Криптиране на твърдия диск¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
VeraCrypt (преди това TrueCrypt)¶
VeraCrypt е безплатен софтуер за криптиране на дискове с отворен код за Windows, macOS и GNU+Linux. Той е наследник на TrueCrypt и затова се препоръчва, въпреки че следващите инструкции трябва да се прилагат и за TrueCrypt.
Follow these steps to use the program with Nitrokey Storage 2 or Nitrokey Pro 2:
Инсталирайте последната версия на OpenSC или изтеглете Библиотеката PKCS#11.
Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g.
/usr/lib/opensc).Генерирайте 64 байтов ключов файл чрез Tools>Keyfile Generator.
Now you should be able to import the generated key file via Tools>Manage Security Token Keyfiles. You should choose the first Slot (
[0] User PIN). The keyfile is then stored on the Nitrokey as Private Data Object 1 (PrivDO1).След това трябва безопасно да изтриете оригиналния ключов файл от компютъра си!
Сега можете да използвате VeraCrypt с Nitrokey: Създайте контейнер, изберете ключовия файл на устройството като алтернатива на паролата.
Warning
Съображения за сигурност
Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.
Шифроване на твърдия диск в GNU+Linux с LUKS/dm-crypt¶
За да настроите LUKS Disk Encryption, следвайте нашето ръководство:
Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).
Този проект има за цел да улесни използването на LUKS с Nitrokey Pro или хранилище, базирано на Password Safe (все още не е тествано от Nitrokey). Описание на това как да го използвате в Gentoo можете да намерите тук.
За Arch Linux вижте initramfs-scencrypt.
Шифроване на хранилище в GNU+Linux с EncFS¶
Tip
Предварителни условия
Уверете се, че сте инсталирали драйвера на устройството, променили сте ПИН-кодовете по подразбиране и сте генерирали или импортирали ключове с GnuPG.
EncFS is an easy to utlity for encrypted file systems and it is based on FUSE. You may follow these steps to use it with very long passwords and Nitrokey Pro 2.
Иницииране¶
Създаване на ключов файл със случайни данни:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Криптирайте файла с ключа и използвайте идентификатора на потребителя на вашия Nitrokey
$ gpg --encrypt keyfile
Премахване на ключовия файл в чист текст:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Създаване на точка за монтиране:
$ mkdir ~/.cryptdir ~/cryptdir
Създаване на действителната папка за криптиране
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Разглобете новата файлова система:
$ fusermount -u ~/cryptdir
Употреба¶
Монтирайте криптираната файлова система и въведете ПИН кода на Nitrokey:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
След използване демонтирайте файловата система:
$ fusermount -u ~/cryptdir
Криптиране на хранилища в GNU+Linux с ECryptFS¶
eCryptfs е файлово базирана файлова система за прозрачно криптиране за GNU+Linux, която може да се използва с Nitrokey чрез PKCS#11 драйвер.
Вижте тези инструкции:
Импортиране на съществуващ ключ и сертификат
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Създайте файла ~/.ecryptfsrc.pkcs11:
$ editor ~/.ecryptfsrc.pkcs11
Въведете това съдържание:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Копирайте сериализирания идентификатор за по-късна употреба:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
Алтернативно опитайте ESOSI или следвайте тези стъпки, като използвате OpenSC и OpenVPN.
Източник на ръководството: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption