Como instalar o Tails numa pen USB: guia passo a passo (2026)
Instalar o Tails numa pen USB exige três coisas que a documentação oficial realça: descarregar a imagem correta, verificar a sua autenticidade antes de a gravar e usar uma ferramenta suportada para a gravar. O passo de verificação da assinatura não é opcional se o teu modelo de ameaça incluir ataques direcionados — um atacante que comprometa o teu canal de download pode entregar-te uma imagem modificada que parece e se comporta como o Tails.
Este guia abrange o Tails 7.8.1, a versão estável atual em junho de 2026. Utiliza ferramentas de linha de comandos do início ao fim. Se precisares de uma abordagem gráfica, o guia oficial de instalação do Tails cobre o Balena Etcher e o Tails Cloner.
O que precisas
Para instalar o Tails numa USB: Uma máquina Linux, macOS ou Windows para realizar a instalação. A pen USB tem de ter pelo menos 8 GB e será completamente sobrescrita. O USB 3.0 melhora significativamente o desempenho — a diferença entre arrancar em 30 segundos em vez de 90 segundos na mesma máquina.
A própria pen USB tem de ser USB-A ou USB-C. Algumas máquinas (em particular os MacBooks recentes apenas com USB-C) exigem um hub USB; esse hub pode, por si só, ser um alvo se tiveres um modelo de ameaça muito elevado, embora, na prática, não seja uma preocupação significativa para a maioria dos utilizadores.
Passo 1: descarregar a imagem do Tails
Descarrega a imagem USB diretamente do servidor oficial do Tails:
wget https://mirrors.edge.kernel.org/tails/stable/tails-amd64-7.8.1/tails-amd64-7.8.1.imgDescarrega também a chave de assinatura, o ficheiro da assinatura e o checksum:
# Assinatura OpenPGP
wget https://tails.net/tails-signing.key
wget https://mirrors.edge.kernel.org/tails/stable/tails-amd64-7.8.1/tails-amd64-7.8.1.img.sigPasso 2: verificar a assinatura OpenPGP
Este é o passo crítico. Saltá-lo significa confiar totalmente no canal de download.
Importa a chave de assinatura do Tails:
gpg --import tails-signing.keyVerifica a assinatura:
gpg --verify tails-amd64-7.8.1.img.sig tails-amd64-7.8.1.imgA saída deverá incluir uma linha como:
Good signature from "Tails developers (offline long-term identity key) <tails@boum.org>"O fingerprint da chave de assinatura do Tails em junho de 2026 é A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F. Verifica este fingerprint de forma independente, comparando-o com a documentação oficial do Tails e com pelo menos uma fonte adicional (um mirror em que confies, um colega que já o tenha verificado ou o keyserver do Debian).
Verás também um aviso:
WARNING: This key is not certified with a trusted signature!Este aviso significa que a chave não foi assinada por uma chave na tua rede de confiança pessoal. Não indica adulteração — significa que deves verificar o fingerprint através do canal fora de banda descrito acima.
Se vires BAD signature: para. Não graves a imagem. Volta a descarregá-la a partir de um mirror diferente e repete a verificação.
Passo 3: gravar a imagem na USB
Identifica o dispositivo correto:
lsblkProcura um dispositivo com a dimensão correta — por exemplo, /dev/sdb para uma pen USB de 8 GB. Confirma bem isto antes de prosseguir. Gravar no dispositivo errado sobrescreverá os dados sem recuperação.
Grava a imagem usando o dd:
sudo dd if=tails-amd64-7.8.1.img of=/dev/sdX bs=16M oflag=direct status=progress
syncSubstitui /dev/sdX pelo teu dispositivo real (por exemplo, /dev/sdb). O tamanho de bloco bs=16M é substancialmente mais rápido do que o valor predefinido bs=512. O oflag=direct contorna a page cache e garante que as escritas chegam ao dispositivo.
Isto demora aproximadamente 3 a 8 minutos, consoante a velocidade da USB.
Passo 4: arrancar o Tails
Insere a pen USB. Reinicia a máquina e seleciona a pen USB como dispositivo de arranque. Na maioria das máquinas, premir F2, F12, Esc ou Del durante o arranque abre o menu de boot. A tecla exata aparece no ecrã durante o POST na maior parte do hardware.
Em sistemas UEFI, poderás ter de desativar temporariamente o Secure Boot. O Tails não inclui binários EFI assinados para todas as configurações possíveis de Secure Boot — uma limitação de que o projeto está ciente e em que está a trabalhar. Consulta tails.net/support/faq/ para o estado atual.
No primeiro arranque, o Tails abre um Ecrã de boas-vindas onde podes:
- Definir o idioma
- Definir a disposição do teclado
- Configurar uma palavra-passe de administração (necessária para certas operações)
- Ativar a falsificação do endereço MAC (ativada por predefinição — impede que o teu hardware seja rastreado em redes locais)
- Configurar uma bridge se o acesso direto ao Tor estiver bloqueado
Passo 5: configurar o Armazenamento persistente
Por predefinição, o Tails não guarda nada entre sessões — é a sua propriedade de segurança fundamental. A funcionalidade Armazenamento persistente é uma partição cifrada na mesma pen USB que sobrevive aos reinícios. É protegida por uma frase-passe e é opcional.
No menu Aplicações, vai a Tails → Armazenamento persistente. Define uma frase-passe forte. Podes então escolher que categorias persistir:
- Ficheiros pessoais
- Marcadores do navegador
- Ligações de rede (SSID Wi-Fi)
- Nível do Tor Browser e bridges
- Pacotes de software adicionais
O Armazenamento persistente é cifrado com LUKS2. A frase-passe protege os dados guardados se a pen USB for apreendida enquanto não a estás a usar.
Nota sobre o modelo de ameaça: o Armazenamento persistente troca parte da propriedade amnésica do Tails por comodidade. Se o teu modelo de ameaça exige que nenhum dado de sessão sobreviva em quaisquer circunstâncias, não o ative. Para a maioria dos jornalistas e ativistas que precisam de manter a continuidade da sessão ao longo de vários dias de trabalho, o Armazenamento persistente é adequado.
Passo 6: manter o Tails atualizado
O Tails atualiza-se automaticamente quando está ligado à internet. Quando há uma atualização disponível, o Tails notifica-te no início da sessão. Atualiza sempre antes de uma operação sensível — o Tails já teve correções críticas (incluindo patches de segurança do Tor Browser) em lançamentos menores.
Também podes atualizar a partir do terminal:
tails-upgrade-frontend-wrapperContra o que o Tails não protege
Compreender os limites é tão importante como a configuração. Para uma análise completa do modelo de ameaça do Tails e uma comparação com o Whonix e o Qubes OS, consulta os artigos ligados.
Em resumo:
- A tua entry guard do Tor conhece o teu endereço IP. O Tails força o tráfego através do Tor, mas o teu ISP e o nó de entrada do circuito Tor conhecem o teu IP real. Usa uma bridge se o próprio uso do Tor for perigoso na tua localização.
- O firmware BIOS/UEFI não é modificado nem verificado. Um BIOS comprometido pode persistir entre sessões Tails.
- Os ataques cold boot à RAM são teoricamente possíveis enquanto a máquina está em funcionamento.
- A gravação de ecrã por hardware (por exemplo, um monitor externo comprometido) está fora do modelo de ameaça do Tails.
FAQ
P: Posso usar qualquer pen USB para o Tails? R: Qualquer pen USB 2.0 ou 3.0 de 8 GB ou mais funciona. O USB 3.0 é fortemente recomendado para a usabilidade — os tempos de arranque caem de 60–90 segundos para 20–35 segundos. Evita pens USB baratas com memória flash pouco fiável; o Tails escreve na pen com frequência durante o funcionamento. As marcas de boa reputação (Samsung, SanDisk, Kingston) têm menos falhas de escrita.
P: Posso instalar o Tails numa pen USB a partir do Windows? R: Sim. O Tails Installer oficial para Windows usa uma interface gráfica e executa a verificação da assinatura automaticamente. Descarrega-o de tails.net/install/windows. O procedimento por linha de comandos neste guia é uma abordagem Linux/macOS.
P: O Tails funciona em Apple Silicon (M1/M2/M3)? R: Em junho de 2026, o Tails não suporta oficialmente o Apple Silicon. O Tails corre apenas em hardware x86-64. A arquitetura ARM da Apple exige um processo de arranque significativamente diferente, e o trabalho de compatibilidade de hardware do Tails tem-se focado em x86. Consulta tails.net/support/known_issues/ para o estado atual.