить к ее передаче, то есть к общению. Начнем с Pidgin. Он отлично годится в качестве клиента IRC, а в Tails его еще и немного усилили. В состав ОС включен Pidgin с установленным плагином для протокола OTR. Именно он нам интересен больше всего. Избегая сложной математики, можно сказать, что этот протокол обеспечивает защищенную передачу данных с возможностью отречения, то есть доказать, что конкретное сообщение написано конкретным человеком, невозможно.

Прежде чем начать общаться с кем-то по протоколу OTR, нужно подключиться к серверу IRC. При этом очень важно удостовериться в использовании SSL. Tor шифрует трафик при передаче его между узлами, но, если ты не будешь использовать SSL, твой трафик будет передаваться в открытом виде до входного узла Tor и от выходного узла адресату. Некоторые узлы Tor забанены на серверах IRC, поэтому может потребоваться перезапуск Tor. Сделать это можно командой /etc/init.d/tor restart .

После того как соединение с сервером установлено, выбираем Buddies → New Instant Message.

В открывшемся окне диалога выбираем Not Private → Start Private Conversation.

Будет предложено три варианта для аутентификации: ввести ответ на секретный вопрос, который вы обсудили с собеседником заранее (в этом случае необходимо ввести один и тот же ответ, пробелы и регистр считаются); ввести общую «секретную» фразу; проверить fingerprint — это сорокасимвольная последовательность, идентифицирующая пользователя OTR.

Теперь можно переписываться по OTR. Но как насчет голосового общения? Тут, увы, не все гладко. Поскольку Tails направляет весь трафик через Tor, возникает ряд проблем для голосового общения. Во-первых, большинство VoIP-программ используют UDP, в то время как через Tor возможна передача только пакетов TCP. Во-вторых, Tor не отличается скоростью и пакеты иногда приходят с сильной задержкой. Так что возможны задержки и разрывы связи.

Тем не менее существует OnionPhone, специальный плагин для TorChat. Неплохо справляется и Mumble, хотя этот вариант и менее безопасен. Чтобы Mumble работал через Tor, необходимо запускать его командой torify mumble , а также выбрать пункт Force TCP в сетевых настройках программы.

Электронная почта

Почту в Tails можно использовать точно так же, как и в других ОС. В стандартную сборку входит почтовый клиент Icedove, его настройки и ключи можно хранить в персистентном разделе. Важный нюанс, который следует иметь в виду при отправке писем, состоит в том, что заголовки (subject) не шифруются. Это не ошибка, а особенность реализации протокола, о которой нужно просто знать. Кроме того, файлы, передаваемые по электронной почте, рекомендуется шифровать.

Итого

Я описал лишь некоторые возможности Tails, но базовая сборка содержит внушительный набор дополнительных программ, которые тебе предстоит изучить самостоятельно. Рекомендую, к примеру, посмотреть софт для стирания метаданных файлов — он поможет тебе обезопасить себя еще лучше.

HackWare.ru

Этичный хакинг и тестирование на проникновение, информационная безопасность

Руководство по Tails (часть 4): инструкции и подсказки

Полное оглавление

Подсказки по использованию и инструкции Tails

Подключение к сети. Wi-Fi в Tails

Вы можете подключаться к сети используя проводное, Wi-Fi или подключение к сотовым сетям.

1. Откройте системное меню в правом верхнем углу.

• Если определено проводное подключение, Tails автоматически подключиться к сети.
• Для подключения к Wi-Fi сети, выберите Wi-Fi Not Connected (Wi-Fi не подключён) и затем Select Network (выбрать сеть).
• Для подключения к сотовой сети, выберите Mobile Broadband.

В настоящее время невозможно подключиться к сети используя:

• Dial-up модемы.
• VPN (из-за неразрешимого противоречия: сеть Tor не позволяет создавать соединения, когда известны исходный хост и конечный пункт назначения, а для VPN требуется именно такое соединение).

1. После установления подключения к сети:

• Если вы уже можете подключаться к Интернету, автоматически запустится Tor.
• Если вам нужно зайти в Перехватывающий портал (captive portal) перед получением доступа в Интернет, то смотрите документацию по входу на Перехватывающий портал.

Wi-Fi в Tails

Tails может работать с различными Wi-Fi адаптерами, поэтому при включении просто попробуйте использовать имеющуюся у вас Wi-Fi карту.

Если встроенная Wi-Fi карта не заработала, то на сайте разработчиков Tails рекомендуются следующие беспроводные адаптеры (то есть они точно будут работать в Tails):

• Edimax N150
• Panda Wireless Ultra
• Panda Wireless PAU05

Также рекомендуют попробовать отключить спуфинг (подмену) MAC адреса. Это делается в приветственном экране Tails, в котором нужно нажать + (плюс) для вывода дополнительных настроек.

Помните, что MAC адрес вашей Wi-Fi карты может однозначно идентифицировать ваш компьютер в локальной сети. Поэтому не рекомендуется без необходимости отключать спуфинг MAC адреса.

В Интернет MAC не передаётся, он виден только другим узлам локальной сети, а также в беспроводном пространстве — всем в радиусе досягаемости Wi-Fi сети. MAC может записываться роутером в журнал.

Вход на Перехватывающий портал (хот-спот с авторизацией на веб-интерфейсе)

Многие общедоступные интернет-соединения (обычно доступные через беспроводное сетевое соединение) требуют от своих пользователей зарегистрироваться и войти, чтобы получить доступ в Интернет. Это включает как бесплатные, так и платные сервисы, которые вы можете встретить, в Интернет кафе, библиотеках, аэропортах, отелях, университетах и так далее. Обычно в этих ситуациях так называемый Перехватывающий портал блокирует запрос к веб-сайту и перенаправляет веб-браузер на страницу входа. Это не может работать когда используется Tor, поэтому необходим браузер с доступом без ограничения сетевого доступа.

Tails в своём составе имеет для этих целей Unsafe Browser, и он может быть запущен через меню Applications (Приложения) → Internet (Интернет) → Unsafe Web Browser.

Unsafe Browse (небезопасный браузер) имеет красную тему для отличия его от Tor Browser.

Unsafe Browser не является анонимным. Используйте его только для входа в Перехватывающий портал или для просмотра веб страниц в локальной сети.

Если вы загружаете файлы используя Unsafe Browser, то невозможно получить к ним доступ откуда любо кроме как из самого Unsafe Browser.

Рекомендация по безопасности:

• Не запускайте этот браузер одновременно с анонимным Tor Browser. Вы можете перепутать браузеры друг с другом, что может иметь катастрофические последствия.

Внимание, в последних версиях Tails небезопасный браузер недоступен, если вы явно не включили его при загрузке системы. Как это сделать смотрите в разделе Что такое Небезопасный Браузер в Tails и как его включить.

Установка дополнительных программ в Tails

Какие дополнительные программы я могу установить в Tails?

Tails включает ограниченный набор приложений, но вы можете установить больше программ.

Эти программы распространяются в пакетах, доступные в репозиториях Debian — это примерно как Google Play или App Store.

Чтобы узнать, какие пакеты доступны в Debian:

• Обзор с помощью Synaptic Package Manager (Менеджера пакетов Synaptic):

1. Установите пароль администрирования когда вы запускаете Tails.
2. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Synaptic Package Manager (Менеджер пакетов Synaptic).
3. Дождитесь, пока Synaptic завершит загрузку информации о новых пакетов с серверов Debian.
4. Вы можете:

• Просматривать пакеты выбирая их из левой боковой панели.
• Искать по названиям и описаниям пакетов с помощью кнопки Search (поиск).
• Искать в Интернете альтернативы другим программам.
  Например: «альтернативы debian для photoshop».
• Спросите друга, который знаком с Linux.
• Поиск на сайте Debian.

Будьте осторожны с тем, что вы устанавливаете

Безопасность включённых в Tails пакетов тщательно протестирована. Установка дополнительных пакетов может нарушить встроенную в Tails безопасность, поэтому будьте осторожным с тем, что вы устанавливаете.

Если вы не уверены:

• Пакеты, которые используют сеть, должны быть настроены для работы через Tor. В противном случае они будут заблокированы от доступа к сети.
• Некоторые программы могут, к примеру, изменить файервол или нарушить встроенную безопасность Tails. Но другое программное обеспечение, такое как игры или офисные инструменты, вероятно, не вызовут проблем.
• Программное обеспечение, официально не включённое в Tails, могло быть не протестировано на безопасность. Авторы Tails не могут обеспечить для него поддержку или документацию.
• Только приложения, упакованные для Debian, могут быть установлены и находятся под общественным контролем.

Установка дополнительных программ

Для установки пакета используя Synaptic:

1. При запуске Tails установите пароль администратора.
2. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Synaptic Package Manager (Менеджер пакетов Synaptic).
3. Кликните Search (Поиск) и ищите по имени файла пакета.
4. Кликните правой кнопкой на имя пакета в результатах поиска и выберите Mark for Installation (Отметить для установки).
5. Synaptic вычисляет дополнительные изменения для того, чтобы ваш пакет работал. Кликните Mark (Отметить) для подтверждения этих изменений.
6. Нажмите Apply (Применить) для загрузки, установки и настройки пакета.

Если вы чувствуете себя уверенно в командной строке, вы можете использовать вместо этого команду apt.

Автоматическая установка дополнительных программ при запуске Tails

Чтобы это сделать, вам нужно включить функцию постоянного хранилища Additional Software (Дополнительное программное обеспечение):

После того, как пакет установлен с использованием Synaptic или apt, появится уведомление, которое спросит вас:

Install Only Once — означает установить программу только один раз, для текущей сессии

Install Every Time — устанавливать программу при каждом запуски Tails (когда активировано постоянное хранилище)

• Если вы выбрали Install Every Time, то пакет будет сохранён на постоянное хранилище и автоматически переустанавливаться каждый раз, когда вы запускаете Tails.
  Когда вы подключены к Интернету, пакет также будет автоматически обновляться.
• Если вы выбрали Install Only Once, пакет также сохраниться на постоянное хранилище, но не будет автоматически переустанавливаться каждый раз, когда вы запускаете Tails.
  Этот же пакет иногда может быть переустановлен быстрее, поскольку вам не понадобиться его снова скачивать.

Дополнительная настройка

Некоторые пакеты для работы требуют дополнительной настройки. Чтобы сохранять эти конфигурации для других сессий Tails, вы можете использовать функцию постоянного хранилища Dotfiles (Дотфайлы).

Проверка списка дополнительных программ

Чтобы увидеть, какие пакеты автоматически устанавливаются каждый раз, когда вы запускаете Tails, выберите Applications (Приложения) → System Tools (Системные) → Additional Software (Дополнительное программное обеспечение).

Кликните на кнопку для удаления пакета из списка.

Этот же самый список также доступен из окна настройки постоянного хранилища если кликнуть на кнопку .

Удаление дополнительных программ

Когда вы установили пакет, если вы выбираете:

• Install Only Once вы можете удалить его перезапуском Tails.
• Install Every Time вы можете удалить его
• Используя Additional Software (Дополнительное программное обеспечение):

1. Выберите Applications (Приложения) → System Tools (Системные) → Additional Software (Дополнительное программное обеспечение).
2. Кликните на справа от имени пакета.

• Используя Synaptic:

1. Установите пароль администратора когда вы запускаете Tails.
2. Выберите Applications (Приложения) → System Tools (Системные) → Synaptic Package Manager (Менеджер пакетов Synaptic).
3. Кликните Search (Поиск) и ищите по имени пакета.
4. Кликните правой кнопкой по имени пакета в результатах поиска и выберите Mark for Removal (Пометить для удаления).
5. Кликните Apply (Применить) для удаления пакета.

• Из командной строки используя apt.

После удаления пакета, появится уведомление, спрашивающее вас, хотите ли вы удалить этот пакет из списка дополнительного программного обеспечения.

Освобождение места в вашем постоянном хранилище

После того, как вы установили много пакетов, которые вы больше не используете, вы можете очистить свободное место в вашем персональном хранилище:

1. Установите пароль администрирования, когда вы запускаете Tails.
2. Выберите Applications (Приложения) → System Tools (Системные) → Root Terminal чтобы открыть Root Terminal.
3. Выполните следующую команду:

Настройка дополнительных APT репозиториев (для продвинутых пользователей)

Пакеты, доступные в Debian, находятся под общественным контролем. Настройка дополнительных APT репозиториев может сломать внутреннюю безопасность Tails и может привести к установке программного обеспечения, которое не было одобрено Debian. Будьте особенно осторожны с тем, что вы устанавливаете. Этот шаг обычно не нужен для установки дополнительных программ, и может быть необходим только в очень редких обстоятельствах.

Иногда вам может понадобиться настроить дополнительные репозитории APT. Например, для установки пакетов из раздела non-free репозитория Debian. Чтобы это сделать:

1. Установите пароль администрирования, когда вы запускаете Tails.
2. Создайте папку apt-sources.list.d folder на вашем томе persistent:

1. Отредактируйте /live/persistence/TailsData_unlocked/persistence.conf, конфигурацию постоянного хранилища. Это нужно делать как root и добавьте папку apt-sources.list.d в качестве функции постоянного хранилища следующей ссылкой:

1. Добавьте ваши дополнительные файлы sources.list в папку apt-sources.list. Наприме, для добавления раздела non-free от Debian Jessie, backports и обновлений безопасности, вы можете создать файл с именем /live/persistence/TailsData_unlocked/apt-sources.list.d/non-free.list со следующим содержимым:

Имена файлов должны заканчиваться на .list и могут содержать только следующие символы: буквы, цифры, символ нижнего подчёркивания, тире и точку.

1. Отредактируйте владельца и права доступа на ваши дополнительные файлы sources.list, чтобы их владельцем стал root, и чтобы они были доступны другим только для чтения. Например:

Перезапустите Tails чтобы изменения вступили в силу.

Как установить Tails на (внутренний или внешний) жёсткий диск. Как установить Tails в VirtualBox

Эта инструкция только для тех, кто действительно понимает, зачем ему это нужно. Если вы знаете, зачем вам это нужно, то и недостатки/последствия/отличия от обычной установки Tails вы также должны понимать.

Мы будем использовать встроенные инструмент Tails, мы всего лишь чуточку их подправим.

Кстати, этим же самым способом вы можете установить Tails в VirtualBox.

Загрузитесь с DVD/USB и при входе установите Пароль администратора, затем откройте терминал.

Введите в терминале команду чтобы открыть файл:

В нём найдите строку

и закомментируйте следующие 8 строк ставя перед каждой строкой # (изменение цвета шрифта говорит о том, что вы всё сделали правильно). Это нужно делать вплоть до и включая:

Сохраните и закройте файл.

Теперь откройте файл:

Найдите там строку

И закомментируйте следующие девять строк, вплоть и включая

Должно получиться примерно так:

Сохраните и закройте файл.

Теперь в терминале выполните команду:

Выберите ваш диск и нажмите Install:

Без перезагрузки, смонтируйте раздел "Tails" с только что созданного устройствва/диска используя Applications → Utilities → Disks:

Интересует именно диск, на который установлена Tails, а не пустое место. Для его монтирования нажмите соответствующую кнопку (похожа на кнопку Плей).

В терминале выполните

В gedit будет открыто два файла:

В каждом из них найдите все вхождения строки

и удалите эту строку.

Сохраните и закройте эти файлы

Затем в терминале выполните

В gedit будет открыт файл. В нём аналогично найдите все вхождения строки

и удалите эту строку.

Наконец, выполните команду:

Как обычно, в gedit будет открыт файл. В нём найдите все вхождения строки

и удалите эту строку.

Перезагрузитесь, выберите загрузку с диска (HDD) и при включении установите пароль администратора.

Теперь откройте терминал и выполните там:

Найдите в этом файле:

ПОСЛЕ этой строки вставьте строку

Важно: она ДОЛЖНА быть помещена в колонку 1! Изменение цвета означает, что вы сделали всё правильно:

Ниже найдите строку

ПЕРЕД (над фигурной скобкой ">", которая в той же колонке, что и первая "r" строки "return 1;") вставьте строку

Важно: она ДОЛЖНА быть помещена в колонку 1:

Как вы обычно это делаете, запустите Applications → Tails → Configure persistant volume:

Задайте пароль и создайте постоянное хранилище:

После перезагрузки в окне приветствия появится новое поле, в которое можно ввести пароль для включения постоянного хранилища:

Как обычно через меню можно настроить постоянное хранилище (помните, что должен быть пропатчен файл /usr/local/share/perl/*/Tails/Persistence/Setup.pm​ как это показано выше):

Вы можете сохранить два файла (или по крайней мере /usr/local/share/perl/*/Tails/Persistence/Setup.pm​) и заменять их скриптом после каждой перезагрузки (позаботьтесь о владельцах и правах доступа!) чтобы ваша hdd-Tails вела себя в точности как USB-Tails.

Рекомендую сделать копию файла Setup.pm:

А также рекомендую создать файл, в который мы соберём несколько полезных действий:

Копируем в него:

После перезагрузки файл запускать следующим образом:

В результате в системе будет восстановлена пропатченная версия файла Setup.pm, а также запущены процессы Гостевых дополнений VirtualBox — экран станет большим, заработает буфер обмена и прочее.

Для обновления установленной таким образом системы используйте следующую инструкцию.

Как установить и использовать VeraCrypt в Tails

VeraCrypt отсутствует в стандартных репозиториях Tails. Но её всё равно можно установить вручную. Для VeraCrypt есть портативная версия, поэтому её можно сохранить в папку Persistent и она будет доступна вам после каждой перезагрузки Tails.

Кстати, в Tails есть программа для «разблокировки дисков и контейнеров VeraCrypt», но эта программа не умеет создавать контейнеры и, честно говоря, я не знаю, насколько ей можно доверять. По этой причине мы установим полноценную оригинальную VeraCrypt от автора.

Итак, я покажу, как установить портативную версию VeraCrypt в Tails в раздел Persistent. Следовательно, у вас должно быть включено постоянное хранилище. Вы сможете запускать с него VeraCrypt, а также создавать на этом же самом постоянном хранилище контейнеры VeraCrypt. Следовательно, и программа и зашифрованные контейнеры с вашими файлами будут сохраняться и не пропадать после перезагрузок.

Вы можете установить VeraCrypt вручную, ссылки на официальные сайты и инструкция даны в этой статье.

Но установка VeraCrypt даже в обычный Linux может вызвать недопонимание у пользователей, поэтому был написан скрипт (он в той же статье), который помогает скачать и установить последнюю версию.

Но Tails слишком специфичная система и даже тот скрипт не сможет вам помочь. Поэтому для установки VeraCrypt в Tails был написан ещё один скрипт. Он делает следующее:

• определяет последнюю версию релиза VeraCrypt
• скачивает установочные файлы для последней версии выпуска VeraCrypt
• запускает установочные файлы
• после извлечения, помещает исполнимые файлы VeraCrypt в папку Persistent и присваивает им говорящие имена
• это делается для VeraCrypt с графическим и консольным интерфейсом

Итак, следующей командой создайте файл:

Теперь в этот файл скопируйте скрипт:

Теперь запустите скрипт следующей командой:

Вначале будет запущен установщик графической версии. Важно выбрать извлечение файлов, а не установку. Выберите «Extract .tar Package File»:

Примите условия лицензии:

Два раза нажмите ОК:

Сразу будет выполнен переход к установке консольной версии.

Нажмите Enter для показа лицензии:

Для прокрутки лицензии используйте клавишу Пробел. В самом конце впишите «yes»:

Затем нажмите Enter для выхода.

В результате в папке /home/amnesia/Persistent/ будут созданы два файла:

• VeraCrypt-GUI — графическая версия
• VeraCrypt-CONSOLE — консольная версия

Вы можете запускать их двойным кликом, либо из консоли командами:

Для создания контейнеров права root не нужны, но для монтирования контейнеров они могут понадобиться, в этом случае запускайте программу с правами суперпользователя следующим образом:

О том, как использовать VeraCrypt, а также почему я так люблю эту программу, смотрите в статье «Как надёжно зашифровать файлы, диски, флешку (инструкция по VeraCrypt)».

Как смонтировать диск Tails с правами записи

По умолчанию Tails — это Live система, то все сделанные изменения сохраняются в виртуальную файловую систему (фактически, держаться в оперативной памяти), но после перезагрузки компьютера теряются.

Если вам нужно сделать изменения, которые должны остаться насовсем, то для этого:

Данный метод работает только для Tails установленных на USB и только до следующей перезагрузки. То есть в следующую перезагрузку диск опять смонтируется только для чтения, но изменения, сделанные в то время, когда диск был смонтирован для записи, сохраняться. При этом доступ есть только к файлам загрузчика и его настройкам.

Как обновить программы в Tails

Tails это дистрибутив на основе Debian, поэтому там работают команды для обновления пакетов:

Но в связи с тем, что это Live система, то все сделанные изменения будут потеряны после перезагрузки. В связи с особенностями работы постоянного хранилища (сохраняется только то, что предусмотрено разработчиками), то даже если оно активировано, обновлённые программы не будут туда записываться — то есть после перезагрузки системы пакеты будут в исходном состоянии.

Если вы подключили диск с правами на запись, а затем выполнили обновление программ, то, по идее, сделанные изменения должны сохраниться. Но нужно помнить, что последствия могут быть непредсказуемыми: из-за ограничения места на диске, либо из-за отсутствия в репозитории необходимых пакетов (поскольку это репозиторий Live системы), после такого обновления в системе может произойти что угодно: в том числе она может оказаться полностью неработоспособной.

Защита от атак cold boot

Во время использования компьютера, все данные, с которыми вы обращаетесь, временно записываются в оперативную память (RAM): тексты, сохранённые файлы, также пароли и зашифрованные ключи. Чем более недавняя активность, тем больше вероятность того, что данные все еще будут в ОЗУ.

После выключения компьютера данные в оперативной памяти быстро исчезают, но они могут оставаться в ОЗУ после отключения до нескольких минут. Атакующий, имеющий доступ к компьютеру, до полного исчезновения может восстановить важные данные из вашего сеанса.

Это может быть достигнуто использованием техники называемой cold boot attack. Для предотвращения этой атаки, данные в ОЗУ переписываются случайной информацией во время выключения Tails. Это стирает все следы от вашей сессии на этом компьютере.

Более того, атакующий у которого есть физический доступ к компьютеру во время работы Tails, также может восстановить данные из ОЗУ. Чтобы это избежать, изучить различные методы быстрого выключения Tails (об этом в следующем параграфе).

Насколько мы знаем, атаки cold boot не сильно распространены для восстановления данных, но хорошо быть к ним готовыми. Если сразу после выключения не происходит атака cold boot, оперативная память сама по себе опустошается в течение минут, и все данные пропадают.

Выключение Tails

Имеется несколько способов выключить Tails:

• Физическое удаление USB диска или DVD с которого запущен Tails.

Этот метод в редки обстоятельствах ломает файловую систему вашего постоянного хранилища. Используйте этот метод только в крайних обстоятельствах.

Если после использования этого метода вы не можете включить persistence, у вас должно получиться восстановить большинство информации выполним проверку файловой системы постоянного хранилища.

При выключении информация, имеющаяся в ОЗУ, стирается для защиты от атак cold boot.

Доступ к ресурсам локальной сети

Под термином «локальная сеть» здесь имеется ввиду набор компьютеров и устройств, которые можно достичь напрямую с вашего компьютера без выхода в Интернет. Например, ваш домашний роутер, ваш сетевой принтер или интранет вашей компании скорее всего находятся в вашей локальной сети, также называемой LAN (Local Area Network). С технической точки зрения это относится к IP адресам в диапазонах

• 10.0.0.0-10.255.255.255 (10/8)
• 172.16.0.0-172.31.255.255 (172.16/12)
• 192.168.0.0-192.168.255.255 (192.168/16)

Соображения безопасности

Доступ к ресурсам в локальной сети может быть полезен в контексте Tails, например, для обмена документами с кем-то в той же локальной сети без выхода в Интернет.

Но приложение, которое может подключаться как к ресурсам в Интернете (через Tor), так и к ресурсам в локальной сети (без Tor), может нарушить вашу анонимность. Например, если веб-сайт, который вы посещаете анонимно с помощью Tor Browser, может также подключаться к другим веб-страницам, относящимся к вашей локальной сети, то эта информация может показать ваше местоположение. Вот почему Tor Browser не имеет доступа к локальной сети в Tails.

На этой странице описываются некоторые меры безопасности, встроенные в Tails для защиты от таких атак, и объясняется, как получить доступ к некоторым типам ресурсов в локальной сети.

Предупреждение: соединения с локальной сетью не являются анонимными и не проходят через Tor.

Просмотр веб-страниц в локальной сети

Невозможно получить доступ к веб-страницам в локальной сети с помощью Tor Browser. Это не позволяет веб-сайтам в Интернете определять ваше местоположение по содержанию других веб-страниц, которые могут относиться к вашей локальной сети.

Чтобы получить доступ к веб-страницам в локальной сети, используйте вместо этого небезопасный браузер.

Загрузка файлов с веб-страниц в локальной сети

Если вы загружаете файлы с помощью небезопасного браузера, вы не сможете получить к ним доступ за пределами самого небезопасного браузера.

Чтобы загрузить файлы с веб-страниц в локальной сети, вы можете использовать команду curl. Например, чтобы загрузить документ, доступный в локальной сети по адресу http://192.168.1.40/document.pdf, выполните следующую команду:

Загрузка файлов с FTP-сервера в локальной сети

Откройте файловый менеджер Nautilus — это можно сделать открыв любую папку.

Нажмите на Other Locations (Другие места) на боковой панели.

Введите адрес FTP-сервера в текстовом поле «Подключиться к серверу». Например:

Нажмите Connect (Подключиться).

Надёжное удаление файлов и очистка диска

Зачем использовать надёжное (безопасное) удаление?

При удалении файла операционные системы, на самом деле, не удаляют содержимое файла. Этого не происходит даже после очистки корзины или явного удаления файла, например, из командной строки.

Вместо этого они просто удаляют запись о файле из каталога файловой системы, потому что это требует меньше работы и, следовательно, быстрее. Содержимое файла — фактические данные — остаются на носителе. Данные будут оставаться там до тех пор, пока операционная система не использует пространство для новых данных.

Аналогично, переформатирование, изменение разделов или перезапись образа системы не всегда гарантируют запись в каждую область диска, хотя все это приведёт к тому, что для большинства программного обеспечения диск будет выглядеть пустым или, в случае перезаписи образа, пустым, за исключением файлов, представленных на образе.

Наконец, даже когда носитель данных перезаписан, физические свойства носителя могут позволить восстановить предыдущее содержимое. В большинстве случаев, однако, это восстановление невозможно путём простого считывая данные с запоминающего устройства обычным способом, а требует использования лабораторных методов, таких как разборка устройства и прямой доступ/чтение из его компонентов.

Предупреждение о флешках и твердотельных дисках

Описанные ниже методы не будут работать должным образом на USB-накопителях и твердотельных дисках.

• Существующие методы надёжного удаления отдельных файлов, ориентированные на жёсткий диск, неэффективны.
• Перезапись всего диска в два раза обычно, но не всегда, достаточна для гарантированной очистки диска.

Примечание: к сожалению, в настоящее время Tails не позволяет выполнять эту задачу с помощью графических инструментов.

Гарантированное удаление файлов

В Tails вы можете безопасно удалять файлы благодаря расширению файлового браузера.

1. Откройте браузер файлов, для этого в меню Places (Места) откройте любую папку или кликните на рабочем столе по значку Home («Домашняя папка»).
2. Перейдите к папке, содержащей файлы, которые вы хотите удалить.
3. С помощью мыши выберите файлы, которые вы хотите удалить.
4. Щёлкните правой кнопкой мыши по файлам и выберите Wipe.

В русской версии этот пункт называется Затереть:

1. Подтвердите.
2. Начнётся удаление. Это может длиться от нескольких секунд до нескольких минут, в зависимости от размера файлов. Потерпите…

Примечание: безопасное удаление файлов не удаляет потенциальные резервные копии файла (например, LibreOffice создаёт резервные копии, которые позволяют вам восстановить работу в случае, если LibreOffice перестаёт отвечать).

Очистка Корзины

Прежде чем приступить к безопасной очистке свободного места на диске, обязательно очистите корзину.

1. Откройте браузер файлов, для этого в меню Places (Места) откройте любую папку или кликните на рабочем столе по значку Home («Домашняя папка»).
2. Нажмите на диск, на котором вы хотите очистить корзину в левой панели, чтобы перейти к корню этого диска.
3. В строке заголовка выберите → Show hidden files (Показывать скрытые файлы), чтобы показать скрытые файлы.
4. Удалите папку .Trash-1000 или аналогичную.

Примечание: примените эту технику к папке Persistent, чтобы очистить корзину постоянного тома.

Надёжная очистка доступного дискового пространства

Чтобы очистить содержимое всех файлов, которые ранее были скрыты, но не были надёжно удалены с диска, также можно безопасно очистить все свободное место на диске.

Предупреждение: этот метод не работает должным образом на твердотельных дисках или USB-накопителях.

Диск или папка могут содержать или не содержать другие файлы. Эти файлы не будут удалены во время операции.

1. Откройте браузер файлов, для этого в меню Places (Места) откройте любую папку или кликните на рабочем столе по значку Home («Домашняя папка»).
2. Нажмите на диск, который вы хотите очистить в левой панели, чтобы перейти к корню этого диска.
3. Щёлкните правой кнопкой мыши пустое место на правой панели и выберите Wipe available diskspace (Очистить доступное дисковое пространство).

1. Подтвердить.
2. Очистка начнётся. Это может длиться от нескольких минут до нескольких часов, в зависимости от размера доступного дискового пространства. Потерпите…

Обратите внимание, что в папке создаётся файл с именем, похожим на tmp.7JwHAyBvA9. Он сделан как можно большим, чтобы использовать все доступное дисковое пространство, а затем безопасно удаляется.

Полное удаление Tails и очистка флешки в Windows

В этом параграфе показано, как удалить Tails с USB-накопителя чтобы его можно было использовать для чего-то другого.

Содержимое USB-накопителя будет утеряно в ходе этой операции, но злоумышленник, используя техники восстановления данных, все равно сможет сказать, что на этом USB-накопителе был установлен Tails если впоследствии вы не очистите все свободное место на диске.

Примечание: следующие инструкции не работают в Windows XP. В версии Diskpart для Windows XP нет списка сменных дисков.

Использование Diskpart

Внимание: вы можете перезаписать любой жёсткий диск на компьютере. Если на каком-то этапе вы не знаете номер диска, остановите работу.

1. Убедитесь, что USB-накопитель, который вы хотите сбросить, отключён.
2. Нажмите кнопку «Пуск» и выберите «Все программы» → «Стандартные» → «Командная строка», чтобы открыть командную строку,
3. Выполните команду

чтобы запустить Diskpart.

1. Выполните команду

чтобы получить информацию о каждом диске компьютера.

1. Подключите USB-накопитель, который вы хотите сбросить. Снова запустите команду

В списке появится новый диск, соответствующий этой флешке.

Убедитесь, что его размер соответствует размеру USB-накопителя, который вы хотите сбросить. Запишите номер диска, назначенный Diskpart для флешки.

1. Чтобы выбрать USB-накопитель, выполните следующую команду:

Замените номер номером диска USB-накопителя, который вы хотите сбросить.

1. Выполните команду

чтобы удалить таблицу разделов с USB-накопителя.

1. Выполните команду

чтобы создать новую таблицу разделов на USB-накопителе.

1. Выполните команду

для создания нового первичного раздела на USB-накопителе.

Полное удаление Tails и очистка флешки в Linux

В этом параграфе показано, как в Linux удалить Tails с USB-накопителя чтобы его можно было использовать для чего-то другого.

Содержимое USB-накопителя будет утеряно в ходе этой операции, но злоумышленник все равно сможет сказать, что на этом USB-накопителе был установлен Tails, используя методы восстановления данных, если впоследствии вы не выполните надёжную очистку всего свободного места на диске.

Использование GNOME Disks (программы Диски)

Внимание: вы можете перезаписать любой жёсткий диск на компьютере. Если в какой-то момент вы не уверены, какое устройство выбрать, прекратите работу.

1. Убедитесь, что USB-накопитель, который вы хотите сбросить, отключён.
2. Выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски) для запуска программы GNOME Disks.
   Список всех устройств хранения данных на компьютере отображается в левой панели окна.
3. Подключите USB-накопитель, который вы хотите сбросить.
   Новое устройство появится в списке устройств хранения. Это новое устройство соответствует USB-накопителю, который вы подключили. Нажмите на него.
4. На правой панели окна убедитесь, что устройство соответствует USB-накопителю, который вы хотите сбросить, его марке, размеру хранилища и т. д.
5. Чтобы сбросить USB-накопитель, нажмите кнопку в строке заголовка и выберите Format Disk… (Форматировать диск…).
6. В диалоговом окне Format Disk (Форматировать диск):

• Если вы хотите безопасно удалить все данные, выберите Overwrite existing data with zeroes (Перезаписать существующие данные нулями) в раскрывающемся списке Erase (Стереть).
• В раскрывающемся списке Partitioning (Создание разделов) выберите Compatible with all systems and devices (MBR/DOS) (Совместимо со всеми системами и устройствами» (MBR/DOS)).

Затем нажмите кнопку Format… (Форматировать…).

1. В диалоговом окне подтверждения нажмите кнопку Format (Форматировать) для подтверждения.
2. Чтобы убедиться, что все изменения записаны на USB-накопитель, нажмите кнопку в строке заголовка.

Сброс USB-флешки в самой Tails

Если Tails — ваша единственная система Linux, вы можете сбросить USB-накопитель Tails непосредственно с USB-накопителя во время работы Tails.

1. При запуске Tails добавьте опцию загрузки

в меню Boot Loader. Для получения подробных инструкций см. Документацию по использованию меню загрузчика.

1. Если Tails запускается как обычно, следуйте инструкциям по сбросу USB-накопителя с помощью дисков GNOME.
   Если система не запускается, это означает, что на компьютере недостаточно оперативной памяти (ОЗУ) для этого режима работы. Попытайтесь выполнить сброс с другого компьютера или найдите другую систему Linux, например другую USB-флешку Tails.

Подмена MAC адреса (спуфинг MAC)

Что такое MAC адрес?

Каждый сетевой интерфейс — проводной или Wi-Fi — имеет MAC адрес, который является серийным номером, установленным каждого интерфейса на заводе его производителем. MAC адреса используются в локальной сети для идентификации каждого сетевого интерфейса при передаче данных.

В то время как IP адрес определяет, где вы находитесь в Internet, MAC адрес определяет, какое устройство вы используете в локальной сети. MAC адреса полезны только в локальной сети и не отправляются через Интернет.

Такой уникальный идентификатор, используемый в локальной сети, может навредить вашей конфиденциальности. Вот два примера:

1. Если ваш ноутбук подключается к нескольким Wi-Fi сетям, во всех этих локальных сетях используется один и тот же MAC адрес вашего Wi-Fi интерфейса. Кто-то наблюдающий за этими сетями может распознать ваш MAC адрес и проследить ваше географическое расположение.
2. Другие клиенты локальной сети могут видеть, что кто-то использует Tails, они могут связать пользователя Tails с вашим MAC адресом.

Что означает спуфинг (подмена) MAC адреса?

Tails может временно изменить MAC адрес ваших сетевых интерфейсов на случайные значения на время рабочей сессии. Это и называется «спуфинг MAC адреса». Спуфинг MAC адреса в Tails прячет серийный номер вашего сетевого интерфейса, для стороннего наблюдателя это выглядит так: к сети подключается новое устройство, которое он никогда раньше не видел (и никогда больше не увидит).

Спуфинг MAC адреса включен по умолчанию в Tails поскольку обычно это несёт только выгоды. Но в некоторых ситуациях это также может привести проблемам подключения или сделать вашу сетевую активность выглядящей подозрительно. Эта документация объясняет, использовать ли MAC спуфинг или нет исходя из вашей ситуации.

Когда оставлять подмену MAC адреса включеной

По умолчанию спуфинг MAC адреса включён для всех сетевых интерфейсов. Это обычно полезно, даже если вы не собираетесь прятать ваше географическое расположение.

Вот несколько примеров:

• Используя ваш компьютер в публичных сетях без регистрации, например, бесплатные Wi-Fi сервисы в ресторанах, где вам не нужно регистрировать свою идентичность. В этом случае подмена MAC адреса прячет факт, что ваш компьютер подключался к этой сети.
• Используя ваш компьютер в сетях, которые вы используете часто, например, у друзей, на работе, в университете и так далее. У вас уже есть тесные отношения с этим местом, но подмена MAC-адреса скрывает тот факт, что ваш компьютер подключён к этой сети в определённое время. Это также скрывает тот факт, что вы используете Tails в этой сети.

Когда отключить подмену MAC-адреса

В некоторых ситуациях подмена MAC-адреса не несёт выгоды, но вдобавок может оказаться проблематичной. В таких случаях вы можете отключить подделку MAC-адресов.

Обратите внимание, что даже если спуфинг MAC отключён, ваша анонимность в Интернете сохраняется:

• Злоумышленник в локальной сети может видеть только зашифрованные соединения с сетью Tor.
• Ваш MAC-адрес не отправляется через Интернет на веб-сайты, которые вы посещаете.

Однако отключение подмены MAC-адресов позволяет локальной сети снова отслеживать ваше географическое местоположение. Если это проблематично, рассмотрите возможность использования другого сетевого устройства или перехода в другую сеть.

Вот несколько примеров:

• Использование общедоступного компьютера, например, в интернет-кафе или библиотеке. Этот компьютер регулярно используется в этой локальной сети, и его MAC-адрес не связан с вашей идентификационной информацией. В этом случае подмена MAC-адреса может сделать невозможным подключение. Администраторам сети может даже показаться подозрительным, что в этой сети используется неизвестный MAC-адрес.
• На некоторых сетевых интерфейсах подмена MAC-адреса невозможна из-за ограничений в оборудовании или в Linux. Tails временно отключает такие сетевые интерфейсы. Вы можете отключить подделку MAC-адресов, чтобы иметь возможность их использовать.
• Некоторые сети разрешают соединения только из списка авторизованных MAC-адресов. В этом случае подмена MAC-адреса делает невозможным подключение к таким сетям. Если в прошлом вам был предоставлен доступ к такой сети, то подделка MAC-адресов может помешать вам подключиться.
• Используя свой собственный компьютер дома. Ваша личность и MAC-адрес вашего компьютера уже связаны с этой локальной сетью, поэтому подмена MAC-адреса, вероятно, бесполезна. Но если доступ к вашей локальной сети ограничен на основе MAC-адресов, возможно, будет невозможно установить соединение с поддельным MAC-адресом.

Отключение подделки MAC-адреса

Вы можете отключить подделку MAC-адресов в Tails Greeter:

1. Когда появится Tails Greeter, нажмите кнопку .

1. Когда появится диалоговое окно Additional Settings (Дополнительные настройки), нажмите MAC Address Spoofing (Подмена MAC-адреса).
2. Выберите опцию Don't spoof MAC addresses (Не подделывать MAC-адреса).

Другие соображения

• Другие средства наблюдения могут выявить ваше географическое местоположение: видеонаблюдение, мобильный телефон, транзакции по кредитным картам, социальные контакты и т. д.
• При использовании Wi-Fi любой, находящийся в пределах досягаемости вашего интерфейса Wi-Fi, может видеть ваш MAC-адрес, даже не будучи подключённым к той же точке доступа Wi-Fi.
• При использовании подключения мобильного телефона, такого как 3G или GSM, идентификатор вашей SIM-карты (IMSI) и серийный номер вашего телефона (IMEI) всегда сообщаются оператору мобильной связи.
• Некоторые порталы могут отправлять ваш MAC-адрес через Интернет на свои серверы аутентификации. Это не должно повлиять на ваше решение относительно подмены MAC-адреса. Если вы решили использовать поддельный MAC адрес, то пока он не изменится, ваш Интернет-провайдер будет узнавать ваш компьютер и разрешать подключения.

Опции запуска системы

При запуске Tails вы можете указать параметры запуска, чтобы повлиять на базовую функциональность дистрибутива. Существует два способа указания параметров запуска:

Использование меню Boot Loader

Меню Boot Loader — это первый экран, который появляется при запуске Tails.

Troubleshooting Mode (Режим устранения неполадок) отключает некоторые функции ядра Linux и может работать лучше на некоторых компьютерах. Вы можете попробовать эту опцию, если вы думаете, что у вас возникают ошибки, связанные с совместимостью оборудования при запуске Tails.

1. Чтобы добавить опцию загрузки, нажмите Tab, когда появится меню Boot Loader. Список параметров загрузки отображается в нижней части экрана.

1. Нажмите пробел и введите параметр загрузки, который вы хотите добавить.
2. Если вы хотите добавить более одного варианта загрузки, введите их один за другим и разделите их пробелом.
3. Затем нажмите Enter, чтобы запустить Tails.

Использование Tails Greeter

Tails Greeter появляется после меню загрузчика, но до рабочего стола GNOME:

Вы можете активировать вспомогательные технологии, такие как программа чтения с экрана или большой текст, из меню универсального доступа ( который выглядит как человек) в верхней панели.

Чтобы запустить Tails без опций, нажмите кнопку Start Tails.

Язык и регион

Вы можете настроить Tails в зависимости от вашего языка и местоположения из Tails Greeter.

Раздел языка и региона Tails Greeter

• Опция Language (Язык) позволяет изменить основной язык интерфейса.

Текст, который ещё не переведён, появится на английском языке.

• Параметр Keyboard Layout (Раскладка клавиатуры) позволяет изменить раскладку клавиатуры. Например, чтобы переключиться на клавиатуру AZERTY, которая распространена во Франции.

Вы по-прежнему сможете переключаться между различными раскладками клавиатуры на рабочем столе после запуска Tails.

Меню в правом верхнем углу рабочего стола для переключения между различными раскладками клавиатуры:

• Опция Formats (Форматы) позволяет изменять формат даты и времени, первый день недели, единицы измерения и размер бумаги по умолчанию в соответствии со стандартами, используемыми в стране.

Например, США и Великобритания, две англоязычные страны, имеют разные стандарты:

США	Объединенное Королевство
Дата и время	3/17/2017 3:56 PM	17/03/2017 15:56
Первый день недели	Воскресенье	Понедельник
Система мер	Имперская	Метричная
Размер бумаги	Письмо	A4

С помощью этой опции вы также можете отображать календарь на другом языке, отличным от основного. Например, для отображения американского календаря с неделями, начинающимися в воскресенье, когда основным языком является русский.

Зашифрованное постоянное хранилище

Если на USB-накопителе обнаружено зашифрованное постоянное хранилище, в разделе Tails Greeter появится раздел Encrypted persistence storage «Зашифрованное постоянное хранилище»:

Дополнительные настройки

Tails настроен с осторожностью, чтобы быть максимально безопасным по умолчанию. Но, в зависимости от вашей ситуации, вы можете изменить одну из следующих настроек в Tails Greeter.

Дополнительные настройки Tails Greeter

• Установка администратора, чтобы иметь возможность выполнять административные задачи, такие как установка дополнительного программного обеспечения или доступ к внутренним жёстким дискам компьютера.

Смотрите нашу документацию по паролю администратора.

• Отключите спуфинг MAC-адреса, чтобы предотвратить проблемы с сетевыми интерфейсами.

Смотрите нашу документацию по подмене MAC-адресов.

• Измените конфигурацию сети на:
• Подключайтесь напрямую к сети Tor (по умолчанию).
• Настройте мост Tor или локальный прокси:
• Если вы хотите использовать мосты Tor, потому что ваше интернет-соединение подвергается цензуре, или вы хотите скрыть тот факт, что вы используете Tor.
• Если вам нужно использовать локальный прокси для доступа в Интернет.
• После запуска Tails и подключения к сети, помощник проведёт вас через настройку Tor.
• Отключите все сети, если вы хотите работать полностью автономно с дополнительной безопасностью.

Горячие клавиши

Alt+L	Язык
Alt+K	Раскладка клавиатуры
Alt+F	Форматы
Alt+P	Зашифрованный постоянный раздел
Alt+A	Дополнительные настройки
Ctrl+Shift+A	Пароль администрирования
Ctrl+Shift+M	Спуфинг MAC адреса
Ctrl+Shift+N	Настройка сети
Alt+S	Запустить Tails

Включение беспроводных устройств

При запуске Tails включаются устройства Wi-Fi, WWAN и WiMAX.

Но все другие виды беспроводных устройств, таких как Bluetooth, GPS и FM-устройства, по умолчанию отключены. Если вы хотите использовать такое устройство, вам нужно сначала включить его.

Активация беспроводного устройства

Эта техника использует командную строку.

1. При запуске Tails установите пароль администратора.
2. Чтобы узнать индекс беспроводного устройства, которое вы хотите включить, откройте терминал с правами root и выполните следующую команду:

Например, команда может вернуть следующее:

Индекс устройства — это число, которое появляется в начале трёх строк, описывающих каждое устройство. В этом примере индекс устройства Bluetooth равен 1, а индекс устройства GPS — 2. Вероятно, у вас могут быть другие значения.

1. Чтобы включить беспроводное устройство, выполните следующую команду в терминале root, заменив [индекс] на индекс, найденный на шаге 2:

Пример команды для разблокировки GPS устройства (у вас может быть другая цифра):

1. Чтобы убедиться, что беспроводное устройство включено, снова выполните следующую команду в root терминале:

Эти выходные данные должны быть очень похожи на выходные на шаге 2, но устройство, включённое на шаге 3, больше не должно блокироваться программным способом

Например, команда может вернуть следующее:

Просмотр статуса и цепей Tor

Значок статуса Tor

Текущий статус Tor отображается в виде луковичной иконки в области уведомлений:

Если вы не подключены к Tor, по умолчанию все подключения к Интернету блокируются.

Луковые цепи

Onion Circuits (Луковые цепи) отображает информацию о текущих цепях Tor и соединениях.

Чтобы открыть Onion Circuits, щёлкните значок состояния Tor и выберите Open Onion Circuits (Открыть схемы луковицы).

Цепи, установленные Tor, перечислены на левой панели. Схема Tor состоит из трёх реле:

• Первое реле или охранник. Если вы настроили мост Tor, ваш мост будет первым реле.
• Второе реле или средний узел.
• Выходной узел.

При подключении к целевому серверу, например, при посещении веб-сайта, это соединение появляется в списке под используемой им схемой.

В приведённом выше примере соединение с check.torproject.org проходит через реле Unnamed, betGamersTorRelay и выходной узел hessel0.

Если вы щёлкнете по цепи, на правой панели появятся технические сведения об узле.

Ваши данные не будут сохранены без явного запроса

Tails не оставляет следов на компьютере, который вы используете, если вы не попросите об этом явно. Важно понимать некоторые последствия этого.

Запуск компьютера на носителе, содержащем Tails, ничего не меняет в операционной системе, фактически установленной на вашем жёстком диске: в качестве live системы Tails не нужно использовать ваш жёсткий диск в течение всего сеанса. Если ваш жёсткий диск отсутствует или повреждён, это не помешает вашему компьютеру запустить Tails. Следовательно, для возврата в вашу обычную операционную систему достаточно извлечь диск DVD или USB-диск, содержащий файлы Tails.

Вы должны сохранить все, что хотите сохранить для последующего доступа, на отдельном устройстве (другой USB-накопитель, другой DVD-диск или любое другое устройство по вашему выбору) или использовать функцию постоянного хранилища.

Доступ к внутренним жёстким дискам

Доступ к внутренним дискам компьютера имеет последствия для безопасности:

• Вы можете оставить следы своей деятельности Tails на жёстких дисках.
• Если Tails скомпрометирован, вредоносное ПО может установить себя в вашей обычной операционной системе.
• Если приложение в Tails взломано, оно может получить доступ к личным данным на ваших дисках и использовать их для деанонимизации вас.

Для доступа к внутренним жёстким дискам:

1. При запуске Tails установите пароль администратора.
2. Откройте файловый менеджер Nautilus.
3. Нажмите на жёсткий диск по вашему выбору в левой панели.

Если ваша обычная операционная система находится в режиме гибернации, доступ к ней может привести к повреждению вашей файловой системы. Доступ к вашему диску возможен только в том случае, если ваша система была выключена правильно.

Если на ваших дисках установлена система GNU/Linux, вы можете получить доступ только к файлам, принадлежащим первому пользователю (uid=1000) в этой системе.

Во всех случаях могут возникнуть проблемы с разрешениями. Чтобы обойти ограничения разрешений, вы можете запустить Nautilus с правами администратора.

Как в Tails настроить программу для выхода в Интернет. Настройки Интернет-подключения для утилит командной строки

Все программы Tails настроены для работы через Tor. Если вы попытаетесь выйти в сеть, то если эта программа не настроена делать подключения через Tor, то ей будет запрещён выход в Интернет.

Настраивать использование сети другими приложениями нужно индивидуально для каждой программы.

В качестве настроек нужно выбирать протокол SOCKS (либо SOCKS5), в качестве имени хоста localhost, и в качестве порта 9050.

Аналогично с утилитами командной строки, вы не сможете скачать файл с помощью curl или wget если не будете использовать Tor. Для этого у них есть опция —proxy, поэтому для скачивания файлов программы нужно использовать примерно так:

Вместо https://hackware.ru укажите другое имя хоста или файл для загрузки.

Кстати, такие привычные программы вроде ping также не будут работать — доступ в сеть будет закрыт.

Будет возникать ошибка Destination Port Unreachable:

Как использовать sqlmap в Tails

Поскольку сеть Tor уже настроена, то достаточно добавлять к вашей команде запуска sqlmap флаг —tor. Чтобы убедиться, что всё работает как надо, можно запустить команду с флагом —check-tor. Например:

Строка «Tor is properly being used» говорит о том, что sqlmap посылает свои запросы к целевому сайту через сеть Tor и что они до него доходят.

Использование WPScan в Tails

Сканер WordPress сайтов WPScan имеет опцию —proxy после которой достаточно указать данные сети Tor. Пример команды:

Использование Nmap в Tails

Те сырые запросы, которые Nmap использует для своих сканирований, являются немаршрутизируемыми через сеть Tor. Говоря простым языком, невозможно использовать Nmap в Tails обычным образом. Тем не менее, это возможно при поддержке программы ProxyChains. Как это сделать описано в статье «Анонимные сканирования с Nmap, sqlmap и WPScan через Tor».

Почему в Tails не сохраняется история введённых команд. Как сделать так, чтобы сохранялась история последних команд Bash

История команд, которые вы вводили и выполняли ранее, весьма удобна, поскольку нажимая ↑ (курсорную стрелку вверх) можно сократить время на выполнение однотипной операции. Также если вы ошиблись, можно вернуться к предыдущей команде и подправить её — не нужно заново набирать длинную команду.

Список последних команд храниться в файле .bash_history, который размещён в домашней папке пользователя. В обычных дистрибутивах Linux этот файл сохраняется после перезагрузки и, например, на следующий день вы можете открыть консоль и найти команду, которую вы вводили вчера и выполнить её ещё раз, без необходимости печатать много символов и вспоминать опции. В Tails это не работает — после перезагрузки файл .bash_history обнуляется и в нём доступны команды только за текущую сессию.

Далее будет показано, как сделать так, чтобы файл .bash_history сохранялся после перезагрузки, то есть чтобы сохранялась история команд. Но вы сами должны оценить, насколько это может повлиять на безопасность: например, если злоумышленники смогли завладеть вашей системой и подобрать пароль от постоянного хранилища, то они смогут увидеть, какие команды вы вводили. Если вы этого не хотите, то не включайте сохранение команд — оставьте настройки по умолчанию.

Итак, если вы всё-таки решились, необходимо сделать три действия:

2. В настройках постоянного хранилища включить поддержку Дотфайлов

3. Создать в папке /lib/live/mount/persistence/TailsData_unlocked/dotfiles/ файл .bash_history. Этот файл можно просто скопировать из домашней папки. Вы можете это сделать в файловом менеджере или прямо в командной строке:

Команды, введённые в текущую сессию, сохранены не будут. Эта функция начнёт работать после перезагрузки компьютера и будет активной только при подключении постоянного хранилища.

Как создать и посмотреть публичный и приватный ключи для шифрования сообщений и файлов

Для создания ключей запустите команду:

После перезагрузки Tails эти ключи будут безвозвратно потеряны. Чтобы ключи и настройки GnuPG сохранялись после перезагрузки компьютера, необходимо:

1. активировать постоянное хранилище
2. в настройках постоянного хранилища включить функцию GnuPG

Помните, что сделанные настройки персонального хранилища, в том числе активация GnuPG, начнут действовать при следующей загрузке компьютера и активации постоянного хранилища. Если сразу после включения GnuPG сгенерировать ключи, то они будут потеряны — необходимо перезагрузить компьютер.

Чтобы вывести список уже имеющихся публичных ключей в вашем key ring:

Чтобы вывести список секретных ключей в вашем key ring:

Чтобы показать публичный ключ пользователя Alexey Miloserdov:

Для экспорта публичного ключа пользователя Alexey Miloserdov в файл public.key:

Эта команда создаст файл с именем public.key с ascii представлением публичного ключа пользователя Alexey Miloserdov.

Для вывода публичного ключа пользователя Alexey Miloserdov в терминал:

Для соохранения публичного ключа пользователя Alexey Miloserdov в файл с именем private.key:

Эта команда создаст файл с именем private.key с ascii представлением приватного ключа пользователя Alexey Miloserdov.

Создание и использование томов LUKS с шифрованием

Введение в LUKS

Примечание: Самый простой способ держать документы зашифрованными в Tails — это использовать зашифрованное постоянное хранилище.

Вы можете создавать другие зашифрованные тома, используя LUKS для шифрования, например, другой USB-накопитель или внешний жёсткий диск. LUKS — это стандарт шифрования дисков в Linux.

• GNOME Disks позволяет создавать зашифрованные тома.
• Рабочий стол GNOME позволяет открывать зашифрованные тома.

Сравнение между LUKS и VeraCrypt

Вы также можете открыть зашифрованные тома VeraCrypt в Tails. VeraCrypt — это инструмент шифрования диска для Windows, macOS и Linux. Смотрите документацию о VeraCrypt далее.

Мы рекомендуем вам использовать:

• VeraCrypt для обмена зашифрованными файлами в разных операционных системах.
• LUKS для шифрования файлов для Tails и Linux.

1. Смотрите разницу между файловыми контейнерами и разделами.
2. Можно установить VeraCrypt в Tails и полноценно работать с томами VeraCrypt, в том числе создавать их. Смотрите раздел документации Как установить и использовать VeraCrypt в Tails.
3. Возможное отрицание: в некоторых случаях (например, со скрытыми томами VeraCrypt) злоумышленник не может технически доказать существование зашифрованного тома.

Как создать зашифрованный раздел

Чтобы открыть GNOME Disks выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

Определите ваше внешнее устройство хранения

Disks перечисляет все текущие устройства хранения в левой части экрана.

1. Подключите внешнее запоминающее устройство, которое вы хотите использовать.
2. Новое устройство появится в списке устройств хранения. Нажмите на него:

1. Убедитесь, что описание устройства в правой части экрана соответствует вашему устройству: его марке, размеру и т. д.

1. Нажмите кнопку в строке заголовка и выберите Format Disk… (Форматировать диск), чтобы удалить все существующие разделы на устройстве.
2. В диалоговом окне Format Disk (Форматировать диск):

• Если вы хотите безопасно удалить все данные, выберите Overwrite existing data with zeroes (Перезаписать существующие данные нулями) в раскрывающемся списке Erase (Очистка).
• Выберите Compatible with all systems and devices (MBR/DOS) (Совместимо со всеми системами и устройствами (MBR/DOS)) в раскрывающемся списке Partitioning (Разметка).

Затем нажмите Format… (Формат…).

1. В диалоговом окне подтверждения убедитесь, что это правильное устройство. Нажмите Format (Формат) для подтверждения.

Создание нового зашифрованного раздела

Теперь схема разделов в середине экрана показывает пустое устройство:

Свободное пространство 8,1 ГБ:

1. Нажмите на кнопку , чтобы создать новый раздел на устройстве.
2. В диалоговом окне Create Partition (Создать раздел):

• Partition Size (Размер раздела): вы можете создать раздел на всем устройстве или только на его части. В этом примере мы создаём раздел 4,0 ГБ на устройстве 8,1 ГБ.
• Type (Тип): из выпадающего списка выберите Encrypted, compatible with Linux systems (LUKS + Ext4) (Зашифрованный, совместимый с системами Linux (LUKS + Ext4)).
• Name (Имя): вы можете установить имя для раздела. Это имя остаётся невидимым до тех пор, пока раздел не открыт, но может помочь вам определить его во время использования.
• Passphrase (Пароль): введите кодовую фразу для зашифрованного раздела и повторите её для подтверждения.

Затем нажмите Create (Создать).

Примечание: Если при создании нового раздела возникает ошибка, попробуйте отключить устройство, перезапустить диски GNOME и повторить все шаги с самого начала.

1. Создание раздела занимает от нескольких секунд до нескольких минут. После этого новый зашифрованный раздел появится средитомов на устройстве:

1. Если вы хотите создать ещё один раздел в свободном пространстве на устройстве, щёлкните свободное место, а затем снова нажмите кнопку .

Использование нового раздела

Вы можете открыть этот новый раздел на боковой панели браузера файлов с именем, которое вы ему дали.

После открытия раздела с помощью файлового браузера вы также можете получить к нему доступ из меню Places (Места).

Как отрыть существующий зашифрованный раздел

При подключении устройства, содержащего зашифрованный раздел, Tails не открывает раздел автоматически, но вы можете сделать это из файлового браузера.

1. Выберите Places (Места) → Computer (Компьютер), чтобы открыть браузер файлов.
2. Нажмите на зашифрованный раздел, который вы хотите открыть на боковой панели.

1. Введите парольную фразу раздела в строке пароля и нажмите Unlock (Разблокировать).
2. После открытия раздела с помощью файлового браузера вы также можете получить к нему доступ из меню Places (Места).
3. Чтобы закрыть раздел после его использования, нажмите кнопку рядом с разделом на боковой панели файлового браузера.

Хранение конфиденциальных документов

Такие зашифрованные тома не скрыты. Злоумышленник, владеющий устройством, может знать, что на нем есть зашифрованный том. Примите во внимание, что вас могут заставить выдать его пароль или узнать его обманом.

Открытие зашифрованных томов из других операционных систем

Можно открывать такие зашифрованные тома из других операционных систем. Но это может поставить под угрозу безопасность, обеспечиваемую Tails.

Например, миниатюры изображений могут быть созданы и сохранены другой операционной системой. Или содержимое файлов может быть проиндексировано другой операционной системой.

Как изменить пароль зашифрованного раздела

Чтобы открыть GNOME Disks выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

1. Подключите внешнее устройство хранения, содержащее зашифрованный раздел, для которого вы хотите изменить фразу-пароль.
2. Устройство появится в списке устройств хранения. Нажмите на него:

1. Убедитесь, что описание устройства в правой части экрана соответствует вашему устройству: его марке, размеру и т. д.
2. Нажмите на раздел с в правом нижнем углу.
3. Нажмите кнопку и выберите Change Passphrase…(Изменить пароль…).

Использование зашифрованных томов VeraCrypt

Введение в VeraCrypt

VeraCrypt — это инструмент шифрования диска, который работает в Windows, macOS и Linux.

• Как надёжно зашифровать файлы, диски, флешку (инструкция по VeraCrypt)
• Как установить VeraCrypt в Linux
• Как установить и использовать VeraCrypt в Tails

Сравнение между LUKS и VeraCrypt

Вы также можете создавать и открывать зашифрованные тома LUKS в Tails. LUKS — это стандарт шифрования дисков в Linux. Смотрите нашу документацию по LUKS.

Мы рекомендуем вам использовать:

• VeraCrypt для обмена зашифрованными файлами в разных операционных системах.
• LUKS для шифрования файлов для Tails и Linux.

1. Смотрите разницу между файловыми контейнерами и разделами.
2. Можно установить VeraCrypt в Tails и полноценно работать с томами VeraCrypt, в том числе создавать их. Смотрите раздел документации Как установить и использовать VeraCrypt в Tails.
3. Возможное отрицание: в некоторых случаях (например, со скрытыми томами VeraCrypt) злоумышленник не может технически доказать существование зашифрованного тома.

Разница между файловыми контейнерами и разделами

С VeraCrypt вы можете хранить свои файлы в зашифрованном виде в двух разных видах томов:

Контейнер файлов — это один большой файл, внутри которого вы можете хранить несколько зашифрованных файлов, немного похоже на ZIP-файл.

РАЗДЕЛЫ ИЛИ ДИСКИ

Обычно диски (флешки и жёсткие диски) имеют один раздел на весь диск. Таким образом, вы можете зашифровать целую флешку, например. Но диски также можно разбить на несколько разделов.

Параметры открытия контейнера VeraCrypt в Tails

Чтобы открыть том VeraCrypt, вам могут потребоваться следующие параметры в зависимости от параметров, выбранных при создании тома:

• Passphrase (Пароль)
• Keyfiles (Файлы ключей): вместо или в дополнение к парольной фразе том VeraCrypt может быть разблокирован с помощью определённого файла или набора файлов.
• PIM: число, которое необходимо, если оно было указано при создании тома VeraCrypt.
  Примечание: Из-за текущих ограничений в Debian, использование PIM в Tails не работает. Это станет возможным в Tails 4.0 (конец 2019 года).
• Hidden volume (Скрытый том): если вы хотите разблокировать скрытый том внутри тома VeraCrypt.
• System volume (Системный том): если вы хотите разблокировать зашифрованный системный раздел Windows.

Использование файлового контейнера

Разблокировка файлового контейнера без ключевых файлов

1. Выберите Applications (Приложения) → Utilities (Утилиты) → Unlock VeraCrypt Volumes (Разблокировать тома VeraCrypt).

1. Нажмите кнопку Add (Добавить) и выберите файл контейнера, который вы хотите разблокировать.
2. Введите параметры, чтобы разблокировать том. Для получения дополнительной информации см. раздел «Параметры разблокировки» выше.
   Нажмите Unlock (Разблокировать).
3. Unlock VeraCrypt Volumes разблокирует ваш том.
   Если разблокировка тома не удалась (например, если вы набрали неверный пароль), нажмите Unlock (Разблокировать), чтобы повторить попытку разблокировки.
4. Нажмите Open (Открыть), чтобы открыть том в браузере файлов.

Как разблокировать файловый контейнер VeraCrypt с помощью файлов ключей

1. Выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски) чтобы запустить утилиту Диски.
2. Выберите Disks (Диски) → Attach Disk Image… (Подключить образ диска…) в верхней панели навигации.

1. В диалоговом окне Select Disk Image to Attach (Выбрать образ диска для подключения):

• Снимите флажок Set up read-only loop device (Настроить петлевое устройство только для чтения) в нижнем левом углу, если вы хотите изменить содержимое файлового контейнера.

• Выберите All Files (Все файлы) в фильтре файлов в правом нижнем углу.

• Перейдите к папке, содержащей контейнер файла, который вы хотите открыть.
• Выберите контейнер файла и нажмите Attach (Подсоединить).

1. На левой панели выберите новое Loop Device, соответствующее вашему файловому контейнеру.

На правой панели должно быть надпись Encrypted? (Зашифровано?).

1. Нажмите кнопку в правой панели.
2. Введите параметры, чтобы разблокировать том. Для получения дополнительной информации см. выше раздел «Параметры разблокировки».
   Нажмите Unlock (Разблокировать).
3. Выберите файловую систему, которая отображается под разблокированным томом. Это, вероятно, FAT или NTFS.
4. Нажмите кнопку , чтобы подключить том.
5. Нажмите на ссылку /media/amnesia/ в правой панели, чтобы открыть том в браузере файлов.

Как закрыть файловый контейнер

• На боковой панели браузера файлов нажать кнопку на метке тома, соответствующего вашему файловому контейнеру.

• В Unlock VeraCrypt Volumes, нажмите на кнопку в строке, которая соответствует вашему файловому контейнеру.

Использование раздела или диска

Разблокировка раздела или диска без ключевых файлов

1. Если ваш раздел или диск находится на внутреннем жёстком диске, установите пароль администратора при запуске Tails.
   В противном случае подключите USB-накопитель или жёсткий диск, который вы хотите разблокировать.
2. Выберите Applications (Приложения) → Utilities (Утилиты) → Unlock VeraCrypt Volumes (Разблокировать тома VeraCrypt).
3. В списке разделов нажмите Unlock (Разблокировать) в строке, соответствующей вашей флешке или жёсткому диску.

1. Введите параметры, чтобы разблокировать громкость. Для получения дополнительной информации см. выше раздел «Параметры разблокировки».
   Нажмите Unlock (Разблокировать).
2. Нажмите Open (Открыть), чтобы открыть том в браузере файлов.

Разблокировка раздела или диска с помощью ключевых файлов

1. Если ваш раздел или диск находится на внутреннем жёстком диске, установите пароль администратора при запуске Tails.
   В противном случае подключите USB-накопитель или жёсткий диск, который вы хотите разблокировать.
2. Выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски), чтобы запустить утилиту Диски.
3. На левой панели выберите диск, который соответствует вашему USB-накопителю или жёсткому диску.

1. На правой панели выберите раздел, соответствующий вашему тому VeraCrypt.
   Должно быть надпись Encrypted? (Зашифровано?).
2. Нажмите на кнопку в правой панели.
3. Введите параметры, чтобы разблокировать том. Для получения дополнительной информации см. выше раздел «Параметры разблокировки».
   Нажмите Unlock (Разблокировать).
4. Выберите файловую систему, которая отображается под разблокированным томом. Вероятно, это FAT или NTFS.
5. Нажмите кнопку , чтобы подключить том.
6. Нажмите на ссылку /media/amnesia/ в правой панели, чтобы открыть том в браузере файлов.

Закрытие раздела или диска

Вы можете на выбор:

• На боковой панели браузера файлов нажать кнопку на метке тома, соответствующего вашему разделу.

• В программе Unlock VeraCrypt Volumes (Разблокировка томов VeraCrypt) нажать на кнопку в строке, которая соответствует USB-накопителю или жёсткому диску.

Апплет OpenPGP

Tails включает в себя пользовательский апплет, называемый OpenPGP Applet, для манипулирования текстом с использованием OpenPGP.

Внимание: Писать конфиденциальный текст в веб-браузере небезопасно, поскольку атаки JavaScript могут получить к нему доступ изнутри браузера. Вам лучше написать свой текст в отдельном приложении, зашифровать его с помощью апплета OpenPGP и вставить зашифрованный текст в браузер, например, перед его отправкой по электронной почте.

Примечание: При использовании апплета OpenPGP для шифрования электронной почты не-ASCII-символы (например, нелатинские символы или символы с акцентами) могут неправильно отображаться для получателей электронной почты.

Если вы собираетесь часто шифровать электронную почту, мы рекомендуем вместо этого настроить Thunderbird.

Апплет OpenPGP находится в области уведомлений:

С апплетом OpenPGP вы можете:

• Зашифровать текст с парольной фразой
• Шифровать и подписывать текст открытым ключом
• Расшифровать и проверить текст

Обратите внимание, что апплет не управляет вашими ключами, это делает Seahorse.

Шифрование текста OpenPGP паролем

С помощью апплета OpenPGP вы можете зашифровать текст паролем, используя OpenPGP шифрование с помощью ключевой фразы.

Примечание: Этот метод требует, чтобы вы поделились секретной парольной фразой с людьми, которые будут расшифровывать текст. OpenPGP также позволяет использовать криптографию с открытым ключом для отправки конфиденциальных сообщений без использования общей парольной фразы. Смотрите соответствующую документацию.

1. Напишите свой текст в текстовом редакторе. Не пишите это в веб-браузере!
   Нажмите на OpenPGP Applet и выберите Open Text Editor (Открыть текстовый редактор), чтобы открыть gedit.
2. Выделите мышью текст, который вы хотите зашифровать. Чтобы скопировать его в буфер обмена, щёлкните правой кнопкой мыши выделенный текст и выберите в контекстном меню пункт Copy (Копировать).
   Апплет OpenPGP теперь показывает строки текста, что означает, что буфер обмена содержит незашифрованный текст:
3. Нажмите на OpenPGP Applet и выберите Encrypt Clipboard with Passphrase (Шифровать буфер обмен публичным путём — видимо, опечатка в переводе и имеется ввиду не публичный ключ, а пароль).
   Если вы получили сообщение об ошибке The clipboard does not contain valid input data (Буфер обмена не содержит допустимых входных данных), попробуйте скопировать текст снова, начиная с шага 2.
4. В диалоговом окне Passphrase введите пароль по вашему выбору. Повторите ту же фразу во втором диалоговом окне.
5. Апплет OpenPGP теперь показывает замок, то есть буфер обмена содержит зашифрованный текст:
6. Чтобы вставить зашифрованный текст в другое приложение, щёлкните правой кнопкой мыши приложение, в которое вы хотите вставить его, и выберите Paste (Вставить) из контекстного меню.
   Например, вы можете вставить его в веб-браузер и отправить по электронной почте.

Вы также можете расшифровать текст, зашифрованный парольной фразой, используя апплет OpenPGP.

OpenPGP криптография с открытым ключом

С апплетом OpenPGP вы можете зашифровать или подписать текст с помощью открытого ключа шифрования OpenPGP.

Примечание: Этот метод требует использования криптографии с открытым ключом. Если вы никогда ранее не использовали ключи OpenPGP, вы, скорее всего, захотите зашифровать свой текст с помощью парольной фразы в OpenPGP. Смотрите соответствующую документацию.

1. Напишите свой текст в текстовом редакторе. Не пишите его в веб-браузере!
   Нажмите на OpenPGP Applet и выберите Open Text Editor (Открыть текстовый редактор), чтобы открыть gedit.
2. Выделите мышью текст, который вы хотите зашифровать или подписать. Чтобы скопировать его в буфер обмена, щёлкните правой кнопкой мыши выделенный текст и выберите в контекстном меню пункт Copy (Копировать).
   Апплет OpenPGP теперь показывает строки текста, что означает, что буфер обмена содержит незашифрованный текст:
3. Нажмите на апплет OpenPGP и выберите в меню Sign/Encrypt Clipboard with Public Keys (Подписать/зашифровать буфер обмен публичным ключом).
   Если вы получили сообщение об ошибке «Буфер обмена не содержит допустимых входных данных», попробуйте скопировать текст снова, начиная с шага 2.
4. Если вы хотите зашифровать текст, выберите один или несколько открытых ключей для получателей зашифрованного текста в диалоговом окне Choose keys (Выбор ключей). Чтобы выбрать открытый ключ, дважды щёлкните по соответствующей строке в списке Select recipients (Выбрать получателей).
5. Если вы хотите подписать текст, выберите секретный ключ, которым вы хотите подписать текст, в раскрывающемся списке Sign message as (Подписать сообщение).
6. Если вы хотите скрыть получателей зашифрованного текста, установите флажок Hide recipients (Скрыть получателей). В противном случае любой, кто видит зашифрованный текст, может знать, кто является получателем.
7. Нажмите на кнопку ОК.
   Если вы получили предупреждение Do you trust these keys (Доверяете ли вы этим ключам), ответьте соответствующим образом.
8. Если вы выбрали один или несколько открытых ключей для шифрования текста, апплет OpenPGP теперь показывает замок, то есть буфер обмена содержит зашифрованный текст:
   Если вы выбрали только секретный ключ для подписи текста, апплет OpenPGP теперь показывает печать, что означает, что буфер обмена содержит подписанный текст:
9. Чтобы вставить зашифрованный или подписанный текст в другое приложение, щёлкните правой кнопкой мыши приложение, в которое вы хотите вставить его, и выберите Paste (Вставить) из контекстного меню.
   Например, вы можете вставить его в веб-браузер и отправить по электронной почте.

Чтобы хранить ключи и конфигурацию GnuPG в разных рабочих сеансах, вы можете активировать функцию сохранения GnuPG.

Информация о том, как создать свою пару ключей GnuPG смотрите в соответствующем разделе документации.

Вы также можете расшифровать или проверить текст, который зашифрован или подписан с использованием криптографии с открытым ключом с использованием OpenPGP Applet.

Расшифровка и проверка текста, созданного с помощью аплета OpenPGP

С помощью апплета OpenPGP вы можете расшифровать текст, зашифрованный с помощью OpenPGP, или проверить текст, подписанный с помощью OpenPGP.

1. Выделите с помощью мыши зашифрованный текст, который вы хотите расшифровать, или подписанный текст, который вы хотите проверить. Включите строки «——BEGIN PGP MESSAGE——» и «——END PGP MESSAGE——».
   Чтобы скопировать его в буфер обмена, щёлкните правой кнопкой мыши выделенный текст и выберите в контекстном меню пункт Copy (Копировать).
2. Если выбранный вами текст зашифрован, апплет OpenPGP теперь показывает замок, то есть буфер обмена содержит зашифрованный текст:
   Если выбранный вами текст только подписан, но не зашифрован, апплет OpenPGP теперь показывает печать, то есть буфер обмена содержит подписанный текст:
3. Нажмите на Апплет OpenPGP и выберите из меню Decrypt/Verify Clipboard (Расшифровать/Идентифицировать).
4. Если выбранный вами текст только подписан, а подпись действительна, окно результатов GnuPG, описанное в шаге 6, отображается напрямую.
   Если текст подписан и подпись недействительна, появляется сообщение об GnuPG error (ошибке GnuPG), в котором упоминается BAD signature from….
   Если текст зашифрован с помощью ключевой фразы, появится диалоговое окно Enter passphrase (Введите пароль). Введите кодовую фразу, которая использовалась для шифрования текста, и нажмите ОК.
   Если текст зашифрован с использованием криптографии с открытым ключом, могут появиться два разных диалоговых окна.

1. Если ключевая фраза для соответствующего закрытого ключа ещё не кэширована в памяти, появится диалоговое окно со следующим сообщением: You need a passphrase to unlock the secret key for user. (Вам нужна ключевая фраза, чтобы разблокировать секретный ключ для пользователя). Введите кодовую фразу для этого секретного ключа и нажмите ОК.
2. Если в вашем наборе ключей нет секретного ключа, для которого зашифрован текст, появляется сообщение об ошибке GnuPG, в котором упоминается decryption failed: secret key not available (ошибка расшифровки: секретный ключ недоступен).

1. Если фраза-пароль, указанная на шаге 4, неверна, появляется сообщение об ошибке GnuPG, в котором упоминается decryption failed: bad key (ошибка расшифровки: неверный ключ).
2. Если фраза-пароль, предоставленная на шаге 4, правильная, или если подпись текста верна, или и то и другое, появится окно результатов GnuPG.
   Расшифрованный текст появляется в текстовом поле Output of GnuPG (Вывод GnuPG).
   В поле Other messages provided by GnuPG (Другие сообщения, от GnuPG), сообщение Good signature from… (Хорошая подпись от…) подтверждает правильность подписи текста.

Чтобы хранить ключи и конфигурацию GnuPG в разных рабочих сеансах, вы можете активировать функцию постоянного хранения с поддержкой GnuPG.

Как перейти на новую версию Tails

Tails включает в себя автоматический механизм обновления флешки до новой версии. В некоторых случаях невозможно выполнить автоматическое обновление, и вам может потребоваться выполнить обновление вручную. На этой странице описаны оба метода.

Внимание: обновления Tails всегда исправляют важные проблемы безопасности, поэтому важно сделать это как можно скорее.

Постоянное хранилище на USB-накопителе будет сохранено.

Примечание: Если вы используете Tails с DVD, вам нужно записать новый DVD.

Автоматическое обновление с использованием Tails Upgrader

После запуска Tails и подключения к Tor, Tails Upgrader автоматически проверяет наличие доступных обновлений, а затем предлагает обновить USB-накопитель. Обновления проверяются и загружаются через Tor.

Преимущества этой техники следующие:

• Вам нужен только один USB-накопитель Tails. Апгрейд выполняется на лету с запущенного Tails. После обновления вы можете перезапустить и использовать новую версию.
• Обновление гораздо меньше для загрузки, чем полный образ USB.
• Механизм обновления включает в себя криптографическую проверку обновления. Вам больше не нужно проверять USB-образ самостоятельно.

• USB-накопитель с установленной Tails.
• Интернет соединение.

После подключения к Tor, если доступно обновление, появится диалоговое окно с предложением обновить USB-накопитель.

• Мы рекомендуем вам закрыть все другие приложения во время обновления.
• Загрузка обновления может занять много времени, от нескольких минут до нескольких часов.
• Сеть будет отключена после загрузки обновления.

Если вы решили выполнить обновление, нажмите «Upgrade now (Обновить сейчас) и следуйте инструкциям помощника в процессе обновления.

Примечание: Если вы пропустили обновление, каждое обновление будет установлено одно за другим. Например, если у вас Tails 1.3 и текущая версия 1.3.2, будет установлено обновление до 1.3.1, а после перезапуска Tails будет установлено обновление до 1.3.2.

Если вы не можете выполнить обновление при запуске (например, если к тому времени у вас нет сетевого подключения), вы можете запустить Tails Upgrader позже, открыв терминал и выполнив следующую команду:

Рекомендуем прочитать примечания к выпуску последней версии. Они документируют все изменения в этой новой версии:

• новые возможности
• проблемы, которые были решены
• известные проблемы, которые уже были выявлены

Они также могут содержать специальные инструкции по обновлению.

Если возникает ошибка, помощник предлагает вам прочитать одну из следующих страниц:

• Если при проверке доступных обновлений возникает ошибка: https://tails.boum.org/doc/upgrade/error/check/index.en.html
• Если при загрузке обновления произошла ошибка: https://tails.boum.org/doc/upgrade/error/download/index.en.html
• Если при установке обновления произошла ошибка: https://tails.boum.org/doc/upgrade/error/install/index.en.html

Обновление вручную с помощью Tails Installer

Рекомендуем прочитать примечания к выпуску последней версии. Они документируют все изменения в этой новой версии:

• новые возможности
• проблемы, которые были решены
• известные проблемы, которые уже были выявлены

Они также могут содержать специальные инструкции по обновлению.

Не всегда возможно выполнить автоматическое обновление, как описано выше. Например, когда:

• На нашем сайте автоматическое обновление для этой версии недоступно.
• Автоматическое обновление невозможно по техническим причинам (недостаточно памяти, недостаточно свободного места на USB-накопителе и т. д.).
• Вы хотите выполнить обновление с другой USB-карты Tails, на которой уже установлена более новая версия, например, при работе в автономном режиме.
• Не удалось выполнить автоматическое обновление, и вам необходимо починить USB-накопитель Tails.

После подключения к Tor, диалоговое окно информирует вас о необходимости обновить USB-накопитель с помощью Tails Installer до более новой версии Tails. Для этого следуйте нашим инструкциям по обновлению вручную.

Чтобы узнать свою версию Tails, выберите Applications (Приложения) → Tails → About Tails (О программе Tails).

Инструкция по обновлению Tails

1. Загрузитесь с другой Tails (не с той, которую вы хотите обновлять!).
2. Подключите USB диск с Tails, которую вы хотите обновить.
3. Выберите Applications (Приложения) → Tails → Tails Installer (Установщик Tails) для запуска Tails Installer.

1. Выберите ваш USB диск в выпадающем меню Target USB.
2. Для начала обновления, кликните кнопку Upgrade.
   Примечание: постоянное хранилище вашей флешке Tails USB будет сохранено.
3. Прочитайте предупреждающее сообщение в диалоговом окне подтверждения. Для подтверждения нажмите Yes.
   Обновление занимает несколько минут.
   Примечание: прогресс бар обычно замирает на некоторое время во время синхронизации данных на диске.
4. После завершения установки, закройте Tails Installer.

1. Обновление Tails завершено. Теперь вы можете выключить систему и перезагрузиться с вашей USB флешки Tails.

Как обновить Tails на жёстком диске

Если вы установили Tails на внутренний HDD диск или в VirtualBox как это описано здесь, то автоматическое обновление не будет работать. Обновление можно выполнить вручную, но требуются некоторые дополнительные действия.

1. Загрузите Tails с новой версии DVD/ISO/USB и установите пароль администратора.

2. Смонтируйте раздел "Tails" жёсткого диска Используя Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

3. Выполните в терминале команды:

4. Размонтируйте раздел "Tails" жёсткого диска используя Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

5. Откройте файл /usr/lib/python3/dist-packages/tails_installer/creator.py:

В нём найдите строку

и закомментируйте следующие 8 строк ставя перед каждой строкой # (изменение цвета шрифта говорит о том, что вы всё сделали правильно). Это нужно делать вплоть до и включая:

Сохраните и закройте файл.

Теперь откройте файл /usr/lib/python3/dist-packages/tails_installer/gui.py:

Найдите там строку

И закомментируйте следующие девять строк, вплоть и включая

Должно получиться примерно так:

Сохраните и закройте файл.

6. Выполните в терминале:

Это то же самое, что запуск Tails Installers "обновление клонированием", но запуск от root, поскольку запуск от amnesia в конце выдаёт ошибку.

7. Выберите ваш HDD и нажмите кнопку Upgrade:

Убедитесь, что выбран ваш HDD и нажмите кнопку Upgrade:

8. Когда установка успешно завершиться, смонтируйте раздел "Tails" вашего жёсткого диска используя Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

9. Затем выполните команды:

10. Размонтируйте раздел "Tails" вашего HDD используя Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

11. Выключите компьютер и загрузитесь с жёсткого диска для проверки результатов.

Как в Tails сохранить файлы в веб-браузере

В Tor Browser вы можете сохранять файлы в одну единственную папку — в /home/amnesia/Tor Browser/. Она предлагается по умолчанию, если вы сохраняете какой-либо файл или веб-страницу.

После перезагрузки эта папка очищается.

Если вы хотите, чтобы файл остался после перезагрузки, то переместите его в папку /home/amnesia/Persistent/.

Но файлы, сохранённые в папке /home/amnesia/Persistent/, вы не сможете открыть в браузере Tor. То есть, сохранённые в папку /home/amnesia/Tor Browser/ файлы будут удалены, а сохранённые в постоянное хранилище файлы невозможно открыть. Из этой ситуации есть два выхода.

1. Сохраните скаченные файлы веб-страниц в постоянное хранилище:

После перезагрузки верните файлы в /home/amnesia/Tor Browser/

Вместо копирования и вставки файлов, вы можете использовать символьную ссылку. Для этого в постоянном хранилище создать папку, куда будете сохранять файлы:

ЛИБО, если вы уже сохранили веб-страницы, переместите их в постоянное хранилище:

Затем удалите папку '/home/amnesia/Tor Browser' если она существует:

Создайте символьную ссылку:

В результате, все сохраняемые файлы в веб-браузере будут сразу сохраняться в постоянном хранилище.

После перезагрузки для восстановления доступа из браузера Tor к сохранённым веб-страницам выполните следующее:

У вас не получится открыть файлы с помощью меню веб-браузера Tor: Open menu → Open File. Вам нужно в адресной строке веб-браузера ввести «/home/amnesia/Tor Browser»,

после этого вы увидите список доступных для открытия файлов:

2. Второй способ открыть файлы в постоянном хранилище — установите веб-браузер, у которого отсутствуют ограничение на открытие файлов, например, установка Chromium:

Запустите веб-браузер Chromium:

В нём вы можете открывать веб-страницы с вашего постоянного хранилища.

Как в Tails выгрузить файлы на сайт (сервер) через веб-браузер

Чтобы выгрузить файлы, вам нужно скопировать их в папку /home/amnesia/Tor Browser/, поскольку веб-браузер Tor Browser имеет доступ только к этой директории.

После того, как скопируете файлы в /home/amnesia/Tor Browser/, нажмите на сайте кнопку «Прикрепить файл», перейдите в папку /home/amnesia/Tor Browser/ (должна открыться по умолчанию), выберите файл, который вы хотите отправить и отправьте его.

Что такое Небезопасный Браузер в Tails и как его включить

Небезопасный браузер не анонимен.

Небезопасный браузер не использует Tor. Веб-сайты, которые вы посещаете, могут видеть ваш реальный IP-адрес.

Вот почему мы рекомендуем вам:

• Используйте небезопасный браузер только для входа на Captive Portals (точки доступа с необходимостью авторизации в веб-браузере) или для просмотра надёжных веб-страниц в локальной сети.
• Закройте небезопасный браузер после входа на портал авторизации, чтобы избежать его использования по ошибке.

Небезопасный браузер можно использовать для деанонимизации вас.

Злоумышленник может использовать уязвимость системы безопасности в другом приложении в Tails, чтобы запустить невидимый небезопасный браузер и раскрыть ваш IP-адрес, даже если вы не используете этот небезопасный браузер.

Например, злоумышленник может воспользоваться уязвимостью в системе безопасности Thunderbird, отправив вам фишинговое письмо, которое может запустить невидимый небезопасный браузер и раскрыть им ваш IP-адрес.

Такая атака маловероятна, но может быть проведена сильным злоумышленником, например правительством или хакерской фирмой.

Вот почему мы рекомендуем вам:

• Включайте небезопасный браузер только в том случае, если вам нужно войти на портал авторизации.
• Всегда обновляйтесь до последней версии Tails, чтобы как можно скорее исправить известные уязвимости.

У нас есть планы по устранению основной причины этой проблемы, но это требует серьёзных инженерных работ.

Если вы загружаете файлы используя Unsafe Browser, то невозможно получить к ним доступ откуда любо кроме как из самого Unsafe Browser.

Итак, если вам нужно включить Небезопасный Браузер, то на экране приветствия Tails нажмите кнопку с плюсом (+).

Там выберите Unsafe Browser.

В настройках выберите «Enable the Unsafe Browser» и нажмите кнопку «Add».

Убедитесь, что Unsafe Browser включён и нажмите кнопку «Start Tails».

В меню перейдите в раздел «Internet» и выберите «Unsafe Browser».

Вновь показано предупреждение о том, что этот браузер раскрывает ваш реальный IP адрес, нажмите кнопку «Launch».

Куда монтируется постоянное хранилище

На первый взгляд кажется, что файлы в постоянном хранилище размещены в директории /home/amnesia/Persistent/, но это не так. На самом деле файлы из постоянного хранилища расположены в директории /lib/live/mount/persistence/TailsData_unlocked/.

Где храниться список дополнительного ПО, которое устанавливается автоматически

Список дополнительного программного обеспечения, которое устанавливается автоматически при каждом запуске Tails, храниться в файле /lib/live/mount/persistence/TailsData_unlocked/live-additional-software.conf. Это обычный текстовый файл, в котором имена пакетов размещены в формате «один пакет на строку». Вы можете добавить туда названия пакетов для автоматической установке.

Решение проблем Tails

Tails не загружается

В БИОС найдите и отключите опции Security Boot и Fast Boot. Выберите в качестве источников загрузки флешку или диск с Tails.

Чтобы попасть в БИОС или в меню загрузки попробуйте при старте компьютера много раз нажимать кнопки ESC или Delete. Если это не сработает, то поищите в Google информацию о том, как попасть в БИОС для вашей модели ноутбука или материнской платы (если у вас настольный компьютер).

Если для загрузки вы используете ISO образ, то вместо него попробуйте IMG образ, который установите на USB флешку. Дело в том, что ISO образ не способен загружаться в компьютерах с UEFI, а IMG образ поддерживает одновременно и БИОС и UEFI.

В меню Tails доступно два режима:

• Tails
• Tails (Troubleshooting Mode)

Если вы выберите Tails (Troubleshooting Mode), то будет выводиться информация о загрузке системы, а также показана отладочная информация.

Из-за обилия отладочной информации может быть труднее ориентироваться в выводе обычной информации о загрузке. Поэтому можно выбрать обычный режим, но немного отредактировать опции загрузки, чтобы картинка не закрывала нужную нам информацию. Для этого когда появится меню Tails, нажмите клавишу TAB. В результате будут выведены опции загрузки:

Отредактируйте их (используйте курсорные клавиши для перемещения по строке, и клавишу ← (Backspace) для удаления. Удалите слова quiet, а также splash, чтобы получилось так:

Когда всё готово, нажмите ENTER для продолжения загрузки с отредактированными опциями.

В результате будут выводиться сообщения о загрузки системы. Запомните (или сделайте фотографию) последние из них — они могут помочь для решения вашей проблемы.

Дополнительную информацию смотрите в разделе Опции запуска системы.

Ошибка «Unable to find a medium containing a live file system»

Если при загрузке система сначала довольно надолго застряёт на фразе:

А затем загрузка прерывается ошибкой:

то причин такой проблемы может быть несколько.

Одной из типичных причин этого является то, что USB флеш диск сам себя заявляет как фиксированный (fixed) диск вместо съёмного (removable) носителям.

Чтобы это проверить (и исправить), перезагрузите компьютер, на начальном этапе когда появится меню Tails, нажмите клавишу TAB. В параметрах загрузки найдите и удалите строку «live-media=removable»:

Для продолжения загрузки нажмите ENTER.

Если произойдёт загрузка, значит действительно проблема в этом.

Изменённые параметры загрузки действуют только до следующей перезагрузки. То есть эти изменения придётся делать каждый раз, что неудобно. Чтобы эти изменения сделать постоянными, нужно отредактировать файлы загрузчиков. Для этого при загрузке установите Пароль администратора.

После окончания загрузки откройте терминал и выполните там:

Будет запрошен пароль администратора, который вы установили ранее, он не будет показываться на экране, после ввода нажмите ENTER.

Затем выполните команду:

В программе gedit будет открыто два файла. В каждом из них найдите и удалите строку:

Сохраните и закройте файлы.

Теперь выполните команду:

В программе gedit будет открыто два файла. В каждом из них найдите и удалите строку:

Сохраните и закройте файлы.

Когда всё готово, перезагрузитесь:

Если описанный способ не помог, то попробуйте записать Tails на другую флешку или запустить имеющуюся у вас флешку на другом компьютере.

При выборе Configure persistent volume ничего не происходит

При попытке запуска программы для настройки постоянного хранилища (persistent volume) может ничего не происходить. То есть кликаете по меню Configure persistent volume и не происходит ничего, в том числе не появляются сообщения об ошибках.

Дело в том, что программа Configure persistent volume в случае возникновения ошибки может просто ничего не показывать. Если ошибка предусмотрена в программе (например, вы пытаетесь создать постоянное хранилище не на флешке), но вы выбрали язык Tails любой кроме английского (например, русский), то программа опять же ничего не выведет, так как в ней возникнет уже внутренняя ошибка, поскольку она не умеет работать со строками на русском языке…

Поэтому если при клике на Configure persistent volume начните с того, что перезагрузитесь и не меняйте язык системы — оставьте английский.

Ещё один вариант, запустите Configure persistent volume из командной строки. Для этого откройте консоль, впишите туда и нажмите ENTER:

Должны вывестись ошибки, которые не дают программе запуститься.

Кстати, чтобы Configure persistent volum научилась нормально работать с не-английскими языками, откройте файл /usr/bin/tails-persistence-setup:

И после самой первой строчки добавьте:

Сохраните и закройте файл.

Ошибка «The configuration of your additional software failed»

Данная ошибка возникает при сочетании следующих условий:

• Tails установлена на жёсткий диск или в виртуальную машину
• постоянное хранилище разблокировано
• вы устанавливаете дополнительное ПО
• вы выбираете настройку «устанавливать это ПО при каждом включении Tails»

Текст ошибки на экране:

The configuration of your additional software failed. Please check your list of additional software or read the system log to understand the problem.

Текст ошибки в журнале:

Ключевой здесь является строка «Error: Tails is running from non-USB / non-SDIO device». Система сделала проверку на то, что она работает не на USB носителе и не на оптическом диске и не смогла добавить дополнительное ПО в список автоматически устанавливаемого.

Полный разбор Tails [Часть 1]

Tails — это операционная система на основе Linux, главная цель которой это анонимность пользователя.

Tails предназначена загружаться со сменного носителя — с USB флешки или CD диска. Во время своей работы она выходит в Интернет только через сеть Tor, а также никак не взаимодействуют с другими хранилищами компьютера (жёсткими и SSD дисками) если вы явно это не укажите. Благодаря этому Tails: обеспечивает повышенную анонимность, не оставляет следов своего использования

Дополнительно в данной операционной системе установлено несколько сопутствующих целям программ: для анонимного обмена мгновенными сообщениями, для анонимного распространения файлов, браузер Tor, почтовый клиент, Биткоин клиент, а также обычные программы для работы с документами и графикой.

С выходом Tails 3.12 внесены серьёзные изменения в установку — начнём с неё, а затем рассмотрим другие моменты как пользоваться Tails.

Установка и загрузка Tails
Страница для скачивания торрентов Tails: https://tails.boum.org/torrents/files/

rc1 — это предварительные версии — если имеется стабильная версия, то лучше скачивать её.

Файлы с расширением .sig нужны для проверки целостности и подлинности скаченного образа.

Торренты на сами образы имеют расширения .img.torrent и .iso.torrent. Если вы будете записывать Tails на USB флешку, то для скачивания вам нужен файл .img.torrent, а если вы хотите записать операционную систему на оптический диск, то вам нужен файл .iso.torrent.

Как установить Tails
Теперь разработчики делают USB образы, которые достаточно просто записать на флешку. Файлы образов для USB имеют файловое расширение .img, например, tails-amd64-3.12.img. А файлы в названии которых есть .iso, например, tails-amd64-3.12.iso, предназначены для записи на компакт-диск.

Убедитесь, что вы скачали правильный файл с расширением .img.

Теперь не нужны никакие две флешки, не нужны промежуточные системы Tails, из всех операционных систем установка Tails на флешку делается с помощью программы Etcher.

Эта программа работает на всех основных операционных системах, в том числе на Windows 7 (64-bit) и более поздник, а также на Linux.

Для Windows вы можете скачать как установочный файл, так и портативный.

Для Linux программа распространяется в удобных пакетах с расширением .AppImage. Например, после распаковки скаченного архива программа будет иметь примерно такое название: balena-etcher-electron-1.4.9-x86_64.AppImage.

Удобство AppImage в том, что в пакете собрано всё что нужно для запуска программы. То есть для запуска программы просто дважды кликните на неё — никакой установки зависимостей и прочего.

Установка делается элементарно, причём в любой из операционных систем она идентична:

Выберите образ для записи на флешку:

Если флешка уже подключена к компьютеру и она только одна, то USB флешка для записи выбирается автоматически. Если этого не произошло, то выберите её вручную.

Нажмите на кнопку Flash!

Дождитесь окончания процесса:

После записи будет сделана верификация, что данные записались без ошибок. Etcher можно закрыть — Tails готовая к использованию. Вот так всё стало просто.

Как загрузиться с USB флешки Tails
При включении компьютера вам нужно зайти в BIOS (UEFI) и проверить, отключены ли опции Fast boot и Security boot — отключите их, иначе не сможете загрузиться со стороннего носителя.

Чтобы зайти в БИОС при старте компьютера много раз нажимайте кнопку Esc или Del. Если это не работает — то погуглите, как на вашей моделе компьютера (зависит от модели ноутбука или от модели материнской платы — если это настольный компьютер) зайти в БИОС.

В самом БИОСе или при включении компьютера (для этого нажимайте много раз кнопку Esc) выберите в загрузочном меню флешку с Tails.

Запуск Tails в VirtualBox
Разработчики в дополнении образа для USB флешек по-прежнему создают и .ISO образы, которые нужны для запуска с оптического диска. Именно эти образы нужно использовать для запуска Tails в VirtualBox.

При создании новой виртуальной машины в качестве Типа выберите Linux, а в качестве Версии выберите Other Linux (64 bit).

Виртуальной машине нужно минимум 2048 MB оперативной памяти, создавать новый виртуальный диск не нужно — загрузка и вся работа будет проходить с .ISO образа.

При первом старте укажите .ISO с Tails.

При работе в виртуальной машине невозможно подключить постоянное хранилище, но из виртуальной машины можно выполнить установку Tails на флешку. Примечание: продвинутые пользователи могут установить Tails в VirtualBox и могут там создать постоянное хранилище. Пошаговые инструкции как это сделать в третьей части данного руководства.

Установка Tails из Tails
Вы по-прежнему можете устанавливать Tails как это рекомендовалось ранее: из самой Tails.

Вы можете загрузиться с оптического диска Tails или из виртуальной машины, затем в меню выберите Tails → Tails Installer:

Укажите флешку, на которую будет выполнена установка. Имеются опции:

• Клонировать текущий Tails
• Использовать загруженный ISO образ Tails

Дождитесь окончания процесса — он требует времени. Иногда может показаться, что всё замерло — просто подождите, у меня запись таким образом заняла где-то 10-15 минут.

Как запускать команды от root в Tails. Как использовать sudo в Tails. Какой в Tails пароль по умолчанию для root / администратора
Если вы просто включите Tails с настройками по умолчанию, то вы не сможете использовать sudo, то есть не сможете выполнять команды от root. Это может понадобиться, например, при установке новых программ, а также создании раздела на Tails для хранения данных, настроек, установленных программ. То есть практически для всего рассмотренного далее нужен административные права в системе, поэтому рассмотрим, как в Tails активировать администраторский пароль.

При включении Tails на этапе выбора языка нажмите + (плюс):

Нажмите на Administration Password (Пароль администратора):

Придумайте и два раза введите пароль:

Когда всё готово в поле Additional Settings (Дополнительные настройки) появится информация о том, что включён пароль администратора. Теперь достаточно нажать на кнопку Start Tails (Запуск Tails):

Почему в Tails не сохраняются настройки? Как сохранять файлы в Tails
Tails — это Live система, то есть она записывается на носитель таким образом, что изменения в файловую систему не сохраняются. Если вы делаете какие-то настройки системы (можно даже обновить пакеты), то все они держаться в оперативной памяти и после перезагрузки системы полностью пропадают.

Если вы работаете с ISO (оптического диска), то вы можете использовать для сохранения файлов другие носители, а настройки системы сохранять не получится. Но если вы запускаете Tails с флешки, то можно настроить persistence — то есть постоянное хранилище.

Если вы работали с persistence томами на других дистрибутивах Linux, то там это происходит так: с технической точки зрения persistence отличается от работы операционной системы установленной на обычный диск. В случае обычной установки, операционная система создаёт новые файлы и удаляет ненужные с диска. В случае же с persistence, система всегда остаётся Live системой — то есть она записана на раздел, в который невозможно внести изменений, то есть невозможно записать или удалить файл. Но подключается новый раздел (тот самый persistence), на который можно записывать файлы.

В результате, даже если вы обновляете систему, то исходный Live раздел не меняется — изменения записываются на persistence. При работе ОС каждый раз вычисляет результирующую: Live раздел + изменения внесённые на persistence. У этого есть плюсы и минусы. Плюс в том, что нам в принципе становится доступной сохранять настройки и файлы. Также Live раздел занимает меньше места чем полноценная установленная система. И ещё — можно запустить систему без persistence — получится Live система в её исходном состоянии.

В Tails persistence работает иначе: если вы установили новую программу, то вместо «бесшовной» работы с этой программой каждый раз, когда активирован persistence, в Tails эта программа заново устанавливается при каждой загрузке системы. Сделанные обновления и настройки системы просто не сохраняются. Если коротко: в persistence у Tails сохраняется только то, что предусмотрели разработчики. В то время как у других дистрибутивов Linux в persistence сохраняются практически все сделанные в системе изменения — как у обычной установки Linux.

Зашифрованное постоянное хранилище Tails (persistence)
Если вы запускаете Tails с USB флешки, вы можете на свободном пространстве карты памяти USB создать том с постоянным хранилищем. Файлы на таком томе хранятся зашифрованными и остаются доступными и после перезагрузки системы.

Это можно сделать только если Tails установлена на USB флешку (а не на оптический диск) и если объём этой флешки минимум 8 GB.

Этот том persistent может использоваться для хранения следующего:

• Личных файлов
• Настроек
• Дополнительного программного обеспечения
• Ключей шифрования

После создания раздела persistent, каждый раз при старте Tails вы можете выбирать — активировать его или нет.

Использование постоянного хранилища на системе, предназначенной для обеспечения анонимности и не оставлять следы, это довольно сложный вопрос, поэтому начнём с предупреждений.

Предупреждения о постоянном хранилище
Хранение чувствительных документов

Том persistent не является скрытым. Атакующий при завладении вашей USB флешкой может узнать, что на ней есть постоянное хранилище. Имейте в виду, что пароль может быть вызнан под принуждением или обманом.

Ниже также будет инструкция по безопасному удалению постоянного тома.

Переписывание конфигураций

Программы, включённые в Tails, тщательно настроены с учётом безопасности. Если вы используете том persistence для перезаписи конфигураций программ включённых в Tails, это может нарушить безопасность или сделать эти программы непригодными для использования.

Будьте особенно осторожны используя возможности Dotfiles (о них ниже).

Более того, для анонимности Tor и Tails они полагаются на то, что все установленные системы у разных пользователей идентичны, то есть затруднено различие одного пользователя Tails от других. Изменение стандартных конфигураций может нарушить вашу анонимность — то есть вы сделаете вашу систему в чём-то более уникальной, отличной от других Tails.

Установка дополнительных программ

Для защиты вашей анонимности и не оставления следов, разработчики Tails отобрали и тщательно настроили программы которые хорошо работают вместе. Установка дополнительных программ может привнести неожиданные проблемы и может нарушить встроенные в Tails защиты.

Плагины браузера

Веб-браузер — это центральная часть систем таких как Tails. Плагины включённые в браузер тщательно отобраны и настроены с учётом безопасности. Если вы установите другие плагины или измените их настройки, вы можете нарушить анонимность.

Используйте по минимуму

Сведите к минимуму использование постоянного хранилища, делайте это только когда необходимо. Всегда можно запустить Tails без активации тома persistent. Все возможности постоянного тома являются опциональными и не требуют явной активации. Сохраняются только файлы и папки, которые вы указали.

Открытие постоянного хранилища из других операционных систем

Можно открыть persistent том с других операционных систем. Но если так делать, это может скомпрометировать безопасность, обеспечиваемую Tails.

Например, другими операционными системами могут быть созданы и сохранены эскизы изображений. Или содержимое файлов может быть проиндексировано другой операционной системой.

Вероятно, не стоит доверять другим операционным системам работу с чувствительной информацией или не оставлению следов.

Создание постоянного хранилища
Важно: вы должны быть загружены с флешки для которой хотите настроить постоянное хранилище.

Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume:

Будет открыто окно, в которое нужно два раза ввести пароль — этот пароль вам нужно придумать и запомнить, поскольку если вы его забудете, то не сможете расшифровать файлы, помещённые в постоянное хранилище.

Чем длиннее пароль, тем труднее его взломать. Разработчики рекомендуют длинные парольные фразы, состоящие от пяти до семи случайных слов.

Нажмите кнопку Создать (Create):

Дождитесь завершения создания.

Программа-помощник покажет список возможных функций persistence. Каждая функция соответствует набору файлов или настроек для сохранения в зашифрованное хранилище.

Начать рекомендуется с активации только хранилища Personal Data (персональные данные). Позднее вы можете активировать больше пунктов в соответствии с вашими потребностями.

Когда всё будет готово, нажмите Save (Сохранить).

Изменения вступят в силу после перезагрузки компьютера. Поэтому перезапустите систему. При включении в приветственном окне станет доступным новый пункт. Если вы введёте верный пароль, то будет подключено постоянное хранилище. Вы также можете его не подключать, тогда загрузится обычная Live система.

Постоянное хранилище подключается только на текущую сессию (до перезагрузки компьютера). Сохраняются только файлы, помещённые в папку Persistent. Чтобы попасть в эту папку, нажмите Places (Места) и затем выберите Persistent.

Настройка постоянного хранилища
Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume.

Примечание: сообщение об ошибке Error, «Persistence partition is not unlocked.» означает, что persistent не был включён из Tails Greeter (приветственное окно Tails). Поэтому вы не можете настроить его, но вы можете удалить его и создать новое.

Функции и опции Persistence
Примечание: в настоящее время могут сохраняться только функции, которые здесь перечислены. Некоторые другие функции были запрошены и приняты разработчиками, но эти функции до сих пор дожидаются реализации: расширения браузера, обои, стандартная звуковая карта, настройки мыши и тачпада и прочее.

Помните: если вы отключили функцию, которая ранее была активирована, то она будет деактивирована после перезапуска Tails, но соответствующие файлы сохраняться на томе persistent.

Для удаления файлов, соответствующих функции:

1. Запустите Tails и установите пароль администратора.
2. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Root Terminal для открытия терминала с административными правами.
3. Выполните команду

для открытия файлового браузера с административными правами.

Либо просто в обычном терминале наберите:

1. В файловом браузере перейдите в /live/persistence/TailsData_unlocked.
2. Удалите папку, соответствующую функции для которой вы хотите удалить хранимые файлы:

Personal Data (Персональные файлы)
Когда активирована эта функция, вы можете сохранять ваши персональные файлы и рабочие документы в папку Persistent. Чтобы открыть эту папку выберите Places (Места) → Persistent.

Browser Bookmarks (Закладки браузера)
Когда активирована эта функция, изменения в закладка Tor Browser сохраняются на томе persistent. Это не применяется к Unsafe Browser.

Network Connections (Сетевые подключения)
Когда активирована эта функция, конфигурация сетевых устройств и соединений сохраняется на томе persistent.

Additional Software (Дополнительные программы)
Когда активирована эта функция, список дополнительных программ, которые вы выбрали, автоматически устанавливается каждый раз, когда вы запускаете Tails.

Соответствующие пакеты программ хранятся на томе persistent. Для безопасности они автоматически обновляются после установления сетевого соединения.

Пакеты, включённые в Tails, тщательно протестированы на безопасность. Установка дополнительных пакетов может нарушить встроенную в Tails безопасность, поэтому будьте осторожны с тем, что вы устанавливаете.

Printers (Принтеры)
Когда активирована эта функция, конфигурация принтеров сохраняется на томе persistent.

Thunderbird
Когда активирована эта функция, конфигурация и электронные письма хранятся email клиентом Thunderbird на томе persistent.

GnuPG
Когда активирована эта функция, OpenPGP ключи, которые вы создали или импортировали, хранятся на томе persistent.

Если вы вручную редактируете или переписываете конфигурационный файл

/.gnupg/gpg.conf, то вы можете уменьшить свою анонимность, ослабить настройки шифрования по умолчанию или сделать GnuPG непригодным для использования.

Bitcoin Client (Клиент (кошелёк) Биткоин)
Когда активирована эта функция, кошелёк Bitcoin и настройки клиента Биткоин Electrum сохраняются на томе persistent

Pidgin
Когда активирована эта функция, в постоянном хранилище размещаются конфигурационные файлы Интернет-мессенджера Pidgin. К ним относятся:

• Конфигурация ваших аккаунтов, списка контактов и чатов.
• Ваши ключи шифрования OTR и keyring.
• Содержимое дискуссий не сохраняется если вы специально не настроили Pidgin делать это.

SSH Client (Клиент SSH)
Когда активирована эта функция, все файлы, относящиеся к клиенту безопасного шелла (secure-shell) сохраняются в persistent:

• SSH ключи которые вы создали или импортировали
• Публичные ключи хостов к которым вы подключались
• Конфигурационный файл SSH

/.ssh/config, убедитесь, что не перезаписываете стандартную конфигурацию из файла /etc/ssh/ssh_config. В противном случае вы можете ослабить стандартное шифрование или довести SSH до неработоспособности.

Dotfiles (Дотфайлы)
Когда активирована эта функция, все файлы в папке /live/persistence/TailsData_unlocked/dotfiles подсоединены ссылками к Домашней папке. Файлы в подпапках дотфайлов также привязаны к соответствующим подпапкам вашей Домашней папки.

Например, имеются следующие файлы в /live/persistence/TailsData_unlocked/dotfiles:

/live/persistence/TailsData_unlocked/dotfiles
├── file_a
├── folder
│ ├── file_b
│ └── subfolder
│ └── file_c
└── emptyfolder

Это приводит к тому, что в /home/amnesia:

/home/amnesia
├── file_a → /live/persistence/TailsData_unlocked/dotfiles/file_a
└── folder
├── file_b → /live/persistence/TailsData_unlocked/dotfiles/folder/file_b
└── subfolder
└── file_c →
/live/persistence/TailsData_unlocked/dotfiles/folder/subfolder/file_c

Эта опция полезна если вы хотите сделать постоянными некоторые определённые файлы, но не папку, в которой они размещены. Хороший пример так называемых дотфайлов (отсюда и название этой функции) это скрытые конфигурационные файлы в корне вашей домешней директории, такие как

Как вы можете видеть в предыдущем примере, пустые папки игнорируются. Эта функция только связывает файлы, но не папки, из тома persistent в Домашнюю (Home) папку.

Сохранение конфигураций мониторов
Если у вас больше чем один дисплей (например, два монитора или проектор), вы можете сохранить конфигурации ваших дисплеев используя функцию Дотфайлов.

1. Активируйте функцию Дотфайлов и перезапустите Tails.
2. Выберите System Tools → Settings → Displays.
3. Настройте ваши дисплеи.
4. Откройте в файловом менеджере /live/persistence/TailsData_unlocked/dotfiles.
5. Выберите Menu (Меню) → Show Hidden Files (Показывать скрытые файлы).
6. Создайте папку с названием .config (config перед которой стоит точка).
7. Скопируйте файл .config/monitors.xml из вашей Домашней папки в /live/persistence/TailsData_unlocked/dotfiles/.config.

Подключение и использование постоянного хранилища
После создания постоянного хранилища, при запуске Tails на приветственном экране (там, где можно выбрать язык), появится новое поле «Encrypted Persistent Storage» — в него нужно ввести пароль от раздела persistent и нажать Unlock:

Для использования постоянного хранилища, откройте папку Persistent, в неё попасть можно выбрав Places (Места) → Persistent. Здесь вы можете хранить персональные папки и рабочие документы — они будут сохраняться после перезагрузки.

Для продвинутых пользователей, для доступа во внутреннее содержимое постоянного хранилища выберите Places (Места) → Computer (Компьютер) для открытия папок live → persistence → TailsData_unlocked.

1. Запустите Tails и задайте пароль администратора.
2. Не активируйте persistent том в приветственном окне Tails.
3. Откройте программу Disks из меню Applications (Приложения) → Utilities (Утилиты) → Disks.
4. Disks выведет список текущих устройств хранения в левой панели окна. Когда вы выберите одно из этих устройств, о нём в правой панели будет отображена подробная информация: его разделы, брэнд, размер и прочее.
5. Найдите то устройство, которое содержит том persistent. Оно должно иметь два раздела, один обозначен как Tails, а другой обозначен как TailsData, этот второй соответствует постоянному хранилищу.
6. В правой панели кликните на том раздела постоянного хранилища обозначенного как TailsData.
7. Вызовете в Disks контекстное меню
8. и выберите Change Passphrase… (Поменять пароль).
9. Введите ваш текущий пароль от постоянного хранилища и затем дважды введите новый пароль.
10. Наконец подтвердите кликнув на Change (Изменить).
11. В диалоговом коне подтверждения, введите ваш пароль администратора и кликните Authenticate.
12. Теперь вы можете перезапустить Tails и попытаться включить том persistent с его новым паролем.

Ручное копирование данных с постоянного хранилища на новую USB флешку
Эти инструкции объясняют, как вручную скопировать ваши хранимые данные на новую USB флешку. Следуйте им если у вас есть серьёзные причины думать, что ваши хранимые настройки повреждены или если вы хотите быть очень аккуратным с вашими хранимыми данными.

Создайте новую USB флешку с Tails

1. Установите последнюю Tails на новую USB флешку, используя обычные инструкции по установке. В процессе новой установки не используйте флешку Tails USB, если есть основание думать, что она повреждена.
2. Создайте постоянное хранилище на новой USB флешке. Мы рекомендуем использовать другой пароль для защиты нового тома persistent.
3. Вновь включите на этой новой USB флешке функции persistence по своему выбору.
4. Перезапустите новую USB флешку, включите раздел persistence и установите пароль администратора.

Спасание файлов из старой флешки Tails USB
Для начала, смонтируйте старый том persistent.

1. Подключите старую Tails USB флешку с который вы хотите спасти ваши данные.
2. Выберите Applications → Utilities → Disks чтобы открыть GNOME Disks.
3. В левой панели, кликните на USB флешку, соответствующую старой установке Tails USB.
4. В правой панели, кликните на раздел помеченный как LUKS. Имя раздела должно быть TailsData.
5. Кликните кнопку
6. Unlock (Разблокировка) для разблокировки старого тома persistent. Введите пароль старого тома persistent и нажмите Unlock.
7. Кликните на раздел TailsData, который появится под разделом LUKS.
8. Кликните на кнопку
9. Mount (Монтировать). Старый раздел persistent теперь смонтировано как /media/amnesia/TailsData.

Проверка файловой системы постоянного хранилища
При редких обстоятельствах вам может потребоваться выполнить проверку файловой системы для исправления дефектного тома persistent.

Разблокировка тома persistent.

1. Запустите Tails с отключённым постоянным хранилищем и установите пароль администратора.
2. Выберите Applications (Приложения) → Utilities (Утилиты) → Disks чтобы открыть GNOME Disks.
3. В левой панели кликните на устройство, соответствующее вашей флешке Tails USB.
4. В правой панели кликните на раздел отмеченный как TailsData LUKS.
5. Кликните на кнопку
6. Unlock (Разблокировка) для разблокировки постоянного хранилища. Введите пароль тома persistent и кликните Unlock (Разблокировать).
7. В диалоговом окне подтверждения, введите ваш пароль администратора и кликните Authenticate.
8. Кликните на раздел TailsData Ext4 который появится под разделом TailsData LUKS.
9. Идентифицируйте имя Устройства вашего тома persistent которое появится под списком томов. Оно должно выглядеть как /dev/mapper/luks-xxxxxxxx. Трижды кликните для выбора и нажмите Ctrl+C для копирования его (имени) в буфер обмена.

1. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Root Terminal и введите ваш пароль администратора для открытия терминала с правами root.
2. В терминале выполните следующую команду, заменив [устройство] на имя устройства, найденное на шаге 8:

Чтобы это сделать, вы можете набрать fsck -y и нажать Shift+Ctrl+V для вставки имени из буфера обмена.

1. Если в файловой системе нет ошибок, последняя строка вывода fsck будет начинаться с TailsData: clean.

1. Запустите Tails с USB флешки, на которой вы хотите удалить постоянное хранилище.
2. Не включайте том persistent в приветственном окне Tails.
3. Выберите Applications (Приложения) → Tails → Delete persistent volume.
4. Кликните Delete (Удалить).

Надёжное удаление постоянного хранилища
Предыдущая техника не препятствует атакующему восстановить файлы в старом хранилище используя техники восстановления данных. Для надёжного удаления раздела persistent, запустите Tails с другой USB флешки или DVD и выполняйте следующие операции на USB флешке с которой вы хотите сделать надёжное удаление:

Делаем шпионскую флешку с защищенной операционкой Tails

Tor, безусловно, одно из самых нужных средств защиты личных данных. Но чтобы обезопасить себя со всех сторон и работать, не оставляя вообще никаких следов, нужно намного больше. Tails — операционная система семейства Debian Linux, основанная на серьезных принципах защиты данных. Используя флешку с Tails, ты можешь не опасаться не только слежки в интернете, но и обыска в квартире.

Справочник анонима

Статьи из этого цикла публикуются бесплатно и доступны всем. Мы убеждены, что каждый имеет право на базовые знания о защите своих данных.

Другие статьи цикла:

• «Как работают токены аутентификации и в чем их отличия от паролей»;
• «Теория и практика шифрования почты»;
• «Виды шифрования и защиты трафика, выбор софта»;
• «Как шифровать переписку в Jabber: пошаговая инструкция».

Если для тебя эти материалы тривиальны — отлично! Но ты сделаешь доброе дело, отправив ссылку на них своим друзьям, знакомым и родственникам, менее подкованным в технических вопросах.

Вступление

Tails — не единственный дистрибутив Linux, который ставит защиту данных во главу угла. Но, на мой взгляд, это на сегодняшний день лучший выбор для человека, желающего сохранить конфиденциальность переписки, защищенность личных данных и сохранность важной информации от любопытных глаз. И раз уж я заговорил о принципах защиты данных в Tails, то нелишне будет их перечислить.

1. Сохранение конфиденциальности информации. Здесь все просто, нам необходимо защитить нашу информацию от посторонних. Для этого мы будем шифровать всё, использовать криптостойкие алгоритмы и длинные ключи. Что-то даже будем шифровать по нескольку раз. Ничто не должно храниться в открытом виде, ничто не передается в открытом виде.
2. Сокрытие наличия информации (стеганографическая защита). Нам необходимо скрыть сам факт хранения или передачи данных. Мы будем использовать скрытые криптоконтейнеры, заполнять свободные места на дисках случайными данными, эвристически неотличимыми от зашифрованных данных.
3. Скрытие адресата передачи информации. Иногда может потребоваться скрыть от чужих глаз не только саму информацию, но и адресата. В этом нам поможет многослойное шифрование и «луковая» маршрутизация.
4. Правдоподобный отказ (plausible deniability). Может возникнуть необходимость направить настойчивых любопытствующих (к примеру, при досмотре) на ложный след. Поверх скрытых контейнеров с важными данными мы создадим ложные, но очень правдоподобные зашифрованные разделы, в которых будем хранить поваренную книгу и картинки с котами из интернета.
5. Возможность отказаться от факта передачи информации, отозвать свои цифровые подписи и так далее. В этом нам поможет протокол OTR и использование HMAC вместо ЭЦП.
6. Работа на компьютере без следов. Все, что может остаться в оперативной памяти, на жестком диске или даже в памяти видеокарты, необходимо тщательно зачистить. Все важное должно сохраниться только на надежно зашифрованном, скрытом и оберегаемом нами носителе, риск утечек должен быть сведен к минимуму.

Все эти принципы дополняют друг друга. Если ты действительно озабочен защитой своих данных и сохранением конфиденциальности, не пренебрегай ни одним из них.

Установка

Для установки Tails нам понадобится две флешки. Почему две? Чтобы понять, что такое рекурсия, нужно сначала понять, что такое рекурсия. А Tails можно установить, только используя Tails. Скачиваем ISO с официального сайта tails.boum.org. Образ рекомендуется сразу проверить с помощью OpenPGP, подробная инструкция о том, как это сделать, есть на сайте. Скачанный образ записываем на первую, промежуточную флешку с помощью Universal Usb Installer. После этого можно выключать компьютер и загружаться с флешки. Когда ОС загрузится, нужно будет вставить вторую (основную) флешку и выбрать Applications → Tails → Tails Installer Install by Cloning.

Если все получилось, то система готова к работе.

Начало работы

После загрузки с рабочей флешки нам потребуется создать постоянный (persistent) защищенный раздел, своеобразный «жесткий диск на флешке». Это делается через Application → Tails → Configure Persistence.

Перезагружаем компьютер и на загрузочном экране выбираем Use Persistence и More Options, после чего вводим пароль для нашего хранилища.

Из меню внизу экрана выбираем регион. Это важно, поскольку от региона зависят входные узлы Tor. Здесь следует поэкспериментировать. В моем случае лучшим выбором оказалась Дания.

В меню расширенных настроек задаем пароль для программ, которым нужны права администратора. Можешь поставить любой, он работает в рамках сессии и ни на что больше не влияет.

Имей в виду, что загрузка занимает некоторое время, а потом Tails еще несколько минут будет подключаться к Tor. Отслеживать процесс можно, щелкнув по иконке Onion Circuits — луковичке в верхнем правом углу экрана.

Спустя некоторое время Tails проинформирует об успешном подключении к Tor. По умолчанию сеть сконфигурирована так, что весь трафик будет проходить через него. Теперь можно скачать все, что нам нужно для работы.

Дополнительное ПО, сохранение файлов и настроек

По умолчанию Tails не рассчитана на сохранение установленного ПО, настроек и файлов после выключения компьютера. Однако создатели предусмотрели возможность хранить некоторые данные в персистентном разделе. Настроить, что именно будет храниться, можно в разделе Settings → Persistent.

Большинство пунктов меню очевидны, поэтому я остановлюсь на последних трех. Второй и третий с конца отвечают за хранение APT-пакетов. Tails основана на Debian, поэтому большинство нужного нам ПО можно установить при помощи apt-get. И хотя сами программы при отключении компьютера не сохранятся, пакеты APT при соответствующих настройках останутся в персистентном разделе. Это позволяет развертывать все нужное ПО в процессе загрузки системы.

Последний пункт меню Dotfiles позволяет создать в персистентном разделе папку с файлами, ссылки на которые будут создаваться в домашней папке Tails при загрузке. Выглядит это следующим образом.

Вот пример структуры файлов в постоянном разделе.

В домашней папке при таком раскладе будет следующая структура ссылок:

Защищаем данные, отбрасываем хвост

Сам по себе наш персистентный раздел уже зашифрован. Однако у него есть существенный недостаток: он не обеспечивает правдоподобное отрицание наличия зашифрованных данных. Чтобы обеспечить правдоподобное отрицание, я предложу решение, которое отличается от рекомендаций создателей Tails. Как поступить тебе — решай сам.

Создатели Tails рекомендуют использовать cryptsetup, основанный на LUKS. Эта программа позволяет создавать скрытые разделы, однако такой раздел скрыт не до конца. Насколько мне известно, существует возможность обнаружить заголовок скрытого раздела, что позволяет установить его наличие.

Такой скрытый раздел лично меня не устраивает. Поэтому я решил использовать старый добрый TrueCrypt версии 7.1а. Заголовок скрытого раздела TrueCrypt неотличим от случайных данных, и, насколько мне известно, обнаружить его невозможно. Двоичный файл программы TrueCrypt лучше хранить здесь же, в персистентном разделе.

Детально описывать процесс создания двойного криптоконтейнера я не стану, отмечу лишь важный нюанс. Поскольку скрытый раздел TrueCrypt по-настоящему скрытый, о его существовании не догадывается даже сама программа, пока ты не введешь нужный пароль. Из-за этого при записи файлов в ложный раздел скрытый раздел может быть поврежден. Чтобы этого не произошло, при монтировании ложного раздела для записи на него картинок котиков нужно выбрать Mount Options → Protect hidden volume when mounting outer volume.

Подобно ящерице, которая при опасности отбрасывает свой хвост, мы теперь в случае необходимости сможем ввести пароль от фальшивого раздела и продемонстрировать всем фотографии котиков вместо конфиденциальной информации.

Общение

Теперь, когда мы обезопасили нашу информацию, можно приступить к ее передаче, то есть к общению. Начнем с Pidgin. Он отлично годится в качестве клиента IRC, а в Tails его еще и немного усилили. В состав ОС включен Pidgin с установленным плагином для протокола OTR. Именно он нам интересен больше всего. Избегая сложной математики, можно сказать, что этот протокол обеспечивает защищенную передачу данных с возможностью отречения, то есть доказать, что конкретное сообщение написано конкретным человеком, невозможно.

Прежде чем начать общаться с кем-то по протоколу OTR, нужно подключиться к серверу IRC. При этом очень важно удостовериться в использовании SSL. Tor шифрует трафик при передаче его между узлами, но, если ты не будешь использовать SSL, твой трафик будет передаваться в открытом виде до входного узла Tor и от выходного узла адресату. Некоторые узлы Tor забанены на серверах IRC, поэтому может потребоваться перезапуск Tor. Сделать это можно командой /etc/init.d/tor restart .

После того как соединение с сервером установлено, выбираем Buddies → New Instant Message.

В открывшемся окне диалога выбираем Not Private → Start Private Conversation.

Будет предложено три варианта для аутентификации: ввести ответ на секретный вопрос, который вы обсудили с собеседником заранее (в этом случае необходимо ввести один и тот же ответ, пробелы и регистр считаются); ввести общую «секретную» фразу; проверить fingerprint — это сорокасимвольная последовательность, идентифицирующая пользователя OTR.

Теперь можно переписываться по OTR. Но как насчет голосового общения? Тут, увы, не все гладко. Поскольку Tails направляет весь трафик через Tor, возникает ряд проблем для голосового общения. Во-первых, большинство VoIP-программ используют UDP, в то время как через Tor возможна передача только пакетов TCP. Во-вторых, Tor не отличается скоростью и пакеты иногда приходят с сильной задержкой. Так что возможны задержки и разрывы связи.

Тем не менее существует OnionPhone, специальный плагин для TorChat. Неплохо справляется и Mumble, хотя этот вариант и менее безопасен. Чтобы Mumble работал через Tor, необходимо запускать его командой torify mumble , а также выбрать пункт Force TCP в сетевых настройках программы.

Электронная почта

Почту в Tails можно использовать точно так же, как и в других ОС. В стандартную сборку входит почтовый клиент Icedove, его настройки и ключи можно хранить в персистентном разделе. Важный нюанс, который следует иметь в виду при отправке писем, состоит в том, что заголовки (subject) не шифруются. Это не ошибка, а особенность реализации протокола, о которой нужно просто знать. Кроме того, файлы, передаваемые по электронной почте, рекомендуется шифровать.

Итого

Я описал лишь некоторые возможности Tails, но базовая сборка содержит внушительный набор дополнительных программ, которые тебе предстоит изучить самостоятельно. Рекомендую, к примеру, посмотреть софт для стирания метаданных файлов — он поможет тебе обезопасить себя еще лучше.

HackWare.ru

Этичный хакинг и тестирование на проникновение, информационная безопасность

Руководство по Tails (часть 4): инструкции и подсказки

Полное оглавление

Подсказки по использованию и инструкции Tails

Подключение к сети. Wi-Fi в Tails

Вы можете подключаться к сети используя проводное, Wi-Fi или подключение к сотовым сетям.

1. Откройте системное меню в правом верхнем углу.

• Если определено проводное подключение, Tails автоматически подключиться к сети.
• Для подключения к Wi-Fi сети, выберите Wi-Fi Not Connected (Wi-Fi не подключён) и затем Select Network (выбрать сеть).
• Для подключения к сотовой сети, выберите Mobile Broadband.

В настоящее время невозможно подключиться к сети используя:

• Dial-up модемы.
• VPN (из-за неразрешимого противоречия: сеть Tor не позволяет создавать соединения, когда известны исходный хост и конечный пункт назначения, а для VPN требуется именно такое соединение).

1. После установления подключения к сети:

• Если вы уже можете подключаться к Интернету, автоматически запустится Tor.
• Если вам нужно зайти в Перехватывающий портал (captive portal) перед получением доступа в Интернет, то смотрите документацию по входу на Перехватывающий портал.

Wi-Fi в Tails

Tails может работать с различными Wi-Fi адаптерами, поэтому при включении просто попробуйте использовать имеющуюся у вас Wi-Fi карту.

Если встроенная Wi-Fi карта не заработала, то на сайте разработчиков Tails рекомендуются следующие беспроводные адаптеры (то есть они точно будут работать в Tails):

• Edimax N150
• Panda Wireless Ultra
• Panda Wireless PAU05

Также рекомендуют попробовать отключить спуфинг (подмену) MAC адреса. Это делается в приветственном экране Tails, в котором нужно нажать + (плюс) для вывода дополнительных настроек.

Помните, что MAC адрес вашей Wi-Fi карты может однозначно идентифицировать ваш компьютер в локальной сети. Поэтому не рекомендуется без необходимости отключать спуфинг MAC адреса.

В Интернет MAC не передаётся, он виден только другим узлам локальной сети, а также в беспроводном пространстве — всем в радиусе досягаемости Wi-Fi сети. MAC может записываться роутером в журнал.

Вход на Перехватывающий портал (хот-спот с авторизацией на веб-интерфейсе)

Многие общедоступные интернет-соединения (обычно доступные через беспроводное сетевое соединение) требуют от своих пользователей зарегистрироваться и войти, чтобы получить доступ в Интернет. Это включает как бесплатные, так и платные сервисы, которые вы можете встретить, в Интернет кафе, библиотеках, аэропортах, отелях, университетах и так далее. Обычно в этих ситуациях так называемый Перехватывающий портал блокирует запрос к веб-сайту и перенаправляет веб-браузер на страницу входа. Это не может работать когда используется Tor, поэтому необходим браузер с доступом без ограничения сетевого доступа.

Tails в своём составе имеет для этих целей Unsafe Browser, и он может быть запущен через меню Applications (Приложения) → Internet (Интернет) → Unsafe Web Browser.

Unsafe Browse (небезопасный браузер) имеет красную тему для отличия его от Tor Browser.

Unsafe Browser не является анонимным. Используйте его только для входа в Перехватывающий портал или для просмотра веб страниц в локальной сети.

Если вы загружаете файлы используя Unsafe Browser, то невозможно получить к ним доступ откуда любо кроме как из самого Unsafe Browser.

Рекомендация по безопасности:

• Не запускайте этот браузер одновременно с анонимным Tor Browser. Вы можете перепутать браузеры друг с другом, что может иметь катастрофические последствия.

Внимание, в последних версиях Tails небезопасный браузер недоступен, если вы явно не включили его при загрузке системы. Как это сделать смотрите в разделе Что такое Небезопасный Браузер в Tails и как его включить.

Установка дополнительных программ в Tails

Какие дополнительные программы я могу установить в Tails?

Tails включает ограниченный набор приложений, но вы можете установить больше программ.

Эти программы распространяются в пакетах, доступные в репозиториях Debian — это примерно как Google Play или App Store.

Чтобы узнать, какие пакеты доступны в Debian:

• Обзор с помощью Synaptic Package Manager (Менеджера пакетов Synaptic):

1. Установите пароль администрирования когда вы запускаете Tails.
2. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Synaptic Package Manager (Менеджер пакетов Synaptic).
3. Дождитесь, пока Synaptic завершит загрузку информации о новых пакетов с серверов Debian.
4. Вы можете:

• Просматривать пакеты выбирая их из левой боковой панели.
• Искать по названиям и описаниям пакетов с помощью кнопки Search (поиск).
• Искать в Интернете альтернативы другим программам.
  Например: «альтернативы debian для photoshop».
• Спросите друга, который знаком с Linux.
• Поиск на сайте Debian.

Будьте осторожны с тем, что вы устанавливаете

Безопасность включённых в Tails пакетов тщательно протестирована. Установка дополнительных пакетов может нарушить встроенную в Tails безопасность, поэтому будьте осторожным с тем, что вы устанавливаете.

Если вы не уверены:

• Пакеты, которые используют сеть, должны быть настроены для работы через Tor. В противном случае они будут заблокированы от доступа к сети.
• Некоторые программы могут, к примеру, изменить файервол или нарушить встроенную безопасность Tails. Но другое программное обеспечение, такое как игры или офисные инструменты, вероятно, не вызовут проблем.
• Программное обеспечение, официально не включённое в Tails, могло быть не протестировано на безопасность. Авторы Tails не могут обеспечить для него поддержку или документацию.
• Только приложения, упакованные для Debian, могут быть установлены и находятся под общественным контролем.

Установка дополнительных программ

Для установки пакета используя Synaptic:

1. При запуске Tails установите пароль администратора.
2. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Synaptic Package Manager (Менеджер пакетов Synaptic).
3. Кликните Search (Поиск) и ищите по имени файла пакета.
4. Кликните правой кнопкой на имя пакета в результатах поиска и выберите Mark for Installation (Отметить для установки).
5. Synaptic вычисляет дополнительные изменения для того, чтобы ваш пакет работал. Кликните Mark (Отметить) для подтверждения этих изменений.
6. Нажмите Apply (Применить) для загрузки, установки и настройки пакета.

Если вы чувствуете себя уверенно в командной строке, вы можете использовать вместо этого команду apt.

Автоматическая установка дополнительных программ при запуске Tails

Чтобы это сделать, вам нужно включить функцию постоянного хранилища Additional Software (Дополнительное программное обеспечение):

После того, как пакет установлен с использованием Synaptic или apt, появится уведомление, которое спросит вас:

Install Only Once — означает установить программу только один раз, для текущей сессии

Install Every Time — устанавливать программу при каждом запуски Tails (когда активировано постоянное хранилище)

• Если вы выбрали Install Every Time, то пакет будет сохранён на постоянное хранилище и автоматически переустанавливаться каждый раз, когда вы запускаете Tails.
  Когда вы подключены к Интернету, пакет также будет автоматически обновляться.
• Если вы выбрали Install Only Once, пакет также сохраниться на постоянное хранилище, но не будет автоматически переустанавливаться каждый раз, когда вы запускаете Tails.
  Этот же пакет иногда может быть переустановлен быстрее, поскольку вам не понадобиться его снова скачивать.

Дополнительная настройка

Некоторые пакеты для работы требуют дополнительной настройки. Чтобы сохранять эти конфигурации для других сессий Tails, вы можете использовать функцию постоянного хранилища Dotfiles (Дотфайлы).

Проверка списка дополнительных программ

Чтобы увидеть, какие пакеты автоматически устанавливаются каждый раз, когда вы запускаете Tails, выберите Applications (Приложения) → System Tools (Системные) → Additional Software (Дополнительное программное обеспечение).

Кликните на кнопку для удаления пакета из списка.

Этот же самый список также доступен из окна настройки постоянного хранилища если кликнуть на кнопку .

Удаление дополнительных программ

Когда вы установили пакет, если вы выбираете:

• Install Only Once вы можете удалить его перезапуском Tails.
• Install Every Time вы можете удалить его
• Используя Additional Software (Дополнительное программное обеспечение):

1. Выберите Applications (Приложения) → System Tools (Системные) → Additional Software (Дополнительное программное обеспечение).
2. Кликните на справа от имени пакета.

• Используя Synaptic:

1. Установите пароль администратора когда вы запускаете Tails.
2. Выберите Applications (Приложения) → System Tools (Системные) → Synaptic Package Manager (Менеджер пакетов Synaptic).
3. Кликните Search (Поиск) и ищите по имени пакета.
4. Кликните правой кнопкой по имени пакета в результатах поиска и выберите Mark for Removal (Пометить для удаления).
5. Кликните Apply (Применить) для удаления пакета.

• Из командной строки используя apt.

После удаления пакета, появится уведомление, спрашивающее вас, хотите ли вы удалить этот пакет из списка дополнительного программного обеспечения.

Освобождение места в вашем постоянном хранилище

После того, как вы установили много пакетов, которые вы больше не используете, вы можете очистить свободное место в вашем персональном хранилище:

1. Установите пароль администрирования, когда вы запускаете Tails.
2. Выберите Applications (Приложения) → System Tools (Системные) → Root Terminal чтобы открыть Root Terminal.
3. Выполните следующую команду:

Настройка дополнительных APT репозиториев (для продвинутых пользователей)

Пакеты, доступные в Debian, находятся под общественным контролем. Настройка дополнительных APT репозиториев может сломать внутреннюю безопасность Tails и может привести к установке программного обеспечения, которое не было одобрено Debian. Будьте особенно осторожны с тем, что вы устанавливаете. Этот шаг обычно не нужен для установки дополнительных программ, и может быть необходим только в очень редких обстоятельствах.

Иногда вам может понадобиться настроить дополнительные репозитории APT. Например, для установки пакетов из раздела non-free репозитория Debian. Чтобы это сделать:

1. Установите пароль администрирования, когда вы запускаете Tails.
2. Создайте папку apt-sources.list.d folder на вашем томе persistent:

1. Отредактируйте /live/persistence/TailsData_unlocked/persistence.conf, конфигурацию постоянного хранилища. Это нужно делать как root и добавьте папку apt-sources.list.d в качестве функции постоянного хранилища следующей ссылкой:

1. Добавьте ваши дополнительные файлы sources.list в папку apt-sources.list. Наприме, для добавления раздела non-free от Debian Jessie, backports и обновлений безопасности, вы можете создать файл с именем /live/persistence/TailsData_unlocked/apt-sources.list.d/non-free.list со следующим содержимым:

Имена файлов должны заканчиваться на .list и могут содержать только следующие символы: буквы, цифры, символ нижнего подчёркивания, тире и точку.

1. Отредактируйте владельца и права доступа на ваши дополнительные файлы sources.list, чтобы их владельцем стал root, и чтобы они были доступны другим только для чтения. Например:

Перезапустите Tails чтобы изменения вступили в силу.

Как установить Tails на (внутренний или внешний) жёсткий диск. Как установить Tails в VirtualBox

Эта инструкция только для тех, кто действительно понимает, зачем ему это нужно. Если вы знаете, зачем вам это нужно, то и недостатки/последствия/отличия от обычной установки Tails вы также должны понимать.

Мы будем использовать встроенные инструмент Tails, мы всего лишь чуточку их подправим.

Кстати, этим же самым способом вы можете установить Tails в VirtualBox.

Загрузитесь с DVD/USB и при входе установите Пароль администратора, затем откройте терминал.

Введите в терминале команду чтобы открыть файл:

В нём найдите строку

и закомментируйте следующие 8 строк ставя перед каждой строкой # (изменение цвета шрифта говорит о том, что вы всё сделали правильно). Это нужно делать вплоть до и включая:

Сохраните и закройте файл.

Теперь откройте файл:

Найдите там строку

И закомментируйте следующие девять строк, вплоть и включая

Должно получиться примерно так:

Сохраните и закройте файл.

Теперь в терминале выполните команду:

Выберите ваш диск и нажмите Install:

Без перезагрузки, смонтируйте раздел "Tails" с только что созданного устройствва/диска используя Applications → Utilities → Disks:

Интересует именно диск, на который установлена Tails, а не пустое место. Для его монтирования нажмите соответствующую кнопку (похожа на кнопку Плей).

В терминале выполните

В gedit будет открыто два файла:

В каждом из них найдите все вхождения строки

и удалите эту строку.

Сохраните и закройте эти файлы

Затем в терминале выполните

В gedit будет открыт файл. В нём аналогично найдите все вхождения строки

и удалите эту строку.

Наконец, выполните команду:

Как обычно, в gedit будет открыт файл. В нём найдите все вхождения строки

и удалите эту строку.

Перезагрузитесь, выберите загрузку с диска (HDD) и при включении установите пароль администратора.

Теперь откройте терминал и выполните там:

Найдите в этом файле:

ПОСЛЕ этой строки вставьте строку

Важно: она ДОЛЖНА быть помещена в колонку 1! Изменение цвета означает, что вы сделали всё правильно:

Ниже найдите строку

ПЕРЕД (над фигурной скобкой ">", которая в той же колонке, что и первая "r" строки "return 1;") вставьте строку

Важно: она ДОЛЖНА быть помещена в колонку 1:

Как вы обычно это делаете, запустите Applications → Tails → Configure persistant volume:

Задайте пароль и создайте постоянное хранилище:

После перезагрузки в окне приветствия появится новое поле, в которое можно ввести пароль для включения постоянного хранилища:

Как обычно через меню можно настроить постоянное хранилище (помните, что должен быть пропатчен файл /usr/local/share/perl/*/Tails/Persistence/Setup.pm​ как это показано выше):

Вы можете сохранить два файла (или по крайней мере /usr/local/share/perl/*/Tails/Persistence/Setup.pm​) и заменять их скриптом после каждой перезагрузки (позаботьтесь о владельцах и правах доступа!) чтобы ваша hdd-Tails вела себя в точности как USB-Tails.

Рекомендую сделать копию файла Setup.pm:

А также рекомендую создать файл, в который мы соберём несколько полезных действий:

Копируем в него:

После перезагрузки файл запускать следующим образом:

В результате в системе будет восстановлена пропатченная версия файла Setup.pm, а также запущены процессы Гостевых дополнений VirtualBox — экран станет большим, заработает буфер обмена и прочее.

Для обновления установленной таким образом системы используйте следующую инструкцию.

Как установить и использовать VeraCrypt в Tails

VeraCrypt отсутствует в стандартных репозиториях Tails. Но её всё равно можно установить вручную. Для VeraCrypt есть портативная версия, поэтому её можно сохранить в папку Persistent и она будет доступна вам после каждой перезагрузки Tails.

Кстати, в Tails есть программа для «разблокировки дисков и контейнеров VeraCrypt», но эта программа не умеет создавать контейнеры и, честно говоря, я не знаю, насколько ей можно доверять. По этой причине мы установим полноценную оригинальную VeraCrypt от автора.

Итак, я покажу, как установить портативную версию VeraCrypt в Tails в раздел Persistent. Следовательно, у вас должно быть включено постоянное хранилище. Вы сможете запускать с него VeraCrypt, а также создавать на этом же самом постоянном хранилище контейнеры VeraCrypt. Следовательно, и программа и зашифрованные контейнеры с вашими файлами будут сохраняться и не пропадать после перезагрузок.

Вы можете установить VeraCrypt вручную, ссылки на официальные сайты и инструкция даны в этой статье.

Но установка VeraCrypt даже в обычный Linux может вызвать недопонимание у пользователей, поэтому был написан скрипт (он в той же статье), который помогает скачать и установить последнюю версию.

Но Tails слишком специфичная система и даже тот скрипт не сможет вам помочь. Поэтому для установки VeraCrypt в Tails был написан ещё один скрипт. Он делает следующее:

• определяет последнюю версию релиза VeraCrypt
• скачивает установочные файлы для последней версии выпуска VeraCrypt
• запускает установочные файлы
• после извлечения, помещает исполнимые файлы VeraCrypt в папку Persistent и присваивает им говорящие имена
• это делается для VeraCrypt с графическим и консольным интерфейсом

Итак, следующей командой создайте файл:

Теперь в этот файл скопируйте скрипт:

Теперь запустите скрипт следующей командой:

Вначале будет запущен установщик графической версии. Важно выбрать извлечение файлов, а не установку. Выберите «Extract .tar Package File»:

Примите условия лицензии:

Два раза нажмите ОК:

Сразу будет выполнен переход к установке консольной версии.

Нажмите Enter для показа лицензии:

Для прокрутки лицензии используйте клавишу Пробел. В самом конце впишите «yes»:

Затем нажмите Enter для выхода.

В результате в папке /home/amnesia/Persistent/ будут созданы два файла:

• VeraCrypt-GUI — графическая версия
• VeraCrypt-CONSOLE — консольная версия

Вы можете запускать их двойным кликом, либо из консоли командами:

Для создания контейнеров права root не нужны, но для монтирования контейнеров они могут понадобиться, в этом случае запускайте программу с правами суперпользователя следующим образом:

О том, как использовать VeraCrypt, а также почему я так люблю эту программу, смотрите в статье «Как надёжно зашифровать файлы, диски, флешку (инструкция по VeraCrypt)».

Как смонтировать диск Tails с правами записи

По умолчанию Tails — это Live система, то все сделанные изменения сохраняются в виртуальную файловую систему (фактически, держаться в оперативной памяти), но после перезагрузки компьютера теряются.

Если вам нужно сделать изменения, которые должны остаться насовсем, то для этого:

Данный метод работает только для Tails установленных на USB и только до следующей перезагрузки. То есть в следующую перезагрузку диск опять смонтируется только для чтения, но изменения, сделанные в то время, когда диск был смонтирован для записи, сохраняться. При этом доступ есть только к файлам загрузчика и его настройкам.

Как обновить программы в Tails

Tails это дистрибутив на основе Debian, поэтому там работают команды для обновления пакетов:

Но в связи с тем, что это Live система, то все сделанные изменения будут потеряны после перезагрузки. В связи с особенностями работы постоянного хранилища (сохраняется только то, что предусмотрено разработчиками), то даже если оно активировано, обновлённые программы не будут туда записываться — то есть после перезагрузки системы пакеты будут в исходном состоянии.

Если вы подключили диск с правами на запись, а затем выполнили обновление программ, то, по идее, сделанные изменения должны сохраниться. Но нужно помнить, что последствия могут быть непредсказуемыми: из-за ограничения места на диске, либо из-за отсутствия в репозитории необходимых пакетов (поскольку это репозиторий Live системы), после такого обновления в системе может произойти что угодно: в том числе она может оказаться полностью неработоспособной.

Защита от атак cold boot

Во время использования компьютера, все данные, с которыми вы обращаетесь, временно записываются в оперативную память (RAM): тексты, сохранённые файлы, также пароли и зашифрованные ключи. Чем более недавняя активность, тем больше вероятность того, что данные все еще будут в ОЗУ.

После выключения компьютера данные в оперативной памяти быстро исчезают, но они могут оставаться в ОЗУ после отключения до нескольких минут. Атакующий, имеющий доступ к компьютеру, до полного исчезновения может восстановить важные данные из вашего сеанса.

Это может быть достигнуто использованием техники называемой cold boot attack. Для предотвращения этой атаки, данные в ОЗУ переписываются случайной информацией во время выключения Tails. Это стирает все следы от вашей сессии на этом компьютере.

Более того, атакующий у которого есть физический доступ к компьютеру во время работы Tails, также может восстановить данные из ОЗУ. Чтобы это избежать, изучить различные методы быстрого выключения Tails (об этом в следующем параграфе).

Насколько мы знаем, атаки cold boot не сильно распространены для восстановления данных, но хорошо быть к ним готовыми. Если сразу после выключения не происходит атака cold boot, оперативная память сама по себе опустошается в течение минут, и все данные пропадают.

Выключение Tails

Имеется несколько способов выключить Tails:

• Физическое удаление USB диска или DVD с которого запущен Tails.

Этот метод в редки обстоятельствах ломает файловую систему вашего постоянного хранилища. Используйте этот метод только в крайних обстоятельствах.

Если после использования этого метода вы не можете включить persistence, у вас должно получиться восстановить большинство информации выполним проверку файловой системы постоянного хранилища.

При выключении информация, имеющаяся в ОЗУ, стирается для защиты от атак cold boot.

Доступ к ресурсам локальной сети

Под термином «локальная сеть» здесь имеется ввиду набор компьютеров и устройств, которые можно достичь напрямую с вашего компьютера без выхода в Интернет. Например, ваш домашний роутер, ваш сетевой принтер или интранет вашей компании скорее всего находятся в вашей локальной сети, также называемой LAN (Local Area Network). С технической точки зрения это относится к IP адресам в диапазонах

• 10.0.0.0-10.255.255.255 (10/8)
• 172.16.0.0-172.31.255.255 (172.16/12)
• 192.168.0.0-192.168.255.255 (192.168/16)

Соображения безопасности

Доступ к ресурсам в локальной сети может быть полезен в контексте Tails, например, для обмена документами с кем-то в той же локальной сети без выхода в Интернет.

Но приложение, которое может подключаться как к ресурсам в Интернете (через Tor), так и к ресурсам в локальной сети (без Tor), может нарушить вашу анонимность. Например, если веб-сайт, который вы посещаете анонимно с помощью Tor Browser, может также подключаться к другим веб-страницам, относящимся к вашей локальной сети, то эта информация может показать ваше местоположение. Вот почему Tor Browser не имеет доступа к локальной сети в Tails.

На этой странице описываются некоторые меры безопасности, встроенные в Tails для защиты от таких атак, и объясняется, как получить доступ к некоторым типам ресурсов в локальной сети.

Предупреждение: соединения с локальной сетью не являются анонимными и не проходят через Tor.

Просмотр веб-страниц в локальной сети

Невозможно получить доступ к веб-страницам в локальной сети с помощью Tor Browser. Это не позволяет веб-сайтам в Интернете определять ваше местоположение по содержанию других веб-страниц, которые могут относиться к вашей локальной сети.

Чтобы получить доступ к веб-страницам в локальной сети, используйте вместо этого небезопасный браузер.

Загрузка файлов с веб-страниц в локальной сети

Если вы загружаете файлы с помощью небезопасного браузера, вы не сможете получить к ним доступ за пределами самого небезопасного браузера.

Чтобы загрузить файлы с веб-страниц в локальной сети, вы можете использовать команду curl. Например, чтобы загрузить документ, доступный в локальной сети по адресу http://192.168.1.40/document.pdf, выполните следующую команду:

Загрузка файлов с FTP-сервера в локальной сети

Откройте файловый менеджер Nautilus — это можно сделать открыв любую папку.

Нажмите на Other Locations (Другие места) на боковой панели.

Введите адрес FTP-сервера в текстовом поле «Подключиться к серверу». Например:

Нажмите Connect (Подключиться).

Надёжное удаление файлов и очистка диска

Зачем использовать надёжное (безопасное) удаление?

При удалении файла операционные системы, на самом деле, не удаляют содержимое файла. Этого не происходит даже после очистки корзины или явного удаления файла, например, из командной строки.

Вместо этого они просто удаляют запись о файле из каталога файловой системы, потому что это требует меньше работы и, следовательно, быстрее. Содержимое файла — фактические данные — остаются на носителе. Данные будут оставаться там до тех пор, пока операционная система не использует пространство для новых данных.

Аналогично, переформатирование, изменение разделов или перезапись образа системы не всегда гарантируют запись в каждую область диска, хотя все это приведёт к тому, что для большинства программного обеспечения диск будет выглядеть пустым или, в случае перезаписи образа, пустым, за исключением файлов, представленных на образе.

Наконец, даже когда носитель данных перезаписан, физические свойства носителя могут позволить восстановить предыдущее содержимое. В большинстве случаев, однако, это восстановление невозможно путём простого считывая данные с запоминающего устройства обычным способом, а требует использования лабораторных методов, таких как разборка устройства и прямой доступ/чтение из его компонентов.

Предупреждение о флешках и твердотельных дисках

Описанные ниже методы не будут работать должным образом на USB-накопителях и твердотельных дисках.

• Существующие методы надёжного удаления отдельных файлов, ориентированные на жёсткий диск, неэффективны.
• Перезапись всего диска в два раза обычно, но не всегда, достаточна для гарантированной очистки диска.

Примечание: к сожалению, в настоящее время Tails не позволяет выполнять эту задачу с помощью графических инструментов.

Гарантированное удаление файлов

В Tails вы можете безопасно удалять файлы благодаря расширению файлового браузера.

1. Откройте браузер файлов, для этого в меню Places (Места) откройте любую папку или кликните на рабочем столе по значку Home («Домашняя папка»).
2. Перейдите к папке, содержащей файлы, которые вы хотите удалить.
3. С помощью мыши выберите файлы, которые вы хотите удалить.
4. Щёлкните правой кнопкой мыши по файлам и выберите Wipe.

В русской версии этот пункт называется Затереть:

1. Подтвердите.
2. Начнётся удаление. Это может длиться от нескольких секунд до нескольких минут, в зависимости от размера файлов. Потерпите…

Примечание: безопасное удаление файлов не удаляет потенциальные резервные копии файла (например, LibreOffice создаёт резервные копии, которые позволяют вам восстановить работу в случае, если LibreOffice перестаёт отвечать).

Очистка Корзины

Прежде чем приступить к безопасной очистке свободного места на диске, обязательно очистите корзину.

1. Откройте браузер файлов, для этого в меню Places (Места) откройте любую папку или кликните на рабочем столе по значку Home («Домашняя папка»).
2. Нажмите на диск, на котором вы хотите очистить корзину в левой панели, чтобы перейти к корню этого диска.
3. В строке заголовка выберите → Show hidden files (Показывать скрытые файлы), чтобы показать скрытые файлы.
4. Удалите папку .Trash-1000 или аналогичную.

Примечание: примените эту технику к папке Persistent, чтобы очистить корзину постоянного тома.

Надёжная очистка доступного дискового пространства

Чтобы очистить содержимое всех файлов, которые ранее были скрыты, но не были надёжно удалены с диска, также можно безопасно очистить все свободное место на диске.

Предупреждение: этот метод не работает должным образом на твердотельных дисках или USB-накопителях.

Диск или папка могут содержать или не содержать другие файлы. Эти файлы не будут удалены во время операции.

1. Откройте браузер файлов, для этого в меню Places (Места) откройте любую папку или кликните на рабочем столе по значку Home («Домашняя папка»).
2. Нажмите на диск, который вы хотите очистить в левой панели, чтобы перейти к корню этого диска.
3. Щёлкните правой кнопкой мыши пустое место на правой панели и выберите Wipe available diskspace (Очистить доступное дисковое пространство).

1. Подтвердить.
2. Очистка начнётся. Это может длиться от нескольких минут до нескольких часов, в зависимости от размера доступного дискового пространства. Потерпите…

Обратите внимание, что в папке создаётся файл с именем, похожим на tmp.7JwHAyBvA9. Он сделан как можно большим, чтобы использовать все доступное дисковое пространство, а затем безопасно удаляется.

Полное удаление Tails и очистка флешки в Windows

В этом параграфе показано, как удалить Tails с USB-накопителя чтобы его можно было использовать для чего-то другого.

Содержимое USB-накопителя будет утеряно в ходе этой операции, но злоумышленник, используя техники восстановления данных, все равно сможет сказать, что на этом USB-накопителе был установлен Tails если впоследствии вы не очистите все свободное место на диске.

Примечание: следующие инструкции не работают в Windows XP. В версии Diskpart для Windows XP нет списка сменных дисков.

Использование Diskpart

Внимание: вы можете перезаписать любой жёсткий диск на компьютере. Если на каком-то этапе вы не знаете номер диска, остановите работу.

1. Убедитесь, что USB-накопитель, который вы хотите сбросить, отключён.
2. Нажмите кнопку «Пуск» и выберите «Все программы» → «Стандартные» → «Командная строка», чтобы открыть командную строку,
3. Выполните команду

чтобы запустить Diskpart.

1. Выполните команду

чтобы получить информацию о каждом диске компьютера.

1. Подключите USB-накопитель, который вы хотите сбросить. Снова запустите команду

В списке появится новый диск, соответствующий этой флешке.

Убедитесь, что его размер соответствует размеру USB-накопителя, который вы хотите сбросить. Запишите номер диска, назначенный Diskpart для флешки.

1. Чтобы выбрать USB-накопитель, выполните следующую команду:

Замените номер номером диска USB-накопителя, который вы хотите сбросить.

1. Выполните команду

чтобы удалить таблицу разделов с USB-накопителя.

1. Выполните команду

чтобы создать новую таблицу разделов на USB-накопителе.

1. Выполните команду

для создания нового первичного раздела на USB-накопителе.

Полное удаление Tails и очистка флешки в Linux

В этом параграфе показано, как в Linux удалить Tails с USB-накопителя чтобы его можно было использовать для чего-то другого.

Содержимое USB-накопителя будет утеряно в ходе этой операции, но злоумышленник все равно сможет сказать, что на этом USB-накопителе был установлен Tails, используя методы восстановления данных, если впоследствии вы не выполните надёжную очистку всего свободного места на диске.

Использование GNOME Disks (программы Диски)

Внимание: вы можете перезаписать любой жёсткий диск на компьютере. Если в какой-то момент вы не уверены, какое устройство выбрать, прекратите работу.

1. Убедитесь, что USB-накопитель, который вы хотите сбросить, отключён.
2. Выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски) для запуска программы GNOME Disks.
   Список всех устройств хранения данных на компьютере отображается в левой панели окна.
3. Подключите USB-накопитель, который вы хотите сбросить.
   Новое устройство появится в списке устройств хранения. Это новое устройство соответствует USB-накопителю, который вы подключили. Нажмите на него.
4. На правой панели окна убедитесь, что устройство соответствует USB-накопителю, который вы хотите сбросить, его марке, размеру хранилища и т. д.
5. Чтобы сбросить USB-накопитель, нажмите кнопку в строке заголовка и выберите Format Disk… (Форматировать диск…).
6. В диалоговом окне Format Disk (Форматировать диск):

• Если вы хотите безопасно удалить все данные, выберите Overwrite existing data with zeroes (Перезаписать существующие данные нулями) в раскрывающемся списке Erase (Стереть).
• В раскрывающемся списке Partitioning (Создание разделов) выберите Compatible with all systems and devices (MBR/DOS) (Совместимо со всеми системами и устройствами» (MBR/DOS)).

Затем нажмите кнопку Format… (Форматировать…).

1. В диалоговом окне подтверждения нажмите кнопку Format (Форматировать) для подтверждения.
2. Чтобы убедиться, что все изменения записаны на USB-накопитель, нажмите кнопку в строке заголовка.

Сброс USB-флешки в самой Tails

Если Tails — ваша единственная система Linux, вы можете сбросить USB-накопитель Tails непосредственно с USB-накопителя во время работы Tails.

1. При запуске Tails добавьте опцию загрузки

в меню Boot Loader. Для получения подробных инструкций см. Документацию по использованию меню загрузчика.

1. Если Tails запускается как обычно, следуйте инструкциям по сбросу USB-накопителя с помощью дисков GNOME.
   Если система не запускается, это означает, что на компьютере недостаточно оперативной памяти (ОЗУ) для этого режима работы. Попытайтесь выполнить сброс с другого компьютера или найдите другую систему Linux, например другую USB-флешку Tails.

Подмена MAC адреса (спуфинг MAC)

Что такое MAC адрес?

Каждый сетевой интерфейс — проводной или Wi-Fi — имеет MAC адрес, который является серийным номером, установленным каждого интерфейса на заводе его производителем. MAC адреса используются в локальной сети для идентификации каждого сетевого интерфейса при передаче данных.

В то время как IP адрес определяет, где вы находитесь в Internet, MAC адрес определяет, какое устройство вы используете в локальной сети. MAC адреса полезны только в локальной сети и не отправляются через Интернет.

Такой уникальный идентификатор, используемый в локальной сети, может навредить вашей конфиденциальности. Вот два примера:

1. Если ваш ноутбук подключается к нескольким Wi-Fi сетям, во всех этих локальных сетях используется один и тот же MAC адрес вашего Wi-Fi интерфейса. Кто-то наблюдающий за этими сетями может распознать ваш MAC адрес и проследить ваше географическое расположение.
2. Другие клиенты локальной сети могут видеть, что кто-то использует Tails, они могут связать пользователя Tails с вашим MAC адресом.

Что означает спуфинг (подмена) MAC адреса?

Tails может временно изменить MAC адрес ваших сетевых интерфейсов на случайные значения на время рабочей сессии. Это и называется «спуфинг MAC адреса». Спуфинг MAC адреса в Tails прячет серийный номер вашего сетевого интерфейса, для стороннего наблюдателя это выглядит так: к сети подключается новое устройство, которое он никогда раньше не видел (и никогда больше не увидит).

Спуфинг MAC адреса включен по умолчанию в Tails поскольку обычно это несёт только выгоды. Но в некоторых ситуациях это также может привести проблемам подключения или сделать вашу сетевую активность выглядящей подозрительно. Эта документация объясняет, использовать ли MAC спуфинг или нет исходя из вашей ситуации.

Когда оставлять подмену MAC адреса включеной

По умолчанию спуфинг MAC адреса включён для всех сетевых интерфейсов. Это обычно полезно, даже если вы не собираетесь прятать ваше географическое расположение.

Вот несколько примеров:

• Используя ваш компьютер в публичных сетях без регистрации, например, бесплатные Wi-Fi сервисы в ресторанах, где вам не нужно регистрировать свою идентичность. В этом случае подмена MAC адреса прячет факт, что ваш компьютер подключался к этой сети.
• Используя ваш компьютер в сетях, которые вы используете часто, например, у друзей, на работе, в университете и так далее. У вас уже есть тесные отношения с этим местом, но подмена MAC-адреса скрывает тот факт, что ваш компьютер подключён к этой сети в определённое время. Это также скрывает тот факт, что вы используете Tails в этой сети.

Когда отключить подмену MAC-адреса

В некоторых ситуациях подмена MAC-адреса не несёт выгоды, но вдобавок может оказаться проблематичной. В таких случаях вы можете отключить подделку MAC-адресов.

Обратите внимание, что даже если спуфинг MAC отключён, ваша анонимность в Интернете сохраняется:

• Злоумышленник в локальной сети может видеть только зашифрованные соединения с сетью Tor.
• Ваш MAC-адрес не отправляется через Интернет на веб-сайты, которые вы посещаете.

Однако отключение подмены MAC-адресов позволяет локальной сети снова отслеживать ваше географическое местоположение. Если это проблематично, рассмотрите возможность использования другого сетевого устройства или перехода в другую сеть.

Вот несколько примеров:

• Использование общедоступного компьютера, например, в интернет-кафе или библиотеке. Этот компьютер регулярно используется в этой локальной сети, и его MAC-адрес не связан с вашей идентификационной информацией. В этом случае подмена MAC-адреса может сделать невозможным подключение. Администраторам сети может даже показаться подозрительным, что в этой сети используется неизвестный MAC-адрес.
• На некоторых сетевых интерфейсах подмена MAC-адреса невозможна из-за ограничений в оборудовании или в Linux. Tails временно отключает такие сетевые интерфейсы. Вы можете отключить подделку MAC-адресов, чтобы иметь возможность их использовать.
• Некоторые сети разрешают соединения только из списка авторизованных MAC-адресов. В этом случае подмена MAC-адреса делает невозможным подключение к таким сетям. Если в прошлом вам был предоставлен доступ к такой сети, то подделка MAC-адресов может помешать вам подключиться.
• Используя свой собственный компьютер дома. Ваша личность и MAC-адрес вашего компьютера уже связаны с этой локальной сетью, поэтому подмена MAC-адреса, вероятно, бесполезна. Но если доступ к вашей локальной сети ограничен на основе MAC-адресов, возможно, будет невозможно установить соединение с поддельным MAC-адресом.

Отключение подделки MAC-адреса

Вы можете отключить подделку MAC-адресов в Tails Greeter:

1. Когда появится Tails Greeter, нажмите кнопку .

1. Когда появится диалоговое окно Additional Settings (Дополнительные настройки), нажмите MAC Address Spoofing (Подмена MAC-адреса).
2. Выберите опцию Don't spoof MAC addresses (Не подделывать MAC-адреса).

Другие соображения

• Другие средства наблюдения могут выявить ваше географическое местоположение: видеонаблюдение, мобильный телефон, транзакции по кредитным картам, социальные контакты и т. д.
• При использовании Wi-Fi любой, находящийся в пределах досягаемости вашего интерфейса Wi-Fi, может видеть ваш MAC-адрес, даже не будучи подключённым к той же точке доступа Wi-Fi.
• При использовании подключения мобильного телефона, такого как 3G или GSM, идентификатор вашей SIM-карты (IMSI) и серийный номер вашего телефона (IMEI) всегда сообщаются оператору мобильной связи.
• Некоторые порталы могут отправлять ваш MAC-адрес через Интернет на свои серверы аутентификации. Это не должно повлиять на ваше решение относительно подмены MAC-адреса. Если вы решили использовать поддельный MAC адрес, то пока он не изменится, ваш Интернет-провайдер будет узнавать ваш компьютер и разрешать подключения.

Опции запуска системы

При запуске Tails вы можете указать параметры запуска, чтобы повлиять на базовую функциональность дистрибутива. Существует два способа указания параметров запуска:

Использование меню Boot Loader

Меню Boot Loader — это первый экран, который появляется при запуске Tails.

Troubleshooting Mode (Режим устранения неполадок) отключает некоторые функции ядра Linux и может работать лучше на некоторых компьютерах. Вы можете попробовать эту опцию, если вы думаете, что у вас возникают ошибки, связанные с совместимостью оборудования при запуске Tails.

1. Чтобы добавить опцию загрузки, нажмите Tab, когда появится меню Boot Loader. Список параметров загрузки отображается в нижней части экрана.

1. Нажмите пробел и введите параметр загрузки, который вы хотите добавить.
2. Если вы хотите добавить более одного варианта загрузки, введите их один за другим и разделите их пробелом.
3. Затем нажмите Enter, чтобы запустить Tails.

Использование Tails Greeter

Tails Greeter появляется после меню загрузчика, но до рабочего стола GNOME:

Вы можете активировать вспомогательные технологии, такие как программа чтения с экрана или большой текст, из меню универсального доступа ( который выглядит как человек) в верхней панели.

Чтобы запустить Tails без опций, нажмите кнопку Start Tails.

Язык и регион

Вы можете настроить Tails в зависимости от вашего языка и местоположения из Tails Greeter.

Раздел языка и региона Tails Greeter

• Опция Language (Язык) позволяет изменить основной язык интерфейса.

Текст, который ещё не переведён, появится на английском языке.

• Параметр Keyboard Layout (Раскладка клавиатуры) позволяет изменить раскладку клавиатуры. Например, чтобы переключиться на клавиатуру AZERTY, которая распространена во Франции.

Вы по-прежнему сможете переключаться между различными раскладками клавиатуры на рабочем столе после запуска Tails.

Меню в правом верхнем углу рабочего стола для переключения между различными раскладками клавиатуры:

• Опция Formats (Форматы) позволяет изменять формат даты и времени, первый день недели, единицы измерения и размер бумаги по умолчанию в соответствии со стандартами, используемыми в стране.

Например, США и Великобритания, две англоязычные страны, имеют разные стандарты:

США	Объединенное Королевство
Дата и время	3/17/2017 3:56 PM	17/03/2017 15:56
Первый день недели	Воскресенье	Понедельник
Система мер	Имперская	Метричная
Размер бумаги	Письмо	A4

С помощью этой опции вы также можете отображать календарь на другом языке, отличным от основного. Например, для отображения американского календаря с неделями, начинающимися в воскресенье, когда основным языком является русский.

Зашифрованное постоянное хранилище

Если на USB-накопителе обнаружено зашифрованное постоянное хранилище, в разделе Tails Greeter появится раздел Encrypted persistence storage «Зашифрованное постоянное хранилище»:

Дополнительные настройки

Tails настроен с осторожностью, чтобы быть максимально безопасным по умолчанию. Но, в зависимости от вашей ситуации, вы можете изменить одну из следующих настроек в Tails Greeter.

Дополнительные настройки Tails Greeter

• Установка администратора, чтобы иметь возможность выполнять административные задачи, такие как установка дополнительного программного обеспечения или доступ к внутренним жёстким дискам компьютера.

Смотрите нашу документацию по паролю администратора.

• Отключите спуфинг MAC-адреса, чтобы предотвратить проблемы с сетевыми интерфейсами.

Смотрите нашу документацию по подмене MAC-адресов.

• Измените конфигурацию сети на:
• Подключайтесь напрямую к сети Tor (по умолчанию).
• Настройте мост Tor или локальный прокси:
• Если вы хотите использовать мосты Tor, потому что ваше интернет-соединение подвергается цензуре, или вы хотите скрыть тот факт, что вы используете Tor.
• Если вам нужно использовать локальный прокси для доступа в Интернет.
• После запуска Tails и подключения к сети, помощник проведёт вас через настройку Tor.
• Отключите все сети, если вы хотите работать полностью автономно с дополнительной безопасностью.

Горячие клавиши

Alt+L	Язык
Alt+K	Раскладка клавиатуры
Alt+F	Форматы
Alt+P	Зашифрованный постоянный раздел
Alt+A	Дополнительные настройки
Ctrl+Shift+A	Пароль администрирования
Ctrl+Shift+M	Спуфинг MAC адреса
Ctrl+Shift+N	Настройка сети
Alt+S	Запустить Tails

Включение беспроводных устройств

При запуске Tails включаются устройства Wi-Fi, WWAN и WiMAX.

Но все другие виды беспроводных устройств, таких как Bluetooth, GPS и FM-устройства, по умолчанию отключены. Если вы хотите использовать такое устройство, вам нужно сначала включить его.

Активация беспроводного устройства

Эта техника использует командную строку.

1. При запуске Tails установите пароль администратора.
2. Чтобы узнать индекс беспроводного устройства, которое вы хотите включить, откройте терминал с правами root и выполните следующую команду:

Например, команда может вернуть следующее:

Индекс устройства — это число, которое появляется в начале трёх строк, описывающих каждое устройство. В этом примере индекс устройства Bluetooth равен 1, а индекс устройства GPS — 2. Вероятно, у вас могут быть другие значения.

1. Чтобы включить беспроводное устройство, выполните следующую команду в терминале root, заменив [индекс] на индекс, найденный на шаге 2:

Пример команды для разблокировки GPS устройства (у вас может быть другая цифра):

1. Чтобы убедиться, что беспроводное устройство включено, снова выполните следующую команду в root терминале:

Эти выходные данные должны быть очень похожи на выходные на шаге 2, но устройство, включённое на шаге 3, больше не должно блокироваться программным способом

Например, команда может вернуть следующее:

Просмотр статуса и цепей Tor

Значок статуса Tor

Текущий статус Tor отображается в виде луковичной иконки в области уведомлений:

Если вы не подключены к Tor, по умолчанию все подключения к Интернету блокируются.

Луковые цепи

Onion Circuits (Луковые цепи) отображает информацию о текущих цепях Tor и соединениях.

Чтобы открыть Onion Circuits, щёлкните значок состояния Tor и выберите Open Onion Circuits (Открыть схемы луковицы).

Цепи, установленные Tor, перечислены на левой панели. Схема Tor состоит из трёх реле:

• Первое реле или охранник. Если вы настроили мост Tor, ваш мост будет первым реле.
• Второе реле или средний узел.
• Выходной узел.

При подключении к целевому серверу, например, при посещении веб-сайта, это соединение появляется в списке под используемой им схемой.

В приведённом выше примере соединение с check.torproject.org проходит через реле Unnamed, betGamersTorRelay и выходной узел hessel0.

Если вы щёлкнете по цепи, на правой панели появятся технические сведения об узле.

Ваши данные не будут сохранены без явного запроса

Tails не оставляет следов на компьютере, который вы используете, если вы не попросите об этом явно. Важно понимать некоторые последствия этого.

Запуск компьютера на носителе, содержащем Tails, ничего не меняет в операционной системе, фактически установленной на вашем жёстком диске: в качестве live системы Tails не нужно использовать ваш жёсткий диск в течение всего сеанса. Если ваш жёсткий диск отсутствует или повреждён, это не помешает вашему компьютеру запустить Tails. Следовательно, для возврата в вашу обычную операционную систему достаточно извлечь диск DVD или USB-диск, содержащий файлы Tails.

Вы должны сохранить все, что хотите сохранить для последующего доступа, на отдельном устройстве (другой USB-накопитель, другой DVD-диск или любое другое устройство по вашему выбору) или использовать функцию постоянного хранилища.

Доступ к внутренним жёстким дискам

Доступ к внутренним дискам компьютера имеет последствия для безопасности:

• Вы можете оставить следы своей деятельности Tails на жёстких дисках.
• Если Tails скомпрометирован, вредоносное ПО может установить себя в вашей обычной операционной системе.
• Если приложение в Tails взломано, оно может получить доступ к личным данным на ваших дисках и использовать их для деанонимизации вас.

Для доступа к внутренним жёстким дискам:

1. При запуске Tails установите пароль администратора.
2. Откройте файловый менеджер Nautilus.
3. Нажмите на жёсткий диск по вашему выбору в левой панели.

Если ваша обычная операционная система находится в режиме гибернации, доступ к ней может привести к повреждению вашей файловой системы. Доступ к вашему диску возможен только в том случае, если ваша система была выключена правильно.

Если на ваших дисках установлена система GNU/Linux, вы можете получить доступ только к файлам, принадлежащим первому пользователю (uid=1000) в этой системе.

Во всех случаях могут возникнуть проблемы с разрешениями. Чтобы обойти ограничения разрешений, вы можете запустить Nautilus с правами администратора.

Как в Tails настроить программу для выхода в Интернет. Настройки Интернет-подключения для утилит командной строки

Все программы Tails настроены для работы через Tor. Если вы попытаетесь выйти в сеть, то если эта программа не настроена делать подключения через Tor, то ей будет запрещён выход в Интернет.

Настраивать использование сети другими приложениями нужно индивидуально для каждой программы.

В качестве настроек нужно выбирать протокол SOCKS (либо SOCKS5), в качестве имени хоста localhost, и в качестве порта 9050.

Аналогично с утилитами командной строки, вы не сможете скачать файл с помощью curl или wget если не будете использовать Tor. Для этого у них есть опция —proxy, поэтому для скачивания файлов программы нужно использовать примерно так:

Вместо https://hackware.ru укажите другое имя хоста или файл для загрузки.

Кстати, такие привычные программы вроде ping также не будут работать — доступ в сеть будет закрыт.

Будет возникать ошибка Destination Port Unreachable:

Как использовать sqlmap в Tails

Поскольку сеть Tor уже настроена, то достаточно добавлять к вашей команде запуска sqlmap флаг —tor. Чтобы убедиться, что всё работает как надо, можно запустить команду с флагом —check-tor. Например:

Строка «Tor is properly being used» говорит о том, что sqlmap посылает свои запросы к целевому сайту через сеть Tor и что они до него доходят.

Использование WPScan в Tails

Сканер WordPress сайтов WPScan имеет опцию —proxy после которой достаточно указать данные сети Tor. Пример команды:

Использование Nmap в Tails

Те сырые запросы, которые Nmap использует для своих сканирований, являются немаршрутизируемыми через сеть Tor. Говоря простым языком, невозможно использовать Nmap в Tails обычным образом. Тем не менее, это возможно при поддержке программы ProxyChains. Как это сделать описано в статье «Анонимные сканирования с Nmap, sqlmap и WPScan через Tor».

Почему в Tails не сохраняется история введённых команд. Как сделать так, чтобы сохранялась история последних команд Bash

История команд, которые вы вводили и выполняли ранее, весьма удобна, поскольку нажимая ↑ (курсорную стрелку вверх) можно сократить время на выполнение однотипной операции. Также если вы ошиблись, можно вернуться к предыдущей команде и подправить её — не нужно заново набирать длинную команду.

Список последних команд храниться в файле .bash_history, который размещён в домашней папке пользователя. В обычных дистрибутивах Linux этот файл сохраняется после перезагрузки и, например, на следующий день вы можете открыть консоль и найти команду, которую вы вводили вчера и выполнить её ещё раз, без необходимости печатать много символов и вспоминать опции. В Tails это не работает — после перезагрузки файл .bash_history обнуляется и в нём доступны команды только за текущую сессию.

Далее будет показано, как сделать так, чтобы файл .bash_history сохранялся после перезагрузки, то есть чтобы сохранялась история команд. Но вы сами должны оценить, насколько это может повлиять на безопасность: например, если злоумышленники смогли завладеть вашей системой и подобрать пароль от постоянного хранилища, то они смогут увидеть, какие команды вы вводили. Если вы этого не хотите, то не включайте сохранение команд — оставьте настройки по умолчанию.

Итак, если вы всё-таки решились, необходимо сделать три действия:

2. В настройках постоянного хранилища включить поддержку Дотфайлов

3. Создать в папке /lib/live/mount/persistence/TailsData_unlocked/dotfiles/ файл .bash_history. Этот файл можно просто скопировать из домашней папки. Вы можете это сделать в файловом менеджере или прямо в командной строке:

Команды, введённые в текущую сессию, сохранены не будут. Эта функция начнёт работать после перезагрузки компьютера и будет активной только при подключении постоянного хранилища.

Как создать и посмотреть публичный и приватный ключи для шифрования сообщений и файлов

Для создания ключей запустите команду:

После перезагрузки Tails эти ключи будут безвозвратно потеряны. Чтобы ключи и настройки GnuPG сохранялись после перезагрузки компьютера, необходимо:

1. активировать постоянное хранилище
2. в настройках постоянного хранилища включить функцию GnuPG

Помните, что сделанные настройки персонального хранилища, в том числе активация GnuPG, начнут действовать при следующей загрузке компьютера и активации постоянного хранилища. Если сразу после включения GnuPG сгенерировать ключи, то они будут потеряны — необходимо перезагрузить компьютер.

Чтобы вывести список уже имеющихся публичных ключей в вашем key ring:

Чтобы вывести список секретных ключей в вашем key ring:

Чтобы показать публичный ключ пользователя Alexey Miloserdov:

Для экспорта публичного ключа пользователя Alexey Miloserdov в файл public.key:

Эта команда создаст файл с именем public.key с ascii представлением публичного ключа пользователя Alexey Miloserdov.

Для вывода публичного ключа пользователя Alexey Miloserdov в терминал:

Для соохранения публичного ключа пользователя Alexey Miloserdov в файл с именем private.key:

Эта команда создаст файл с именем private.key с ascii представлением приватного ключа пользователя Alexey Miloserdov.

Создание и использование томов LUKS с шифрованием

Введение в LUKS

Примечание: Самый простой способ держать документы зашифрованными в Tails — это использовать зашифрованное постоянное хранилище.

Вы можете создавать другие зашифрованные тома, используя LUKS для шифрования, например, другой USB-накопитель или внешний жёсткий диск. LUKS — это стандарт шифрования дисков в Linux.

• GNOME Disks позволяет создавать зашифрованные тома.
• Рабочий стол GNOME позволяет открывать зашифрованные тома.

Сравнение между LUKS и VeraCrypt

Вы также можете открыть зашифрованные тома VeraCrypt в Tails. VeraCrypt — это инструмент шифрования диска для Windows, macOS и Linux. Смотрите документацию о VeraCrypt далее.

Мы рекомендуем вам использовать:

• VeraCrypt для обмена зашифрованными файлами в разных операционных системах.
• LUKS для шифрования файлов для Tails и Linux.

1. Смотрите разницу между файловыми контейнерами и разделами.
2. Можно установить VeraCrypt в Tails и полноценно работать с томами VeraCrypt, в том числе создавать их. Смотрите раздел документации Как установить и использовать VeraCrypt в Tails.
3. Возможное отрицание: в некоторых случаях (например, со скрытыми томами VeraCrypt) злоумышленник не может технически доказать существование зашифрованного тома.

Как создать зашифрованный раздел

Чтобы открыть GNOME Disks выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

Определите ваше внешнее устройство хранения

Disks перечисляет все текущие устройства хранения в левой части экрана.

1. Подключите внешнее запоминающее устройство, которое вы хотите использовать.
2. Новое устройство появится в списке устройств хранения. Нажмите на него:

1. Убедитесь, что описание устройства в правой части экрана соответствует вашему устройству: его марке, размеру и т. д.

1. Нажмите кнопку в строке заголовка и выберите Format Disk… (Форматировать диск), чтобы удалить все существующие разделы на устройстве.
2. В диалоговом окне Format Disk (Форматировать диск):

• Если вы хотите безопасно удалить все данные, выберите Overwrite existing data with zeroes (Перезаписать существующие данные нулями) в раскрывающемся списке Erase (Очистка).
• Выберите Compatible with all systems and devices (MBR/DOS) (Совместимо со всеми системами и устройствами (MBR/DOS)) в раскрывающемся списке Partitioning (Разметка).

Затем нажмите Format… (Формат…).

1. В диалоговом окне подтверждения убедитесь, что это правильное устройство. Нажмите Format (Формат) для подтверждения.

Создание нового зашифрованного раздела

Теперь схема разделов в середине экрана показывает пустое устройство:

Свободное пространство 8,1 ГБ:

1. Нажмите на кнопку , чтобы создать новый раздел на устройстве.
2. В диалоговом окне Create Partition (Создать раздел):

• Partition Size (Размер раздела): вы можете создать раздел на всем устройстве или только на его части. В этом примере мы создаём раздел 4,0 ГБ на устройстве 8,1 ГБ.
• Type (Тип): из выпадающего списка выберите Encrypted, compatible with Linux systems (LUKS + Ext4) (Зашифрованный, совместимый с системами Linux (LUKS + Ext4)).
• Name (Имя): вы можете установить имя для раздела. Это имя остаётся невидимым до тех пор, пока раздел не открыт, но может помочь вам определить его во время использования.
• Passphrase (Пароль): введите кодовую фразу для зашифрованного раздела и повторите её для подтверждения.

Затем нажмите Create (Создать).

Примечание: Если при создании нового раздела возникает ошибка, попробуйте отключить устройство, перезапустить диски GNOME и повторить все шаги с самого начала.

1. Создание раздела занимает от нескольких секунд до нескольких минут. После этого новый зашифрованный раздел появится средитомов на устройстве:

1. Если вы хотите создать ещё один раздел в свободном пространстве на устройстве, щёлкните свободное место, а затем снова нажмите кнопку .

Использование нового раздела

Вы можете открыть этот новый раздел на боковой панели браузера файлов с именем, которое вы ему дали.

После открытия раздела с помощью файлового браузера вы также можете получить к нему доступ из меню Places (Места).

Как отрыть существующий зашифрованный раздел

При подключении устройства, содержащего зашифрованный раздел, Tails не открывает раздел автоматически, но вы можете сделать это из файлового браузера.

1. Выберите Places (Места) → Computer (Компьютер), чтобы открыть браузер файлов.
2. Нажмите на зашифрованный раздел, который вы хотите открыть на боковой панели.

1. Введите парольную фразу раздела в строке пароля и нажмите Unlock (Разблокировать).
2. После открытия раздела с помощью файлового браузера вы также можете получить к нему доступ из меню Places (Места).
3. Чтобы закрыть раздел после его использования, нажмите кнопку рядом с разделом на боковой панели файлового браузера.

Хранение конфиденциальных документов

Такие зашифрованные тома не скрыты. Злоумышленник, владеющий устройством, может знать, что на нем есть зашифрованный том. Примите во внимание, что вас могут заставить выдать его пароль или узнать его обманом.

Открытие зашифрованных томов из других операционных систем

Можно открывать такие зашифрованные тома из других операционных систем. Но это может поставить под угрозу безопасность, обеспечиваемую Tails.

Например, миниатюры изображений могут быть созданы и сохранены другой операционной системой. Или содержимое файлов может быть проиндексировано другой операционной системой.

Как изменить пароль зашифрованного раздела

Чтобы открыть GNOME Disks выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

1. Подключите внешнее устройство хранения, содержащее зашифрованный раздел, для которого вы хотите изменить фразу-пароль.
2. Устройство появится в списке устройств хранения. Нажмите на него:

1. Убедитесь, что описание устройства в правой части экрана соответствует вашему устройству: его марке, размеру и т. д.
2. Нажмите на раздел с в правом нижнем углу.
3. Нажмите кнопку и выберите Change Passphrase…(Изменить пароль…).

Использование зашифрованных томов VeraCrypt

Введение в VeraCrypt

VeraCrypt — это инструмент шифрования диска, который работает в Windows, macOS и Linux.

• Как надёжно зашифровать файлы, диски, флешку (инструкция по VeraCrypt)
• Как установить VeraCrypt в Linux
• Как установить и использовать VeraCrypt в Tails

Сравнение между LUKS и VeraCrypt

Вы также можете создавать и открывать зашифрованные тома LUKS в Tails. LUKS — это стандарт шифрования дисков в Linux. Смотрите нашу документацию по LUKS.

Мы рекомендуем вам использовать:

• VeraCrypt для обмена зашифрованными файлами в разных операционных системах.
• LUKS для шифрования файлов для Tails и Linux.

1. Смотрите разницу между файловыми контейнерами и разделами.
2. Можно установить VeraCrypt в Tails и полноценно работать с томами VeraCrypt, в том числе создавать их. Смотрите раздел документации Как установить и использовать VeraCrypt в Tails.
3. Возможное отрицание: в некоторых случаях (например, со скрытыми томами VeraCrypt) злоумышленник не может технически доказать существование зашифрованного тома.

Разница между файловыми контейнерами и разделами

С VeraCrypt вы можете хранить свои файлы в зашифрованном виде в двух разных видах томов:

Контейнер файлов — это один большой файл, внутри которого вы можете хранить несколько зашифрованных файлов, немного похоже на ZIP-файл.

РАЗДЕЛЫ ИЛИ ДИСКИ

Обычно диски (флешки и жёсткие диски) имеют один раздел на весь диск. Таким образом, вы можете зашифровать целую флешку, например. Но диски также можно разбить на несколько разделов.

Параметры открытия контейнера VeraCrypt в Tails

Чтобы открыть том VeraCrypt, вам могут потребоваться следующие параметры в зависимости от параметров, выбранных при создании тома:

• Passphrase (Пароль)
• Keyfiles (Файлы ключей): вместо или в дополнение к парольной фразе том VeraCrypt может быть разблокирован с помощью определённого файла или набора файлов.
• PIM: число, которое необходимо, если оно было указано при создании тома VeraCrypt.
  Примечание: Из-за текущих ограничений в Debian, использование PIM в Tails не работает. Это станет возможным в Tails 4.0 (конец 2019 года).
• Hidden volume (Скрытый том): если вы хотите разблокировать скрытый том внутри тома VeraCrypt.
• System volume (Системный том): если вы хотите разблокировать зашифрованный системный раздел Windows.

Использование файлового контейнера

Разблокировка файлового контейнера без ключевых файлов

1. Выберите Applications (Приложения) → Utilities (Утилиты) → Unlock VeraCrypt Volumes (Разблокировать тома VeraCrypt).

1. Нажмите кнопку Add (Добавить) и выберите файл контейнера, который вы хотите разблокировать.
2. Введите параметры, чтобы разблокировать том. Для получения дополнительной информации см. раздел «Параметры разблокировки» выше.
   Нажмите Unlock (Разблокировать).
3. Unlock VeraCrypt Volumes разблокирует ваш том.
   Если разблокировка тома не удалась (например, если вы набрали неверный пароль), нажмите Unlock (Разблокировать), чтобы повторить попытку разблокировки.
4. Нажмите Open (Открыть), чтобы открыть том в браузере файлов.

Как разблокировать файловый контейнер VeraCrypt с помощью файлов ключей

1. Выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски) чтобы запустить утилиту Диски.
2. Выберите Disks (Диски) → Attach Disk Image… (Подключить образ диска…) в верхней панели навигации.

1. В диалоговом окне Select Disk Image to Attach (Выбрать образ диска для подключения):

• Снимите флажок Set up read-only loop device (Настроить петлевое устройство только для чтения) в нижнем левом углу, если вы хотите изменить содержимое файлового контейнера.

• Выберите All Files (Все файлы) в фильтре файлов в правом нижнем углу.

• Перейдите к папке, содержащей контейнер файла, который вы хотите открыть.
• Выберите контейнер файла и нажмите Attach (Подсоединить).

1. На левой панели выберите новое Loop Device, соответствующее вашему файловому контейнеру.

На правой панели должно быть надпись Encrypted? (Зашифровано?).

1. Нажмите кнопку в правой панели.
2. Введите параметры, чтобы разблокировать том. Для получения дополнительной информации см. выше раздел «Параметры разблокировки».
   Нажмите Unlock (Разблокировать).
3. Выберите файловую систему, которая отображается под разблокированным томом. Это, вероятно, FAT или NTFS.
4. Нажмите кнопку , чтобы подключить том.
5. Нажмите на ссылку /media/amnesia/ в правой панели, чтобы открыть том в браузере файлов.

Как закрыть файловый контейнер

• На боковой панели браузера файлов нажать кнопку на метке тома, соответствующего вашему файловому контейнеру.

• В Unlock VeraCrypt Volumes, нажмите на кнопку в строке, которая соответствует вашему файловому контейнеру.

Использование раздела или диска

Разблокировка раздела или диска без ключевых файлов

1. Если ваш раздел или диск находится на внутреннем жёстком диске, установите пароль администратора при запуске Tails.
   В противном случае подключите USB-накопитель или жёсткий диск, который вы хотите разблокировать.
2. Выберите Applications (Приложения) → Utilities (Утилиты) → Unlock VeraCrypt Volumes (Разблокировать тома VeraCrypt).
3. В списке разделов нажмите Unlock (Разблокировать) в строке, соответствующей вашей флешке или жёсткому диску.

1. Введите параметры, чтобы разблокировать громкость. Для получения дополнительной информации см. выше раздел «Параметры разблокировки».
   Нажмите Unlock (Разблокировать).
2. Нажмите Open (Открыть), чтобы открыть том в браузере файлов.

Разблокировка раздела или диска с помощью ключевых файлов

1. Если ваш раздел или диск находится на внутреннем жёстком диске, установите пароль администратора при запуске Tails.
   В противном случае подключите USB-накопитель или жёсткий диск, который вы хотите разблокировать.
2. Выберите Applications (Приложения) → Utilities (Утилиты) → Disks (Диски), чтобы запустить утилиту Диски.
3. На левой панели выберите диск, который соответствует вашему USB-накопителю или жёсткому диску.

1. На правой панели выберите раздел, соответствующий вашему тому VeraCrypt.
   Должно быть надпись Encrypted? (Зашифровано?).
2. Нажмите на кнопку в правой панели.
3. Введите параметры, чтобы разблокировать том. Для получения дополнительной информации см. выше раздел «Параметры разблокировки».
   Нажмите Unlock (Разблокировать).
4. Выберите файловую систему, которая отображается под разблокированным томом. Вероятно, это FAT или NTFS.
5. Нажмите кнопку , чтобы подключить том.
6. Нажмите на ссылку /media/amnesia/ в правой панели, чтобы открыть том в браузере файлов.

Закрытие раздела или диска

Вы можете на выбор:

• На боковой панели браузера файлов нажать кнопку на метке тома, соответствующего вашему разделу.

• В программе Unlock VeraCrypt Volumes (Разблокировка томов VeraCrypt) нажать на кнопку в строке, которая соответствует USB-накопителю или жёсткому диску.

Апплет OpenPGP

Tails включает в себя пользовательский апплет, называемый OpenPGP Applet, для манипулирования текстом с использованием OpenPGP.

Внимание: Писать конфиденциальный текст в веб-браузере небезопасно, поскольку атаки JavaScript могут получить к нему доступ изнутри браузера. Вам лучше написать свой текст в отдельном приложении, зашифровать его с помощью апплета OpenPGP и вставить зашифрованный текст в браузер, например, перед его отправкой по электронной почте.

Примечание: При использовании апплета OpenPGP для шифрования электронной почты не-ASCII-символы (например, нелатинские символы или символы с акцентами) могут неправильно отображаться для получателей электронной почты.

Если вы собираетесь часто шифровать электронную почту, мы рекомендуем вместо этого настроить Thunderbird.

Апплет OpenPGP находится в области уведомлений:

С апплетом OpenPGP вы можете:

• Зашифровать текст с парольной фразой
• Шифровать и подписывать текст открытым ключом
• Расшифровать и проверить текст

Обратите внимание, что апплет не управляет вашими ключами, это делает Seahorse.

Шифрование текста OpenPGP паролем

С помощью апплета OpenPGP вы можете зашифровать текст паролем, используя OpenPGP шифрование с помощью ключевой фразы.

Примечание: Этот метод требует, чтобы вы поделились секретной парольной фразой с людьми, которые будут расшифровывать текст. OpenPGP также позволяет использовать криптографию с открытым ключом для отправки конфиденциальных сообщений без использования общей парольной фразы. Смотрите соответствующую документацию.

1. Напишите свой текст в текстовом редакторе. Не пишите это в веб-браузере!
   Нажмите на OpenPGP Applet и выберите Open Text Editor (Открыть текстовый редактор), чтобы открыть gedit.
2. Выделите мышью текст, который вы хотите зашифровать. Чтобы скопировать его в буфер обмена, щёлкните правой кнопкой мыши выделенный текст и выберите в контекстном меню пункт Copy (Копировать).
   Апплет OpenPGP теперь показывает строки текста, что означает, что буфер обмена содержит незашифрованный текст:
3. Нажмите на OpenPGP Applet и выберите Encrypt Clipboard with Passphrase (Шифровать буфер обмен публичным путём — видимо, опечатка в переводе и имеется ввиду не публичный ключ, а пароль).
   Если вы получили сообщение об ошибке The clipboard does not contain valid input data (Буфер обмена не содержит допустимых входных данных), попробуйте скопировать текст снова, начиная с шага 2.
4. В диалоговом окне Passphrase введите пароль по вашему выбору. Повторите ту же фразу во втором диалоговом окне.
5. Апплет OpenPGP теперь показывает замок, то есть буфер обмена содержит зашифрованный текст:
6. Чтобы вставить зашифрованный текст в другое приложение, щёлкните правой кнопкой мыши приложение, в которое вы хотите вставить его, и выберите Paste (Вставить) из контекстного меню.
   Например, вы можете вставить его в веб-браузер и отправить по электронной почте.

Вы также можете расшифровать текст, зашифрованный парольной фразой, используя апплет OpenPGP.

OpenPGP криптография с открытым ключом

С апплетом OpenPGP вы можете зашифровать или подписать текст с помощью открытого ключа шифрования OpenPGP.

Примечание: Этот метод требует использования криптографии с открытым ключом. Если вы никогда ранее не использовали ключи OpenPGP, вы, скорее всего, захотите зашифровать свой текст с помощью парольной фразы в OpenPGP. Смотрите соответствующую документацию.

1. Напишите свой текст в текстовом редакторе. Не пишите его в веб-браузере!
   Нажмите на OpenPGP Applet и выберите Open Text Editor (Открыть текстовый редактор), чтобы открыть gedit.
2. Выделите мышью текст, который вы хотите зашифровать или подписать. Чтобы скопировать его в буфер обмена, щёлкните правой кнопкой мыши выделенный текст и выберите в контекстном меню пункт Copy (Копировать).
   Апплет OpenPGP теперь показывает строки текста, что означает, что буфер обмена содержит незашифрованный текст:
3. Нажмите на апплет OpenPGP и выберите в меню Sign/Encrypt Clipboard with Public Keys (Подписать/зашифровать буфер обмен публичным ключом).
   Если вы получили сообщение об ошибке «Буфер обмена не содержит допустимых входных данных», попробуйте скопировать текст снова, начиная с шага 2.
4. Если вы хотите зашифровать текст, выберите один или несколько открытых ключей для получателей зашифрованного текста в диалоговом окне Choose keys (Выбор ключей). Чтобы выбрать открытый ключ, дважды щёлкните по соответствующей строке в списке Select recipients (Выбрать получателей).
5. Если вы хотите подписать текст, выберите секретный ключ, которым вы хотите подписать текст, в раскрывающемся списке Sign message as (Подписать сообщение).
6. Если вы хотите скрыть получателей зашифрованного текста, установите флажок Hide recipients (Скрыть получателей). В противном случае любой, кто видит зашифрованный текст, может знать, кто является получателем.
7. Нажмите на кнопку ОК.
   Если вы получили предупреждение Do you trust these keys (Доверяете ли вы этим ключам), ответьте соответствующим образом.
8. Если вы выбрали один или несколько открытых ключей для шифрования текста, апплет OpenPGP теперь показывает замок, то есть буфер обмена содержит зашифрованный текст:
   Если вы выбрали только секретный ключ для подписи текста, апплет OpenPGP теперь показывает печать, что означает, что буфер обмена содержит подписанный текст:
9. Чтобы вставить зашифрованный или подписанный текст в другое приложение, щёлкните правой кнопкой мыши приложение, в которое вы хотите вставить его, и выберите Paste (Вставить) из контекстного меню.
   Например, вы можете вставить его в веб-браузер и отправить по электронной почте.

Чтобы хранить ключи и конфигурацию GnuPG в разных рабочих сеансах, вы можете активировать функцию сохранения GnuPG.

Информация о том, как создать свою пару ключей GnuPG смотрите в соответствующем разделе документации.

Вы также можете расшифровать или проверить текст, который зашифрован или подписан с использованием криптографии с открытым ключом с использованием OpenPGP Applet.

Расшифровка и проверка текста, созданного с помощью аплета OpenPGP

С помощью апплета OpenPGP вы можете расшифровать текст, зашифрованный с помощью OpenPGP, или проверить текст, подписанный с помощью OpenPGP.

1. Выделите с помощью мыши зашифрованный текст, который вы хотите расшифровать, или подписанный текст, который вы хотите проверить. Включите строки «——BEGIN PGP MESSAGE——» и «——END PGP MESSAGE——».
   Чтобы скопировать его в буфер обмена, щёлкните правой кнопкой мыши выделенный текст и выберите в контекстном меню пункт Copy (Копировать).
2. Если выбранный вами текст зашифрован, апплет OpenPGP теперь показывает замок, то есть буфер обмена содержит зашифрованный текст:
   Если выбранный вами текст только подписан, но не зашифрован, апплет OpenPGP теперь показывает печать, то есть буфер обмена содержит подписанный текст:
3. Нажмите на Апплет OpenPGP и выберите из меню Decrypt/Verify Clipboard (Расшифровать/Идентифицировать).
4. Если выбранный вами текст только подписан, а подпись действительна, окно результатов GnuPG, описанное в шаге 6, отображается напрямую.
   Если текст подписан и подпись недействительна, появляется сообщение об GnuPG error (ошибке GnuPG), в котором упоминается BAD signature from….
   Если текст зашифрован с помощью ключевой фразы, появится диалоговое окно Enter passphrase (Введите пароль). Введите кодовую фразу, которая использовалась для шифрования текста, и нажмите ОК.
   Если текст зашифрован с использованием криптографии с открытым ключом, могут появиться два разных диалоговых окна.

1. Если ключевая фраза для соответствующего закрытого ключа ещё не кэширована в памяти, появится диалоговое окно со следующим сообщением: You need a passphrase to unlock the secret key for user. (Вам нужна ключевая фраза, чтобы разблокировать секретный ключ для пользователя). Введите кодовую фразу для этого секретного ключа и нажмите ОК.
2. Если в вашем наборе ключей нет секретного ключа, для которого зашифрован текст, появляется сообщение об ошибке GnuPG, в котором упоминается decryption failed: secret key not available (ошибка расшифровки: секретный ключ недоступен).

1. Если фраза-пароль, указанная на шаге 4, неверна, появляется сообщение об ошибке GnuPG, в котором упоминается decryption failed: bad key (ошибка расшифровки: неверный ключ).
2. Если фраза-пароль, предоставленная на шаге 4, правильная, или если подпись текста верна, или и то и другое, появится окно результатов GnuPG.
   Расшифрованный текст появляется в текстовом поле Output of GnuPG (Вывод GnuPG).
   В поле Other messages provided by GnuPG (Другие сообщения, от GnuPG), сообщение Good signature from… (Хорошая подпись от…) подтверждает правильность подписи текста.

Чтобы хранить ключи и конфигурацию GnuPG в разных рабочих сеансах, вы можете активировать функцию постоянного хранения с поддержкой GnuPG.

Как перейти на новую версию Tails

Tails включает в себя автоматический механизм обновления флешки до новой версии. В некоторых случаях невозможно выполнить автоматическое обновление, и вам может потребоваться выполнить обновление вручную. На этой странице описаны оба метода.

Внимание: обновления Tails всегда исправляют важные проблемы безопасности, поэтому важно сделать это как можно скорее.

Постоянное хранилище на USB-накопителе будет сохранено.

Примечание: Если вы используете Tails с DVD, вам нужно записать новый DVD.

Автоматическое обновление с использованием Tails Upgrader

После запуска Tails и подключения к Tor, Tails Upgrader автоматически проверяет наличие доступных обновлений, а затем предлагает обновить USB-накопитель. Обновления проверяются и загружаются через Tor.

Преимущества этой техники следующие:

• Вам нужен только один USB-накопитель Tails. Апгрейд выполняется на лету с запущенного Tails. После обновления вы можете перезапустить и использовать новую версию.
• Обновление гораздо меньше для загрузки, чем полный образ USB.
• Механизм обновления включает в себя криптографическую проверку обновления. Вам больше не нужно проверять USB-образ самостоятельно.

• USB-накопитель с установленной Tails.
• Интернет соединение.

После подключения к Tor, если доступно обновление, появится диалоговое окно с предложением обновить USB-накопитель.

• Мы рекомендуем вам закрыть все другие приложения во время обновления.
• Загрузка обновления может занять много времени, от нескольких минут до нескольких часов.
• Сеть будет отключена после загрузки обновления.

Если вы решили выполнить обновление, нажмите «Upgrade now (Обновить сейчас) и следуйте инструкциям помощника в процессе обновления.

Примечание: Если вы пропустили обновление, каждое обновление будет установлено одно за другим. Например, если у вас Tails 1.3 и текущая версия 1.3.2, будет установлено обновление до 1.3.1, а после перезапуска Tails будет установлено обновление до 1.3.2.

Если вы не можете выполнить обновление при запуске (например, если к тому времени у вас нет сетевого подключения), вы можете запустить Tails Upgrader позже, открыв терминал и выполнив следующую команду:

Рекомендуем прочитать примечания к выпуску последней версии. Они документируют все изменения в этой новой версии:

• новые возможности
• проблемы, которые были решены
• известные проблемы, которые уже были выявлены

Они также могут содержать специальные инструкции по обновлению.

Если возникает ошибка, помощник предлагает вам прочитать одну из следующих страниц:

• Если при проверке доступных обновлений возникает ошибка: https://tails.boum.org/doc/upgrade/error/check/index.en.html
• Если при загрузке обновления произошла ошибка: https://tails.boum.org/doc/upgrade/error/download/index.en.html
• Если при установке обновления произошла ошибка: https://tails.boum.org/doc/upgrade/error/install/index.en.html

Обновление вручную с помощью Tails Installer

Рекомендуем прочитать примечания к выпуску последней версии. Они документируют все изменения в этой новой версии:

• новые возможности
• проблемы, которые были решены
• известные проблемы, которые уже были выявлены

Они также могут содержать специальные инструкции по обновлению.

Не всегда возможно выполнить автоматическое обновление, как описано выше. Например, когда:

• На нашем сайте автоматическое обновление для этой версии недоступно.
• Автоматическое обновление невозможно по техническим причинам (недостаточно памяти, недостаточно свободного места на USB-накопителе и т. д.).
• Вы хотите выполнить обновление с другой USB-карты Tails, на которой уже установлена более новая версия, например, при работе в автономном режиме.
• Не удалось выполнить автоматическое обновление, и вам необходимо починить USB-накопитель Tails.

После подключения к Tor, диалоговое окно информирует вас о необходимости обновить USB-накопитель с помощью Tails Installer до более новой версии Tails. Для этого следуйте нашим инструкциям по обновлению вручную.

Чтобы узнать свою версию Tails, выберите Applications (Приложения) → Tails → About Tails (О программе Tails).

Инструкция по обновлению Tails

1. Загрузитесь с другой Tails (не с той, которую вы хотите обновлять!).
2. Подключите USB диск с Tails, которую вы хотите обновить.
3. Выберите Applications (Приложения) → Tails → Tails Installer (Установщик Tails) для запуска Tails Installer.

1. Выберите ваш USB диск в выпадающем меню Target USB.
2. Для начала обновления, кликните кнопку Upgrade.
   Примечание: постоянное хранилище вашей флешке Tails USB будет сохранено.
3. Прочитайте предупреждающее сообщение в диалоговом окне подтверждения. Для подтверждения нажмите Yes.
   Обновление занимает несколько минут.
   Примечание: прогресс бар обычно замирает на некоторое время во время синхронизации данных на диске.
4. После завершения установки, закройте Tails Installer.

1. Обновление Tails завершено. Теперь вы можете выключить систему и перезагрузиться с вашей USB флешки Tails.

Как обновить Tails на жёстком диске

Если вы установили Tails на внутренний HDD диск или в VirtualBox как это описано здесь, то автоматическое обновление не будет работать. Обновление можно выполнить вручную, но требуются некоторые дополнительные действия.

1. Загрузите Tails с новой версии DVD/ISO/USB и установите пароль администратора.

2. Смонтируйте раздел "Tails" жёсткого диска Используя Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

3. Выполните в терминале команды:

4. Размонтируйте раздел "Tails" жёсткого диска используя Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

5. Откройте файл /usr/lib/python3/dist-packages/tails_installer/creator.py:

В нём найдите строку

и закомментируйте следующие 8 строк ставя перед каждой строкой # (изменение цвета шрифта говорит о том, что вы всё сделали правильно). Это нужно делать вплоть до и включая:

Сохраните и закройте файл.

Теперь откройте файл /usr/lib/python3/dist-packages/tails_installer/gui.py:

Найдите там строку

И закомментируйте следующие девять строк, вплоть и включая

Должно получиться примерно так:

Сохраните и закройте файл.

6. Выполните в терминале:

Это то же самое, что запуск Tails Installers "обновление клонированием", но запуск от root, поскольку запуск от amnesia в конце выдаёт ошибку.

7. Выберите ваш HDD и нажмите кнопку Upgrade:

Убедитесь, что выбран ваш HDD и нажмите кнопку Upgrade:

8. Когда установка успешно завершиться, смонтируйте раздел "Tails" вашего жёсткого диска используя Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

9. Затем выполните команды:

10. Размонтируйте раздел "Tails" вашего HDD используя Applications (Приложения) → Utilities (Утилиты) → Disks (Диски).

11. Выключите компьютер и загрузитесь с жёсткого диска для проверки результатов.

Как в Tails сохранить файлы в веб-браузере

В Tor Browser вы можете сохранять файлы в одну единственную папку — в /home/amnesia/Tor Browser/. Она предлагается по умолчанию, если вы сохраняете какой-либо файл или веб-страницу.

После перезагрузки эта папка очищается.

Если вы хотите, чтобы файл остался после перезагрузки, то переместите его в папку /home/amnesia/Persistent/.

Но файлы, сохранённые в папке /home/amnesia/Persistent/, вы не сможете открыть в браузере Tor. То есть, сохранённые в папку /home/amnesia/Tor Browser/ файлы будут удалены, а сохранённые в постоянное хранилище файлы невозможно открыть. Из этой ситуации есть два выхода.

1. Сохраните скаченные файлы веб-страниц в постоянное хранилище:

После перезагрузки верните файлы в /home/amnesia/Tor Browser/

Вместо копирования и вставки файлов, вы можете использовать символьную ссылку. Для этого в постоянном хранилище создать папку, куда будете сохранять файлы:

ЛИБО, если вы уже сохранили веб-страницы, переместите их в постоянное хранилище:

Затем удалите папку '/home/amnesia/Tor Browser' если она существует:

Создайте символьную ссылку:

В результате, все сохраняемые файлы в веб-браузере будут сразу сохраняться в постоянном хранилище.

После перезагрузки для восстановления доступа из браузера Tor к сохранённым веб-страницам выполните следующее:

У вас не получится открыть файлы с помощью меню веб-браузера Tor: Open menu → Open File. Вам нужно в адресной строке веб-браузера ввести «/home/amnesia/Tor Browser»,

после этого вы увидите список доступных для открытия файлов:

2. Второй способ открыть файлы в постоянном хранилище — установите веб-браузер, у которого отсутствуют ограничение на открытие файлов, например, установка Chromium:

Запустите веб-браузер Chromium:

В нём вы можете открывать веб-страницы с вашего постоянного хранилища.

Как в Tails выгрузить файлы на сайт (сервер) через веб-браузер

Чтобы выгрузить файлы, вам нужно скопировать их в папку /home/amnesia/Tor Browser/, поскольку веб-браузер Tor Browser имеет доступ только к этой директории.

После того, как скопируете файлы в /home/amnesia/Tor Browser/, нажмите на сайте кнопку «Прикрепить файл», перейдите в папку /home/amnesia/Tor Browser/ (должна открыться по умолчанию), выберите файл, который вы хотите отправить и отправьте его.

Что такое Небезопасный Браузер в Tails и как его включить

Небезопасный браузер не анонимен.

Небезопасный браузер не использует Tor. Веб-сайты, которые вы посещаете, могут видеть ваш реальный IP-адрес.

Вот почему мы рекомендуем вам:

• Используйте небезопасный браузер только для входа на Captive Portals (точки доступа с необходимостью авторизации в веб-браузере) или для просмотра надёжных веб-страниц в локальной сети.
• Закройте небезопасный браузер после входа на портал авторизации, чтобы избежать его использования по ошибке.

Небезопасный браузер можно использовать для деанонимизации вас.

Злоумышленник может использовать уязвимость системы безопасности в другом приложении в Tails, чтобы запустить невидимый небезопасный браузер и раскрыть ваш IP-адрес, даже если вы не используете этот небезопасный браузер.

Например, злоумышленник может воспользоваться уязвимостью в системе безопасности Thunderbird, отправив вам фишинговое письмо, которое может запустить невидимый небезопасный браузер и раскрыть им ваш IP-адрес.

Такая атака маловероятна, но может быть проведена сильным злоумышленником, например правительством или хакерской фирмой.

Вот почему мы рекомендуем вам:

• Включайте небезопасный браузер только в том случае, если вам нужно войти на портал авторизации.
• Всегда обновляйтесь до последней версии Tails, чтобы как можно скорее исправить известные уязвимости.

У нас есть планы по устранению основной причины этой проблемы, но это требует серьёзных инженерных работ.

Если вы загружаете файлы используя Unsafe Browser, то невозможно получить к ним доступ откуда любо кроме как из самого Unsafe Browser.

Итак, если вам нужно включить Небезопасный Браузер, то на экране приветствия Tails нажмите кнопку с плюсом (+).

Там выберите Unsafe Browser.

В настройках выберите «Enable the Unsafe Browser» и нажмите кнопку «Add».

Убедитесь, что Unsafe Browser включён и нажмите кнопку «Start Tails».

В меню перейдите в раздел «Internet» и выберите «Unsafe Browser».

Вновь показано предупреждение о том, что этот браузер раскрывает ваш реальный IP адрес, нажмите кнопку «Launch».

Куда монтируется постоянное хранилище

На первый взгляд кажется, что файлы в постоянном хранилище размещены в директории /home/amnesia/Persistent/, но это не так. На самом деле файлы из постоянного хранилища расположены в директории /lib/live/mount/persistence/TailsData_unlocked/.

Где храниться список дополнительного ПО, которое устанавливается автоматически

Список дополнительного программного обеспечения, которое устанавливается автоматически при каждом запуске Tails, храниться в файле /lib/live/mount/persistence/TailsData_unlocked/live-additional-software.conf. Это обычный текстовый файл, в котором имена пакетов размещены в формате «один пакет на строку». Вы можете добавить туда названия пакетов для автоматической установке.

Решение проблем Tails

Tails не загружается

В БИОС найдите и отключите опции Security Boot и Fast Boot. Выберите в качестве источников загрузки флешку или диск с Tails.

Чтобы попасть в БИОС или в меню загрузки попробуйте при старте компьютера много раз нажимать кнопки ESC или Delete. Если это не сработает, то поищите в Google информацию о том, как попасть в БИОС для вашей модели ноутбука или материнской платы (если у вас настольный компьютер).

Если для загрузки вы используете ISO образ, то вместо него попробуйте IMG образ, который установите на USB флешку. Дело в том, что ISO образ не способен загружаться в компьютерах с UEFI, а IMG образ поддерживает одновременно и БИОС и UEFI.

В меню Tails доступно два режима:

• Tails
• Tails (Troubleshooting Mode)

Если вы выберите Tails (Troubleshooting Mode), то будет выводиться информация о загрузке системы, а также показана отладочная информация.

Из-за обилия отладочной информации может быть труднее ориентироваться в выводе обычной информации о загрузке. Поэтому можно выбрать обычный режим, но немного отредактировать опции загрузки, чтобы картинка не закрывала нужную нам информацию. Для этого когда появится меню Tails, нажмите клавишу TAB. В результате будут выведены опции загрузки:

Отредактируйте их (используйте курсорные клавиши для перемещения по строке, и клавишу ← (Backspace) для удаления. Удалите слова quiet, а также splash, чтобы получилось так:

Когда всё готово, нажмите ENTER для продолжения загрузки с отредактированными опциями.

В результате будут выводиться сообщения о загрузки системы. Запомните (или сделайте фотографию) последние из них — они могут помочь для решения вашей проблемы.

Дополнительную информацию смотрите в разделе Опции запуска системы.

Ошибка «Unable to find a medium containing a live file system»

Если при загрузке система сначала довольно надолго застряёт на фразе:

А затем загрузка прерывается ошибкой:

то причин такой проблемы может быть несколько.

Одной из типичных причин этого является то, что USB флеш диск сам себя заявляет как фиксированный (fixed) диск вместо съёмного (removable) носителям.

Чтобы это проверить (и исправить), перезагрузите компьютер, на начальном этапе когда появится меню Tails, нажмите клавишу TAB. В параметрах загрузки найдите и удалите строку «live-media=removable»:

Для продолжения загрузки нажмите ENTER.

Если произойдёт загрузка, значит действительно проблема в этом.

Изменённые параметры загрузки действуют только до следующей перезагрузки. То есть эти изменения придётся делать каждый раз, что неудобно. Чтобы эти изменения сделать постоянными, нужно отредактировать файлы загрузчиков. Для этого при загрузке установите Пароль администратора.

После окончания загрузки откройте терминал и выполните там:

Будет запрошен пароль администратора, который вы установили ранее, он не будет показываться на экране, после ввода нажмите ENTER.

Затем выполните команду:

В программе gedit будет открыто два файла. В каждом из них найдите и удалите строку:

Сохраните и закройте файлы.

Теперь выполните команду:

В программе gedit будет открыто два файла. В каждом из них найдите и удалите строку:

Сохраните и закройте файлы.

Когда всё готово, перезагрузитесь:

Если описанный способ не помог, то попробуйте записать Tails на другую флешку или запустить имеющуюся у вас флешку на другом компьютере.

При выборе Configure persistent volume ничего не происходит

При попытке запуска программы для настройки постоянного хранилища (persistent volume) может ничего не происходить. То есть кликаете по меню Configure persistent volume и не происходит ничего, в том числе не появляются сообщения об ошибках.

Дело в том, что программа Configure persistent volume в случае возникновения ошибки может просто ничего не показывать. Если ошибка предусмотрена в программе (например, вы пытаетесь создать постоянное хранилище не на флешке), но вы выбрали язык Tails любой кроме английского (например, русский), то программа опять же ничего не выведет, так как в ней возникнет уже внутренняя ошибка, поскольку она не умеет работать со строками на русском языке…

Поэтому если при клике на Configure persistent volume начните с того, что перезагрузитесь и не меняйте язык системы — оставьте английский.

Ещё один вариант, запустите Configure persistent volume из командной строки. Для этого откройте консоль, впишите туда и нажмите ENTER:

Должны вывестись ошибки, которые не дают программе запуститься.

Кстати, чтобы Configure persistent volum научилась нормально работать с не-английскими языками, откройте файл /usr/bin/tails-persistence-setup:

И после самой первой строчки добавьте:

Сохраните и закройте файл.

Ошибка «The configuration of your additional software failed»

Данная ошибка возникает при сочетании следующих условий:

• Tails установлена на жёсткий диск или в виртуальную машину
• постоянное хранилище разблокировано
• вы устанавливаете дополнительное ПО
• вы выбираете настройку «устанавливать это ПО при каждом включении Tails»

Текст ошибки на экране:

The configuration of your additional software failed. Please check your list of additional software or read the system log to understand the problem.

Текст ошибки в журнале:

Ключевой здесь является строка «Error: Tails is running from non-USB / non-SDIO device». Система сделала проверку на то, что она работает не на USB носителе и не на оптическом диске и не смогла добавить дополнительное ПО в список автоматически устанавливаемого.