wiki/src/doc/encryption_and_privacy/encrypted_volumes.mdwn

   1 [[!meta title="Create and use encrypted volumes"]]
   2
   3 The simplest way to carry around the documents you want to use with Tails and
   4 make sure that they haven't been accessed nor modified is to store them in an
   5 encrypted volume: a dedicated partition on a USB stick or an external hard-disk.
   6
   7 Tails comes with utilities for LUKS, a standard for disk-encryption under Linux.
   8
   9   - The GNOME <span class="application">Disk Utility</span>, allows you to
  10     create encrypted volumes.
  11   - The GNOME desktop, allows you to open encrypted volumes.
  12
  13 <div class="caution">
  14
  15 <p>To store encrypted files on a Tails device, it is recommended to create a
  16 [[persistent volume|first_steps/persistence]] instead.</p>
  17
  18 </div>
  19
  20 <div class="note">
  21
  22 <p>[[Administration
  23 privileges|first_steps/startup_options/administration_password]] are required to
  24 modify the list of partitions on the USB stick or SD card from which Tails is
  25 running.</p>
  26
  27 </div>
  28
  29 [[!toc levels=1]]
  30
  31 Create an encrypted partition
  32 =============================
  33
  34 To open the GNOME <span class="application">Disk Utility</span> choose
  35 <span class="menuchoice">
  36   <span class="guimenu">Applications</span>&nbsp;▸
  37   <span class="guisubmenu">Accessories</span>&nbsp;▸
  38   <span class="guimenuitem">Disk Utility</span></span>.
  39
  40 <h2 class="bullet-number-one">Identify your external storage device</h2>
  41
  42 <span class="application">Disk Utility</span> lists all the current storage
  43 devices on the left side of the screen.
  44
  45   1. Plug in the external storage device that you want to use.
  46
  47   1. A new device appears in the list of storage devices. Click on it:
  48
  49      [[!img storage_devices_after.png link=no alt="A new storage device appeared
  50      in the list"]]
  51
  52 <h2 class="bullet-number-two">Format the device</h2>
  53
  54   1. Check that the description of the device on the right side of the screen
  55   corresponds to your device: its brand, its size, etc.
  56
  57   1. Click on <span class="guilabel">Format Drive</span> to erase all the
  58   existing partitions on the device.
  59
  60   1. In the dialog box to select the <span class="guilabel">Scheme</span>, if
  61   you are unsure, leave the default option <span class="guilabel">Master Boot
  62   Record</span> selected.
  63
  64 <h2 class="bullet-number-three">Create a new encrypted partition</h2>
  65
  66 Now the schema of the partitions in the middle of the screen shows an empty
  67 device.
  68
  69 [[!img empty_device.png link=no alt="Free 3.9 GB"]]
  70
  71   1. Click on <span class="guilabel">Create Partition</span>.
  72
  73   1. Configure the new partition:
  74
  75      [[!img create_partition.png link=no alt="Create partition on…"]]
  76
  77     - <span class="guilabel">Size</span>. You can decide to create a partition
  78       on the whole device or just on part of it. In this example we are creating
  79       a partition of 2.0 GB on a device of 3.9 GB.
  80     - <span class="guilabel">Type</span>. You can change the file system type of
  81       the partition. If you are not sure you can leave the default value:
  82       <span class="guilabel">Ext4</span>.
  83     - <span class="guilabel">Name</span>. You can set a name for the partition.
  84       This name remains invisible until the partition is open but can help
  85       you to identify it during use.
  86     - <span class="guilabel">Encrypt underlying device</span>. Select this
  87       option to encrypt the partition.
  88
  89     Then click on the <span class="button">Create</span> button.
  90
  91   1. Enter a passphrase for the new partition in the
  92      <span class="guilabel">Enter passphrase</span> dialog box. Then click on
  93      the <span class="button">Create</span> button.
  94
  95   1. Creating the partition takes from a few seconds to a few minutes. After
  96      that, the new encrypted partition appears in the volumes of the device:
  97
  98      [[!img encrypted_partition.png link=no alt="Encrypted 2.0 GB / secret 2.0 GB ext4"]]
  99
 100   1. At this point you can create other partitions in the free space left on the
 101      device, if you want, by clicking on it and doing again
 102      <span class="guilabel">Create Partition</span>.
 103
 104 <h2 class="bullet-number-four">Use the new partition</h2>
 105
 106 You can access this new volume from the <span class="guimenu">Places</span> menu
 107 with the name you gave it.
 108
 109 [[!img places_secret.png link=no alt="Places&nbsp;▸ secret"]]
 110
 111 Open an existing encrypted partition
 112 ====================================
 113
 114 When plugging a device containing an encrypted partition, Tails does not mount it
 115 automatically but it appears in the <span class="guimenu">Places</span>
 116 menu. If several partitions appear as <span class="guimenu">Encrypted</span>,
 117 like in the example, you can use its size to guess which one is the one you want
 118 to open.
 119
 120 [[!img places_encrypted.png link=no alt="Places&nbsp;▸ 2.0 GB Encrypted"]]
 121
 122 Once you are done using the device, to close the encrypted partition choose
 123 <span class="menuchoice">
 124   <span class="guimenu">Places</span>&nbsp;▸
 125   <span class="guisubmenu">Computer</span></span>,
 126 right-click on the device, and select <span class="guilabel">Safely
 127 Remove Drive</span>.