Tails: superbezpečný systém nejen pro Snowdena

Roman Bořánek 29. 1. 2016

Anonymizační síť Tor už je známá věc, ale čím dál častěji se skloňuje i Tails. Název linuxové distribuce, která staví právě na Toru a obsahuje to nejlepší ze svobodných šifrovacích a anonymizačních technologií. A co je na tom nejlepší? Tails umožňuje zajištění vysoké míru ochrany i běžným uživatelům.

Distribuce Tails se vyvíjí už od poloviny roku 2009, nicméně dlouho se o ní moc nemluvilo. V té době se koneckonců bezpečnost nebo anonymita ještě tolik neřešila. Změnilo se to v roce 2013 odhalením nechvalně proslulých špehovacích programů NSA. A zde spojitost nekončí – Tails totiž používal i sám Edward Snowden, když vynášel tajné informace o oněch programech. Dnes Tails mimo jiné používá řada novinářů, kteří potřebují zametat stopy po svém protirežimním či protistátním působení. Ale je to systém pro každého, kdo vyžaduje co největší možnou bezpečnost a anonymitu. Tails také najdete skoro v každém návodu na bezpečnou manipulaci s bitcoiny.

Projekt si nyní zasluhuje pozornost i proto, že konečně našel pořádný systém vývoje a nové verze vychází každých šest týdnů. Teď zrovna vyšla verze 2.0, která je založena na Debianu 8. Pokud čekáte nějaké lehkotonážní grafické prostředí, jste na omylu. Tails používá GNOME 3.14 s rozhraním Shell. Nutno ale dodat, že Shell běží v tzv. klasickém režimu, který do značné míry připomíná GNOME 2 s tradiční nabídkou aplikací a lištou s přehledem otevřených oken. Stejně si ale myslím, že by distribuci víc slušelo třeba takové LXQt.

Design distribuce je jednoduchý a účelový

Instalace a aktualizace

Tails se profiluje čistě jako živá distribuce, na které byste neměli vůbec nic měnit ani ji nikam napevno instalovat – své místo má na USB flash discích, DVD nebo ve virtualizačním softwaru. Zde se podíváme jen na bezesporu nejpoužívanější variantu s USB. ISO obraz Tails má něco přes jeden gigabajt a pro bezproblémové používání je potřeba flash disk o velikosti 4 GB. Existují tři způsoby, jak Tails na flash disk dostat:

  1. Tails Installer – Použití oficiálního instalátoru je nejbezpečnější, nejspolehlivější a zaručuje kompletní funkčnost Tails (včetně možnosti ukládat data). Problém je v tom, že instalátor je aktuálně dostupný jen pro Debian a odvozené distribuce.
  2. Alternativní nástroj – Jistě znáte X dalších nástrojů, které dokážou dostat ISO obraz na flash disk. Většina z nich by měla fungovat i s Tails. Takto nainstalovaná distribuce však neumožňuje ukládat data.
  3. Klonování distribuce – Toto řešení spočívá v tom, že nainstalujete Tails pomocí alternativního nástroje, spustíte systém z USB a v něm spustíte instalátor, který systém naklonuje na další flash disk. Výsledek bude nejlepší možný, stejný jako u možnosti číslo 1. Nevýhody jsou zřejmé – potřebujete dva flash disky a je to otrava.

Distribuci lze aktualizovat dvěma způsoby. Oba ale fungují jen v případě, že byla nainstalována pomocí Tails Installeru (tedy způsob 1 nebo 3). Běžně vám distribuce prostě nabídne aktualizaci, kterou potvrdíte a balíčky se aktualizují. Ale pozor, nezkoušejte to sami přes apt! Tails to řeší trochu jinak a po svém. Další možnost (někdy jediná, pokud v distribuci proběhly větší technické změny) je stáhnout nový obraz a nahodit ho přes Tails Installer z jiného systému. Data v obou případech zůstanou zachována.

Tails Installer

Všechna data zmizí, ledaže…

Distribuce je nakonfigurována tak, aby nezanechávala žádné stopy. Na flash disku se žádné soubory nemění a při vypnutí systému systému dojde ke kompletnímu vymazání operační paměti počítače – to aby nešlo provést cold boot attack. Existuje ale také možnost ukládat data na použitý flash disk, na kterou systém běžně neupozorňuje. Asi proto, že by ji pro jistotu zvolil každý druhý a zbytečně tak (teoreticky) o něco snížil svou bezpečnost.

Pokud byste chtěli ukládat data, musíte spustit průvodce Configure persistent storage, který pro vás na flash disku vytvoří šifrovaný soubor (pod vaším heslem), kam se budou data ukládat. Také se vás zeptá, co všechno vlastně chcete ukládat. Ve výchozím stavu jsou to pouze data v adresáři Persistent, ale můžou to být třeba i uživatelská data z komunikátoru, bitcoinové peněženky nebo SSH klíče. Toto nastavení lze změnit i později, ale aby se projevilo, musíte restartovat počítač.

Co chcete ukládat, milý uživateli?

Při startu systému samozřejmě musíte zadat heslo, aby se uložené soubory zpřístupnily. Stále ale máte možnost spustit systém v režimu bez úložného prostoru – uložená data na disku zůstanou, jen se s nimi v tomto sezení nijak nebude pracovat a nebudou rozšifrována.

Známý software, ale bezpečněji

Velikost obrazu přesahující jeden gigabajt značí, že Tails zase není nějaká tenká distribuce. Softwarová výbava je celkem standardní a bohatá. Nechybí kompletní kancelář LibreOffice, grafický editor GIMP, správce souborů Nautilus nebo několik programů pro nejrůznější práci s multimédii. Obyčejné programy tu ale nebudeme rozebírat, spíš se podívejme na ty, které mají co dočinění s anonymitou nebo bezpečností.


Tor Browser – bez něj by to nešlo
  • Tor Browser – Prohlížeč založený na Firefoxu, který běží výhradně přes anonymizační síť Tor. Obsahuje i několik důležitých doplňků pro co nejlepší ochranu před sledováním jako NoScript nebo AdBlock Plus.
  • Nebezpečný prohlížeč – Tor Browser v režimu, kdy neběží přes Tor a prohlížení tedy nijak neanonymizuje. Takže vcelku standardní Firefox. Na každém kroku vás varuje a svítí červenou barvou. Měli byste ho použít až jako poslední možnost.
  • Icedove – Rebrandovaná verze e-mailového klienta Thunderbird. Pokročilou podporu OpenPGP zajišťuje zahrnutý doplněk Enigmail.
  • Pidgin – Zámý komunikátor doplněný o podporu protokolu Off-the-Record Messaging.
  • Electrum – Jednoduchá bitcoinová peněženka, která navíc umožňuje vygenerování soukromého klíče ze seedu (sekvence normálních slov).
  • KeePassX – Správce hesel.

Bitcoinová peněženka Electrum

Tímto výčet nekončí, k dispozici je ještě několik programů či utilitek, které vám pomůžou se šifrování, ověřením hashe apod. Naopak chybí klient pro BitTorrent, protože stahování torrentů přes Tor není vhodné (příliš zatěžuje síť) a ani moc anonymní. Součástí instalace je také klient alternativní anonymizační sítě I2P. Další programy je možné instalovat z debianovského repozitáře, ale některé z nich je pak třeba nakonfigurovat, aby fungovaly přes Tor. Tudy totiž protéká veškerá komunikace s internetem s výjimkou nebezpečného prohlížeče. Myslím ale, že výchozí nabídka softwaru je vzhledem k charakteru distribuce úplně dostačující.

widgety

Bezpečnost a anonymita pro každého

Tails se označuje za distribuci, která zaručí soukromí každému. Já bych to změnil na každému, kdo o něj má skutečně zájem. Distribuce je na první pohled stejná jako ostatní, používá stejný software, ale někdy vyžaduje trochu jiný přístup, aby vás skutečně dokázala ochránit – před zloduchy i vlastní blbostí. Naštěstí vás Tails nenechá na holičkách, často vám srozumitelně vysvětlí, co zrovna dělá, proč to dělá a proč je to pro vás dobré. Někdy vás také odkáže na dokumentaci, do které byste opravdu měli nahlédnout, protože obsahuje důležité informace a je výborně zpracovaná.

Je Tails opravdu bezpečný? Těžko říct, koneckonců stoprocentní bezpečnost je chiméra. Je Tails jeden z nejbezpečnějších systémů na trhu? Velmi pravděpodobně. Je Tails nejbezpečnější systém, se  kterým si poradí i běžní uživatelé? Určitě. Co se týče funkčnosti, tak není co vytknout. Vše funguje a i pokud pomineme celý aspekt bezpečnosti, tak Tails působí jako fajn distribuce na flešku. Vytkl bych snad jen krkolomnou instalaci, která je způsobena nedostupností Tails Installeru pro další systémy. Snad se to zlepší.

Našli jste v článku chybu?
Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...