secure-os.org
ENFRESDEITPT
Tutte le guideQubes OSTailsWhonixLinux rafforzatoCrittografia del discoModello di minaccia
tails

Come installare Tails su una chiavetta USB: guida passo-passo (2026)

secure-os· Aggiornato 12 giugno 2026· 7 min di lettura #tails#usb#install#verification
Terminale passo-passo che mostra la verifica della USB di Tails e il comando di scrittura dd su sfondo scuro

Installare Tails su una chiavetta USB richiede tre cose che la documentazione ufficiale sottolinea: scaricare l’immagine corretta, verificarne l’autenticità prima di scriverla e usare uno strumento supportato per scriverla. Il passo di verifica della firma non è facoltativo se il tuo modello di minaccia include attacchi mirati — un aggressore che compromette il tuo canale di download può servirti un’immagine modificata che ha l’aspetto e il comportamento di Tails.

Questa guida riguarda Tails 7.8.1, la versione stabile corrente a giugno 2026. Usa strumenti da riga di comando in tutto. Se hai bisogno di un approccio grafico, la guida ufficiale all’installazione di Tails tratta Balena Etcher e il Tails Cloner.

Di cosa hai bisogno

Per installare Tails su una USB: Una macchina Linux, macOS o Windows per eseguire l’installazione. La chiavetta USB deve essere di almeno 8 GB e verrà completamente sovrascritta. USB 3.0 migliora notevolmente le prestazioni — la differenza tra avviarsi in 30 secondi invece di 90 secondi sulla stessa macchina.

La chiavetta USB stessa deve essere USB-A o USB-C. Alcune macchine (in particolare i MacBook recenti con solo USB-C) richiedono un hub USB; tale hub può essere a sua volta un bersaglio se hai un modello di minaccia molto elevato, anche se in pratica non rappresenta una preoccupazione significativa per la maggior parte degli utenti.

Passo 1: scaricare l’immagine di Tails

Un laptop che mostra codice sorgente in un editor.

Scarica l’immagine USB direttamente dal server ufficiale di Tails:

wget https://mirrors.edge.kernel.org/tails/stable/tails-amd64-7.8.1/tails-amd64-7.8.1.img

Scarica anche la chiave di firma, il file della firma e il checksum:

# Firma OpenPGP
wget https://tails.net/tails-signing.key
wget https://mirrors.edge.kernel.org/tails/stable/tails-amd64-7.8.1/tails-amd64-7.8.1.img.sig

Passo 2: verificare la firma OpenPGP

Questo è il passo critico. Saltarlo significa fidarsi completamente del canale di download.

Importa la chiave di firma di Tails:

gpg --import tails-signing.key

Verifica la firma:

gpg --verify tails-amd64-7.8.1.img.sig tails-amd64-7.8.1.img

L’output dovrebbe includere una riga come:

Good signature from "Tails developers (offline long-term identity key) <tails@boum.org>"

Il fingerprint della chiave di firma di Tails a giugno 2026 è A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F. Verifica questo fingerprint in modo indipendente confrontandolo con la documentazione ufficiale di Tails e con almeno un’altra fonte (un mirror di cui ti fidi, un collega che lo ha già verificato o il keyserver Debian).

Vedrai anche un avviso:

WARNING: This key is not certified with a trusted signature!

Questo avviso significa che la chiave non è stata firmata da una chiave nella tua rete di fiducia personale. Non indica manomissione — significa che dovresti verificare il fingerprint attraverso il canale fuori banda descritto sopra.

Se vedi BAD signature: fermati. Non scrivere l’immagine. Riscaricala da un mirror diverso e ripeti la verifica.

Passo 3: scrivere l’immagine sulla USB

Identifica il dispositivo corretto:

lsblk

Cerca un dispositivo della dimensione corretta — per esempio /dev/sdb per una chiavetta USB da 8 GB. Ricontrolla bene prima di procedere. Scrivere sul dispositivo sbagliato sovrascriverà i dati in modo irrecuperabile.

Scrivi l’immagine usando dd:

sudo dd if=tails-amd64-7.8.1.img of=/dev/sdX bs=16M oflag=direct status=progress
sync

Sostituisci /dev/sdX con il tuo dispositivo effettivo (ad esempio /dev/sdb). La dimensione di blocco bs=16M è sostanzialmente più veloce del valore predefinito bs=512. oflag=direct aggira la page cache e assicura che le scritture raggiungano il dispositivo.

Questo richiede circa 3–8 minuti a seconda della velocità della USB.

Passo 4: avviare Tails

Inserisci la chiavetta USB. Riavvia la macchina e seleziona la chiavetta USB come dispositivo di avvio. Sulla maggior parte delle macchine, premendo F2, F12, Esc o Canc durante l’avvio si apre il menu di boot. Il tasto esatto è stampato a schermo durante il POST sulla maggior parte dell’hardware.

Sui sistemi UEFI, potresti dover disabilitare temporaneamente il Secure Boot. Tails non include binari EFI firmati per tutte le possibili configurazioni di Secure Boot — una limitazione di cui il progetto è consapevole e su cui sta lavorando. Vedi tails.net/support/faq/ per lo stato attuale.

Al primo avvio, Tails apre una schermata di benvenuto dove puoi:

  • Impostare la lingua
  • Impostare il layout della tastiera
  • Configurare una password di amministrazione (necessaria per alcune operazioni)
  • Abilitare lo spoofing dell’indirizzo MAC (abilitato per impostazione predefinita — impedisce che il tuo hardware venga tracciato sulle reti locali)
  • Configurare un bridge se l’accesso diretto a Tor è bloccato

Passo 5: configurare l’Archiviazione persistente

Per impostazione predefinita, Tails non salva nulla tra una sessione e l’altra — è la sua proprietà di sicurezza fondamentale. La funzione Archiviazione persistente è una partizione cifrata sulla stessa chiavetta USB che sopravvive ai riavvii. È protetta da una passphrase ed è facoltativa.

Dal menu Applicazioni, vai a Tails → Archiviazione persistente. Imposta una passphrase robusta. Puoi quindi scegliere quali categorie conservare:

  • File personali
  • Segnalibri del browser
  • Connessioni di rete (SSID Wi-Fi)
  • Livello del Tor Browser e bridge
  • Pacchetti software aggiuntivi

L’Archiviazione persistente è cifrata con LUKS2. La passphrase protegge i dati memorizzati se la chiavetta USB viene sequestrata mentre non la stai usando.

Nota sul modello di minaccia: l’Archiviazione persistente baratta una parte della proprietà amnesica di Tails con la comodità. Se il tuo modello di minaccia richiede che nessun dato di sessione sopravviva in alcuna circostanza, non abilitarla. Per la maggior parte dei giornalisti e attivisti che hanno bisogno di mantenere la continuità della sessione attraverso più giorni di lavoro, l’Archiviazione persistente è appropriata.

Passo 6: mantenere Tails aggiornato

Tails si aggiorna automaticamente quando è connesso a internet. Quando un aggiornamento è disponibile, Tails ti avvisa all’inizio della sessione. Aggiorna sempre prima di un’operazione sensibile — Tails ha avuto correzioni critiche (incluse patch di sicurezza del Tor Browser) in release minori.

Puoi anche aggiornare dal terminale:

tails-upgrade-frontend-wrapper

Da cosa Tails non protegge

Comprendere i limiti è importante quanto la configurazione. Per un’analisi completa del modello di minaccia di Tails e un confronto con Whonix e Qubes OS, consulta gli articoli collegati.

In breve:

  • La tua entry guard Tor conosce il tuo indirizzo IP. Tails forza il traffico attraverso Tor, ma il tuo ISP e il nodo di ingresso del circuito Tor conoscono il tuo IP reale. Usa un bridge se l’uso stesso di Tor è pericoloso nella tua zona.
  • Il firmware BIOS/UEFI non viene modificato né verificato. Un BIOS compromesso può persistere attraverso le sessioni Tails.
  • Gli attacchi cold boot sulla RAM sono teoricamente possibili mentre la macchina è in funzione.
  • La registrazione dello schermo tramite hardware (ad esempio un display esterno compromesso) è al di fuori del modello di minaccia di Tails.

FAQ

D: Posso usare qualsiasi chiavetta USB per Tails? R: Va bene qualsiasi chiavetta USB 2.0 o 3.0 da 8 GB o più. USB 3.0 è fortemente consigliata per l’usabilità — i tempi di avvio scendono da 60–90 secondi a 20–35 secondi. Evita chiavette USB economiche con memoria flash inaffidabile; Tails scrive sulla chiavetta frequentemente durante il funzionamento. I marchi affidabili (Samsung, SanDisk, Kingston) hanno meno errori di scrittura.

D: Posso installare Tails su una chiavetta USB da Windows? R: Sì. Il Tails Installer ufficiale per Windows usa un’interfaccia grafica ed esegue automaticamente il controllo della firma. Scaricalo da tails.net/install/windows. La procedura da riga di comando in questa guida è un approccio Linux/macOS.

D: Tails funziona su Apple Silicon (M1/M2/M3)? R: A giugno 2026, Tails non supporta ufficialmente Apple Silicon. Tails funziona solo su hardware x86-64. L’architettura ARM di Apple richiede un processo di avvio significativamente diverso e il lavoro di compatibilità hardware di Tails si è concentrato su x86. Controlla tails.net/support/known_issues/ per lo stato attuale.