KeePassXC

Тези инструкции описват как да защитите и криптирате KeePassXC база данни с пароли с Nitrokey 3.

Предварителни условия

  • Изисква се KeePassXC версия 2.7.6 или по-нова.

  • Nitrokey App 2 version 2.2.2 or newer is required.

Първа стъпка: Генериране на HMAC тайна с приложението Nitrokey 2

  1. Open Nitrokey App 2

  2. Изберете ключа Nitrokey 3

  3. Изберете раздела PASSWORDS

  4. Щракнете върху ADD, за да създадете ново удостоверение

  5. Изберете HMAC от падащото меню на алгоритъма

    Note

    • Удостоверението се именува автоматично в HmacSlot2.

    • Не могат да се запазват допълнителни атрибути за HMAC удостоверението.

    • HMAC тайната трябва да бъде дълга точно 20 байта и във формат Base32. Това са точно 32 символа.

    • Възможно е да се запише точно една HMAC тайна в Nitrokey 3.

  6. За генериране на тайна има бутон в полето вдясно. Възможно е също така да въведете своя собствена тайна, стига тя да е съвместима.

    Warning

    Базата данни вече не може да бъде отключена, ако ключът Nitrokey 3 е изгубен или не е на разположение! Затова може да искате да настроите втори Nitrokey 3 със същата HMAC тайна като резервно устройство.

    Important

    Тайната може да само да бъде видяна преди запазването. Ако базата данни KeePassXC трябва да се използва с друг Nitrokey 3, трябва да се копира HMAC тайната, която е възможна само ** преди запазване** на удостоверението.

  7. Щракнете върху SAVE, за да запазите удостоверението

Първи вариант: Защита на съществуваща база данни KeePassXC с Nitrokey 3

  1. Отворете KeePassXC

  2. Отворете съществуващата база данни KeePassXC, която трябва да бъде защитена с Nitrokey 3.

  3. Изберете Database -> Database Security... от лентата с менюта

  4. Изберете Security от лявата страна

  5. Кликнете върху бутона Add additional protection... в раздела Database Credentials

  6. Превъртете надолу до Challenge-Response и кликнете върху Add Challenge-Response

  7. Сега, ако Nitrokey 3 е включен и преди това е генериран HMAC, в полето трябва да се покаже Nitrokey 3.

    Кликнете върху OK, за да добавите Nitrokey 3 към съществуващата база данни KeePassXC

Note

По подразбиране Nitrokey 3 се използва като втори фактор в допълнение към паролата. За да защитите базата данни единствено с помощта на Nitrokey 3, изтрийте паролата, като щракнете върху бутона Remove Password.

Tip

Ако Nirokey 3 не бъде разпознат, затворете напълно KeePassXC. След това свържете Nitrokey 3 към компютъра си, преди да стартирате отново KeePassXC.

Втори вариант: Създаване на база данни KeePassXC, защитена с Nitrokey 3

  1. Отворете KeePassXC

  2. Изберете Database -> New Database... от лентата с менюта, за да създадете нова база данни KeePassXC.

  3. Попълнете дисплейното име и незадължителното описание на новата база данни и кликнете върху Continue

  4. Тук вече могат да се конфигурират допълнителни настройки за криптиране на базата данни или да се запазят настройките по подразбиране. Настройките могат да бъдат променени и по-късно в настройките на базата данни.

    Кликнете върху Continue, за да потвърдите настройките

  5. Удостоверение за база данни

    Тук можете да въведете парола като втори фактор за отключване на базата данни. За да свържете Nitrokey 3 (на който е генерирана HMAC тайната) с новата база данни KeePassXC, щракнете върху Add additional protection...

  6. Превъртете надолу до Challenge-Response и кликнете върху Add Challenge-Response

  7. Сега, ако Nitrokey 3 е включен и преди това е генериран HMAC, в полето трябва да се покаже Nitrokey 3. Щракнете върху Continue, за да завършите създаването на новата база данни KeePassXC.

Note

Ако паролата е оставена празна, базата данни ще бъде защитена единствено от Nitrokey 3. Ако е въведена парола, базата данни ще бъде защитена от паролата и Nitrokey 3.

Tip

Ако Nitrokey 3 не бъде разпознат, затворете напълно KeePassXC. След това свържете Nitrokey 3 към компютъра си, преди да рестартирате KeePassXC.

Отстраняване на неизправности за Linux

Ако устройството Nirokey 3 не се разпознава от KeePassXC в система Linux:

  • Provided that the udev rules have been set as described here.

  • При условие че е започнато с pcscd service are:

    sudo systemctl start pcscd.service

  • Инсталирайте най-новата версия на KeePassXC с flatpak:

    flatpak install flathub org.keepassxc.KeePassXC

  • Инсталирайте ccid на Arch Linux базирани системи. Вижте също: Arch wiki: Nitrokey.

pcscd: Картата не е намерена

Проблем: Приложение, използващо pcscd, не показва Nitrokey 3.

Решение: Първо се уверете, че scdaemon не е стартиран (вижте предишния раздел):

$ gpg-connect-agent "SCD KILLSCD" /bye

Сега направете списък на смарткартите, разпознати от pcscd с pcsc_scan -r. Трябва да видите запис като този:

$ pcsc_scan -r
Using reader plug'n play mechanism
Scanning present readers..
0: Nitrokey 3 [CCID/ICCD Interface] 00 00

Ако се появи Nitrokey 3, той се разпознава правилно от pcscd и може да има проблем с приложението, което се опитва да получи достъп до него. Ако не се покаже, уверете се, че версията на вашия libccid е актуална. Поддръжката на Nitrokey 3 беше добавена в libccid 1.5.0.

Актуализиране на базата данни на устройството

Ако не можете да актуализирате libccid до поддържана версия, трябва ръчно да актуализирате базата данни на устройството. Пътят до базата данни зависи от вашата дистрибуция:

  • Arch, Debian, Ubuntu: /etc/libccid_Info.plist

Уверете се, че сте направили резервно копие на файла, преди да го презапишете. Можете да изтеглите актуализиран файл с база данни на устройствата от хранилището nitrokey-3-firmware. След като актуализирате файла, рестартирайте pcscd и стартирайте pcsc_scan -r отново. Nitrokey 3 вече трябва да се появи.