1. Зміст статті Tor, безумовно, одне з найпотрібніших засобів захисту особистих даних. Але щоб убезпечити...
2. вступ
3. установка
4. Початок роботи
5. Додаткове ПО, збереження файлів і налаштувань
6. Захищаємо дані, відкидаємо хвіст
7. Спілкування
8. Електронна пошта
9. Разом

Зміст статті

Tor, безумовно, одне з найпотрібніших засобів захисту особистих даних. Але щоб убезпечити себе з усіх боків і працювати, не залишаючи взагалі ніяких слідів, потрібно набагато більше. Tails - операційна система сімейства Debian Linux, заснована на серйозних принципах захисту даних. Використовуючи флешку з Tails, ти можеш не побоюватися не тільки стеження в інтернеті, але і обшуку в квартирі.

довідник аноніма

Статті з цього циклу публікуються безкоштовно і доступні всім. Ми переконані, що кожен має право на базові знання про захист своїх даних.

Інші статті циклу:

Якщо для тебе ці матеріали тривіальні - відмінно! Але ти зробиш добру справу, відправивши посилання на них своїм друзям, знайомим і родичам, менш підкованим в технічних питаннях.

вступ

Tails - не єдиний дистрибутив Linux, який ставить захист даних на чільне місце. Але, на мій погляд, це на сьогоднішній день найкращий вибір для людини, яка хоче зберегти конфіденційність листування, захищеність особистих даних і збереження важливої ​​інформації від цікавих очей. І якщо вже я заговорив про принципи захисту даних в Tails, то не зайве буде їх перерахувати.

1. Збереження конфіденційності інформації. Тут все просто, нам необхідно захистити нашу інформацію від сторонніх. Для цього ми будемо шифрувати все, використовувати криптостійкі алгоритми і довгі ключі. Щось навіть будемо шифрувати по кілька разів. Ніщо не повинно зберігатися у відкритому вигляді, ніщо не передається у відкритому вигляді.
2. Приховування наявності інформації (стеганографічна захист). Нам необхідно приховати сам факт зберігання або передачі даних. Ми будемо використовувати приховані криптоконтейнера, заповнювати вільні місця на дисках випадковими даними, евристичний відрізнятись від зашифрованих даних.
3. Приховування адресата передачі інформації. Іноді може знадобитися приховати від чужих очей не тільки саму інформацію, а й адресата. У цьому нам допоможе багатошарове шифрування і «цибулевий» маршрутизація.
4. Правдоподібний відмову (plausible deniability). Може виникнути необхідність направити наполегливих цікавих (наприклад, при огляді) на хибний слід. Поверх прихованих контейнерів з важливими даними ми створимо хибні, але дуже правдоподібні зашифровані розділи, в яких будемо зберігати куховарську книгу і картинки з котами з інтернету.
5. Можливість відмовитися від факту передачі інформації, відкликати свої цифрові підписи і так далі. У цьому нам допоможе протокол OTR і використання HMAC замість ЕЦП.
6. Робота на комп'ютері без слідів. Все, що може залишитися в оперативній пам'яті, на жорсткому диску або навіть в пам'яті відеокарти, необхідно ретельно зачистити. Все важливе повинно зберегтися тільки на надійно зашифрованому, прихованому і захищеному нами носії, небезпека витоку повинен бути зведений до мінімуму.

Всі ці принципи доповнюють один одного. Якщо ти дійсно стурбований захистом своїх даних і збереженням конфіденційності, ним не гордує жодним з них.

установка

Для установки Tails нам знадобиться дві флешки. Чому дві? Щоб зрозуміти, що таке рекурсія, потрібно спочатку зрозуміти, що таке рекурсія. А Tails можна встановити, лише використовуючи Tails. Викачуємо ISO з офіційного сайту tails.boum.org . Образ рекомендується відразу перевірити за допомогою OpenPGP, докладна інструкція про те, як це зробити, є на сайті. Скачаний образ записуємо на першу, проміжну флешку за допомогою Universal Usb Installer. Після цього можна вимикати комп'ютер і завантажуватися з флешки. Коли ОС завантажиться, потрібно буде вставити другу (основну) флешку і вибрати Applications → Tails → Tails Installer Install by Cloning.

Якщо все вийшло, то система готова до роботи.

Початок роботи

Після завантаження з робочою флешки нам буде потрібно створити постійний (persistent) захищений розділ, своєрідний «жорсткий диск на флешці». Це робиться через Application → Tails → Configure Persistence.

Перезавантажуємо комп'ютер і на завантажувальному екрані вибираємо Use Persistence і More Options, після чого вводимо пароль для нашого сховища.

З меню внизу екрану вибираємо регіон. Це важливо, оскільки від регіону залежать вхідні вузли Tor. Тут слід поекспериментувати. У моєму випадку найкращим вибором виявилася Данія.

В меню розширених налаштувань задаємо пароль для програм, яким потрібні права адміністратора. Можеш поставити будь-який, він працює в рамках сесії і ні на що більше не впливає.

Май на увазі, що завантаження займає деякий час, а потім Tails ще кілька хвилин буде підключатися до Tor. Відстежувати процес можна, клацнувши по іконці Onion Circuits - цибулинки в верхньому правому куті екрану.

Через деякий час Tails проінформує про успішне підключення до Tor. За замовчуванням мережу налаштована так, що весь трафік буде проходити через нього. Тепер можна завантажити все, що нам потрібно для роботи.

Додаткове ПО, збереження файлів і налаштувань

За замовчуванням Tails не розрахована на збереження встановленого ПО, налаштувань і файлів після виключення комп'ютера. Однак творці передбачили можливість зберігати деякі дані в персистентному розділі. Налаштувати, що саме буде зберігатися, можна в розділі Settings → Persistent.

Більшість пунктів меню очевидні, тому я зупинюся на останніх трьох. Другий і третій з кінця відповідають за зберігання APT-пакетів. Tails заснована на Debian, тому більшість потрібного нам ПО можна встановити за допомогою apt-get. І хоча самі програми при відключенні комп'ютера не будуть збережені, пакети APT при відповідних настройках залишаться в персистентному розділі. Це дозволяє розгортати все потрібне ПО в процесі завантаження системи.

Останній пункт меню Dotfiles дозволяє створити в персистентному розділі папку з файлами, посилання на які будуть створюватися в домашній папці Tails при завантаженні. Виглядає це наступним чином.

Ось приклад структури файлів в постійному розділі.

/ Live / persistence / TailsData_unlocked / dotfiles ├── file_a ├── folder │ ├── file_b │ └── subfolder │ └── file_c └── emptyfolder

У домашній папці при такому розкладі буде наступна структура посилань:

/ Home / amnesia ├── file_a → / live / persistence / TailsData_unlocked / dotfiles / file_a └── folder ├── file_b → / live / persistence / TailsData_unlocked / dotfiles / folder / file_b └── subfolder └── file_c → / live / persistence / TailsData_unlocked / dotfiles / folder / subfolder / file_c

Захищаємо дані, відкидаємо хвіст

Сам по собі наш персистентний розділ вже зашифрований. Однак у нього є істотний недолік: він не забезпечує правдоподібне заперечення наявності зашифрованих даних. Щоб забезпечити правдоподібне заперечення, я запропоную рішення, яке відрізняється від рекомендацій творців Tails. Як вчинити тобі - вирішуй сам.

Творці Tails рекомендують використовувати cryptsetup, заснований на LUKS. Ця програма дозволяє створювати приховані розділи, однак такий розділ прихований не до кінця. Наскільки мені відомо, існує можливість виявити заголовок прихованого розділу, що дозволяє встановити його наявність.

Такий прихований розділ особисто мене не влаштовує. Тому я вирішив використовувати старий добрий TrueCrypt версії 7.1а. Тема прихованого розділу TrueCrypt не відрізняється від випадкових даних, і, наскільки мені відомо, виявити його неможливо. Двійковий файл програми TrueCrypt краще зберігати тут же, в персистентному розділі.

Детально описувати процес створення подвійного криптоконтейнера я не стану, зазначу лише важливий нюанс. Оскільки прихований розділ TrueCrypt по-справжньому прихований, про його існування не здогадується навіть сама програма, поки ти не введеш потрібний пароль. Через це під час запису файлів в помилковий розділ прихований розділ може бути пошкоджений. Щоб цього не сталося, при монтуванні помилкового розділу для запису на нього картинок котиків потрібно вибрати Mount Options → Protect hidden volume when mounting outer volume.

Подібно ящірці, яка при небезпеки відкидає свій хвіст, ми тепер в разі потреби зможемо ввести пароль від фальшивого розділу і продемонструвати всім фотографії котиків замість конфіденційної інформації.

Спілкування

Тепер, коли ми убезпечили нашу інформацію, можна приступити до її передачі, тобто до спілкування. Почнемо з Pidgin. Він відмінно годиться в якості клієнта IRC, а в Tails його ще й трохи посилили. До складу ОС входить Pidgin з встановленим плагіном для протоколу OTR. Саме він нам цікавий найбільше. Уникаючи складної математики, можна сказати, що цей протокол забезпечує захищену передачу даних з можливістю зречення, тобто довести, що конкретне повідомлення написано конкретною людиною, неможливо.

Перш ніж почати спілкуватися з кимось по протоколу OTR, потрібно підключитися до сервера IRC. При цьому дуже важливо упевнитися в використанні SSL. Tor шифрує трафік при передачі його між вузлами, але, якщо ти не будеш використовувати SSL, твій трафік буде передаватися у відкритому вигляді до вхідного вузла Tor і від вихідного вузла адресату. Деякі вузли Tor забанені на серверах IRC, тому може знадобитися перезапуск Tor. Зробити це можна командою /etc/init.d/tor restart.

Після того як з'єднання з сервером встановлено, вибираємо Buddies → New Instant Message.

У вікні діалогу вибираємо Not Private → Start Private Conversation.

Буде запропоновано три варіанти для аутентифікації: ввести відповідь на секретне питання, який ви обговорили з співрозмовником заздалегідь (в цьому випадку необхідно ввести один і той же відповідь, прогалини і регістр вважаються); ввести загальну «секретну» фразу; перевірити fingerprint - це сорокасімвольная послідовність, що ідентифікує користувача OTR.

Тепер можна листуватися по OTR. Але як щодо голосового спілкування? Тут, на жаль, не все гладко. Оскільки Tails направляє весь трафік через Tor, виникає ряд проблем для голосового спілкування. По-перше, більшість VoIP-програм використовують UDP, в той час як через Tor можлива передача тільки пакетів TCP. По-друге, Tor не відрізняється швидкістю і пакети іноді приходять з сильною затримкою. Так що можливі затримки і розриви зв'язку.

Проте існує OnionPhone, спеціальний плагін для TorChat. Непогано справляється і Mumble, хоча цей варіант і менш безпечний. Щоб Mumble працював через Tor, необхідно запускати його командою torify mumble, а також вибрати пункт Force TCP в мережевих налаштуваннях програми.

Електронна пошта

Пошту в Tails можна використовувати точно так же, як і в інших ОС. У стандартну збірку входить поштовий клієнт Icedove, його налаштування і ключі можна зберігати в персистентному розділі. Важливий нюанс, який слід мати на увазі при відправці листів, полягає в тому, що заголовки (subject) не зашифровано. Це не помилка, а особливість реалізації протоколу, про яку потрібно просто знати. Крім того, файли, що передаються по електронній пошті, рекомендується шифрувати.

Разом

Я описав лише деякі можливості Tails, але базова збірка містить значний набір додаткових програм, які тобі належить вивчити самостійно. Рекомендую, наприклад, подивитися софт для стирання метаданих файлів - він допоможе тобі убезпечити себе ще краще.