Tails: superbezpečný systém nejen pro Snowdena

Roman Bořánek 29. 1. 2016

Anonymizační síť Tor už je známá věc, ale čím dál častěji se skloňuje i Tails. Název linuxové distribuce, která staví právě na Toru a obsahuje to nejlepší ze svobodných šifrovacích a anonymizačních technologií. A co je na tom nejlepší? Tails umožňuje zajištění vysoké míru ochrany i běžným uživatelům.

Distribuce Tails se vyvíjí už od poloviny roku 2009, nicméně dlouho se o ní moc nemluvilo. V té době se koneckonců bezpečnost nebo anonymita ještě tolik neřešila. Změnilo se to v roce 2013 odhalením nechvalně proslulých špehovacích programů NSA. A zde spojitost nekončí – Tails totiž používal i sám Edward Snowden, když vynášel tajné informace o oněch programech. Dnes Tails mimo jiné používá řada novinářů, kteří potřebují zametat stopy po svém protirežimním či protistátním působení. Ale je to systém pro každého, kdo vyžaduje co největší možnou bezpečnost a anonymitu. Tails také najdete skoro v každém návodu na bezpečnou manipulaci s bitcoiny.

Projekt si nyní zasluhuje pozornost i proto, že konečně našel pořádný systém vývoje a nové verze vychází každých šest týdnů. Teď zrovna vyšla verze 2.0, která je založena na Debianu 8. Pokud čekáte nějaké lehkotonážní grafické prostředí, jste na omylu. Tails používá GNOME 3.14 s rozhraním Shell. Nutno ale dodat, že Shell běží v tzv. klasickém režimu, který do značné míry připomíná GNOME 2 s tradiční nabídkou aplikací a lištou s přehledem otevřených oken. Stejně si ale myslím, že by distribuci víc slušelo třeba takové LXQt.

Design distribuce je jednoduchý a účelový

Instalace a aktualizace

Tails se profiluje čistě jako živá distribuce, na které byste neměli vůbec nic měnit ani ji nikam napevno instalovat – své místo má na USB flash discích, DVD nebo ve virtualizačním softwaru. Zde se podíváme jen na bezesporu nejpoužívanější variantu s USB. ISO obraz Tails má něco přes jeden gigabajt a pro bezproblémové používání je potřeba flash disk o velikosti 4 GB. Existují tři způsoby, jak Tails na flash disk dostat:

  1. Tails Installer – Použití oficiálního instalátoru je nejbezpečnější, nejspolehlivější a zaručuje kompletní funkčnost Tails (včetně možnosti ukládat data). Problém je v tom, že instalátor je aktuálně dostupný jen pro Debian a odvozené distribuce.
  2. Alternativní nástroj – Jistě znáte X dalších nástrojů, které dokážou dostat ISO obraz na flash disk. Většina z nich by měla fungovat i s Tails. Takto nainstalovaná distribuce však neumožňuje ukládat data.
  3. Klonování distribuce – Toto řešení spočívá v tom, že nainstalujete Tails pomocí alternativního nástroje, spustíte systém z USB a v něm spustíte instalátor, který systém naklonuje na další flash disk. Výsledek bude nejlepší možný, stejný jako u možnosti číslo 1. Nevýhody jsou zřejmé – potřebujete dva flash disky a je to otrava.

Distribuci lze aktualizovat dvěma způsoby. Oba ale fungují jen v případě, že byla nainstalována pomocí Tails Installeru (tedy způsob 1 nebo 3). Běžně vám distribuce prostě nabídne aktualizaci, kterou potvrdíte a balíčky se aktualizují. Ale pozor, nezkoušejte to sami přes apt! Tails to řeší trochu jinak a po svém. Další možnost (někdy jediná, pokud v distribuci proběhly větší technické změny) je stáhnout nový obraz a nahodit ho přes Tails Installer z jiného systému. Data v obou případech zůstanou zachována.

Tails Installer

Všechna data zmizí, ledaže…

Distribuce je nakonfigurována tak, aby nezanechávala žádné stopy. Na flash disku se žádné soubory nemění a při vypnutí systému systému dojde ke kompletnímu vymazání operační paměti počítače – to aby nešlo provést cold boot attack. Existuje ale také možnost ukládat data na použitý flash disk, na kterou systém běžně neupozorňuje. Asi proto, že by ji pro jistotu zvolil každý druhý a zbytečně tak (teoreticky) o něco snížil svou bezpečnost.

Pokud byste chtěli ukládat data, musíte spustit průvodce Configure persistent storage, který pro vás na flash disku vytvoří šifrovaný soubor (pod vaším heslem), kam se budou data ukládat. Také se vás zeptá, co všechno vlastně chcete ukládat. Ve výchozím stavu jsou to pouze data v adresáři Persistent, ale můžou to být třeba i uživatelská data z komunikátoru, bitcoinové peněženky nebo SSH klíče. Toto nastavení lze změnit i později, ale aby se projevilo, musíte restartovat počítač.

Co chcete ukládat, milý uživateli?

Při startu systému samozřejmě musíte zadat heslo, aby se uložené soubory zpřístupnily. Stále ale máte možnost spustit systém v režimu bez úložného prostoru – uložená data na disku zůstanou, jen se s nimi v tomto sezení nijak nebude pracovat a nebudou rozšifrována.

Známý software, ale bezpečněji

Velikost obrazu přesahující jeden gigabajt značí, že Tails zase není nějaká tenká distribuce. Softwarová výbava je celkem standardní a bohatá. Nechybí kompletní kancelář LibreOffice, grafický editor GIMP, správce souborů Nautilus nebo několik programů pro nejrůznější práci s multimédii. Obyčejné programy tu ale nebudeme rozebírat, spíš se podívejme na ty, které mají co dočinění s anonymitou nebo bezpečností.


Tor Browser – bez něj by to nešlo
  • Tor Browser – Prohlížeč založený na Firefoxu, který běží výhradně přes anonymizační síť Tor. Obsahuje i několik důležitých doplňků pro co nejlepší ochranu před sledováním jako NoScript nebo AdBlock Plus.
  • Nebezpečný prohlížeč – Tor Browser v režimu, kdy neběží přes Tor a prohlížení tedy nijak neanonymizuje. Takže vcelku standardní Firefox. Na každém kroku vás varuje a svítí červenou barvou. Měli byste ho použít až jako poslední možnost.
  • Icedove – Rebrandovaná verze e-mailového klienta Thunderbird. Pokročilou podporu OpenPGP zajišťuje zahrnutý doplněk Enigmail.
  • Pidgin – Zámý komunikátor doplněný o podporu protokolu Off-the-Record Messaging.
  • Electrum – Jednoduchá bitcoinová peněženka, která navíc umožňuje vygenerování soukromého klíče ze seedu (sekvence normálních slov).
  • KeePassX – Správce hesel.

Bitcoinová peněženka Electrum

Tímto výčet nekončí, k dispozici je ještě několik programů či utilitek, které vám pomůžou se šifrování, ověřením hashe apod. Naopak chybí klient pro BitTorrent, protože stahování torrentů přes Tor není vhodné (příliš zatěžuje síť) a ani moc anonymní. Součástí instalace je také klient alternativní anonymizační sítě I2P. Další programy je možné instalovat z debianovského repozitáře, ale některé z nich je pak třeba nakonfigurovat, aby fungovaly přes Tor. Tudy totiž protéká veškerá komunikace s internetem s výjimkou nebezpečného prohlížeče. Myslím ale, že výchozí nabídka softwaru je vzhledem k charakteru distribuce úplně dostačující.

Bezpečnost a anonymita pro každého

Tails se označuje za distribuci, která zaručí soukromí každému. Já bych to změnil na každému, kdo o něj má skutečně zájem. Distribuce je na první pohled stejná jako ostatní, používá stejný software, ale někdy vyžaduje trochu jiný přístup, aby vás skutečně dokázala ochránit – před zloduchy i vlastní blbostí. Naštěstí vás Tails nenechá na holičkách, často vám srozumitelně vysvětlí, co zrovna dělá, proč to dělá a proč je to pro vás dobré. Někdy vás také odkáže na dokumentaci, do které byste opravdu měli nahlédnout, protože obsahuje důležité informace a je výborně zpracovaná.

Je Tails opravdu bezpečný? Těžko říct, koneckonců stoprocentní bezpečnost je chiméra. Je Tails jeden z nejbezpečnějších systémů na trhu? Velmi pravděpodobně. Je Tails nejbezpečnější systém, se  kterým si poradí i běžní uživatelé? Určitě. Co se týče funkčnosti, tak není co vytknout. Vše funguje a i pokud pomineme celý aspekt bezpečnosti, tak Tails působí jako fajn distribuce na flešku. Vytkl bych snad jen krkolomnou instalaci, která je způsobena nedostupností Tails Installeru pro další systémy. Snad se to zlepší.

Našli jste v článku chybu?
DigiZone.cz: ČTÚ zveřejnil aktualizovaný D-Book

ČTÚ zveřejnil aktualizovaný D-Book

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Měšec.cz: MojeMobilní karta: vychytávky pro Android

MojeMobilní karta: vychytávky pro Android

Vitalia.cz: Galerie: Strouhanka ze starých rohlíků? Kdepak

Galerie: Strouhanka ze starých rohlíků? Kdepak

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Lupa.cz: Olympiáda zakázala GIFy. Moc to nepomáhá

Olympiáda zakázala GIFy. Moc to nepomáhá

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

DigiZone.cz: Test TV Samsung UE49K6372SU

Test TV Samsung UE49K6372SU

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

DigiZone.cz: E! a zákulisí turné Mariah Carey

E! a zákulisí turné Mariah Carey

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

Vitalia.cz: Koukám, co bych dobrého snědla, abych zhubla

Koukám, co bych dobrého snědla, abych zhubla