Често задавани въпроси за съхранение в Nitrokey

Тъй като Nitrokey Storage 2 по същество е Nitrokey Pro 2, включващ енергонезависима (криптирана) памет, Nitrokey Pro 2 FAQ също се прилага частично.

В: Кои операционни системи се поддържат?

Windows, Linux и macOS.

В: За какво мога да използвам Nitrokey?

See the overview of supported use cases.

В: Какви са ПИН кодовете по подразбиране?
  • ПИН код на потребителя: „123456“

  • ПИН код на администратора: „12345678“

  • Парола за твърд софтуер: „12345678“

Силно препоръчваме да промените тези ПИН кодове/пароли с избрани от потребителя стойности, преди да използвате Nitrokey.

Q: Колко голям е капацитетът за съхранение?

Nitrokey Storage може да съхранява и криптира 8, 32 или 64 GB данни (в зависимост от конкретния модел).

В: Защо нямам достъп до криптираното хранилище в ново хранилище Nitrokey?

При ново устройство за съхранение на Nitrokey, преди да получите достъп до криптирания том, се уверете, че първо сте „Унищожи криптираните данни“ в приложението Nitrokey.

В: Каква е максималната дължина на ПИН кода?

Nitrokey използва ПИН кодове вместо пароли. Основната разлика е, че хардуерът ограничава броя на опитите до три, докато при паролите такова ограничение не съществува. Поради тази причина краткият ПИН все още е сигурен и не е необходимо да избирате дълъг и сложен ПИН.

ПИН кодовете на Nitrokey Storage‘ могат да бъдат с дължина до 20 цифри и да се състоят от цифри, знаци и специални символи. Забележка: Когато използвате GnuPG или OpenSC, могат да се използват ПИН кодове с дължина 32 символа, но те не се поддържат от приложението Nitrokey.

В: За какво се използва ПИН кодът на потребителя?

Потребителският PIN код е дълъг най-малко 6 цифри и се използва за достъп до съдържанието на Nitrokey. Това е ПИН кодът, който ще използвате често в ежедневието, например за декриптиране на съобщения, за отключване на криптираното хранилище (само за NK Storage) и т.н.

Потребителският ПИН код може да съдържа до 20 цифри и други символи (напр. буквени и специални символи). Но тъй като потребителският ПИН се блокира при три грешни опита за въвеждане на ПИН, достатъчно сигурно е да има само 6-цифрен ПИН. ПИН кодът по подразбиране е 123456.

В: За какво служи ПИН кодът на администратора?

Администраторският PIN код е дълъг поне 8 цифри и се използва за промяна на съдържанието/настройките на Nitrokey. Това означава, че след инициализирането на Nitrokey вероятно няма да’се нуждаете от този ПИН твърде често (напр. ако искате да добавите друга парола в сейфа за пароли на Nitrokey Pro или Nitrokey Storage).

ПИН кодът на администратора може да съдържа до 20 цифри и други знаци (напр. буквени и специални знаци). Но тъй като ПИН кодът на администратора се блокира при три грешни опита за въвеждане на ПИН код, достатъчно сигурно е да има само 8 цифри ПИН код. ПИН кодът по подразбиране е 12345678.

В: Защо моето хранилище Nitrokey се бави при превключване между nitrokey-app и GnuPG?

GnuPG и nitrokey-app понякога са склонни да се предават взаимно. Това е известен проблем и може да бъде отстранен чрез повторно поставяне на Nitrokey в USB слота.

В: За какво служи ПИН кодът на фърмуера?

Паролата на фърмуера трябва да отговаря на общите препоръки за пароли (напр. да използва буквени знаци, цифри и специални знаци или да използва достатъчно дълга парола). Паролата за фърмуера е необходима за актуализиране на фърмуера на устройството за съхранение Nitrokey. Вижте допълнителни инструкции за процеса на актуализация тук.

Паролата на фърмуера никога не се блокира. Нападателят може да се опита да отгатне паролата и ще има неограничен брой опити. Затова трябва да изберете силна парола. Паролата по подразбиране е 12345678.

В: Колко ключа мога да съхранявам?

В хранилището Nitrokey могат да се съхраняват три двойки ключове RSA. Всички ключове използват една и съща идентичност, но се използват за различни цели: удостоверяване, криптиране и подписване.

В: Колко бързо се извършва криптирането и подписването?

Криптиране на 50 килобайта данни:

  • 256-битов AES, 2048 байта на команда -> 880 байта в секунда

  • 128-битов AES, 2048 байта на команда -> 893 байта в секунда

  • 256-битов AES, 240 байта на команда -> 910 байта в секунда

  • 128-битов AES, 240 байта на команда -> 930 байта в секунда

В: Кои алгоритми и максимална дължина на ключа се поддържат?

Вижте следната таблица:

Начало

Pro + съхранение

Pro 2 + съхранение 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

крива25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

В: Съдържа ли Nitrokey Start защитен чип или просто обикновен микроконтролер?

Nitrokey Storage съдържа устойчива на подправяне смарт карта.

В: Сертифицирано ли е хранилището Nitrokey по общите критерии или по FIPS?

Контролерът за сигурност (NXP Smart Card Controller P5CD081V1A и неговите основни конфигурации P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A и P5CD016V1A, всяка от които със специален софтуер на ИС) е сертифициран по Common Criteria EAL 5+ до ниво операционна система (Certification Report, Security Target, Maintenance Report, Maintenance ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Освен това Cure53 е извършила независим одит на сигурността на хардуера, фърмуера и приложението Nitrokey.

В: Как мога да използвам генератора на истински случайни числа (TRNG) на хранилището Nitrokey за моите приложения?

И двете устройства са съвместими с картата OpenPGP, така че scdrand трябва да работи. Този скрипт може да е полезен. Потребителят comio създаде systemd файл, за да използва scdrand и по този начин TRNG в по-общ план. Той е създал и сборка за Gentoo.

В: Колко добър е генераторът на случайни числа?

Nitrokey Pro и Nitrokey Storage използват генератор на истински случайни числа (TRNG) за генериране на ключове в устройството. Ентропията, генерирана от TRNG, се използва за цялата дължина на ключа. Поради това TRNG е в съответствие с BSI TR-03116.

TRNG осигурява около 40 kbit/s.

В: Как мога да използвам криптираното мобилно хранилище?

Преди да използвате криптираното мобилно хранилище, трябва да инсталирате и инициализирате хранилището Nitrokey и да изтеглите най-новото приложение Nitrokey.

  • Стартирайте приложението Nitrokey.

  • Натиснете иконата му в тавата и изберете „отключване на криптиран том“ в менюто.

  • Въведете потребителския си ПИН код в появилия се изскачащ прозорец.

  • Ако това се случва за първи път, може да се наложи да създадете дял върху криптирания том. Windows ще отвори подходящ прозорец и ще ви помоли да направите това. В Linux и Mac може да се наложи да отворите мениджър на дялове и да създадете дял ръчно. Можете да създадете толкова дялове, колкото искате. Препоръчваме ви FAT(32), ако искате да имате достъп до дяла от различни операционни системи.

  • Сега можете да използвате криптирания том, както бихте използвали всяко друго обикновено USB устройство. Но всички данни, съхранявани на него, ще бъдат автоматично криптирани в хардуера на Nitrokey.

  • За да премахнете или заключите криптирания том, първо трябва да го демонтирате/изхвърлите.

  • След това можете да изключите Nitrokey или да изберете „lock encrypted volume“ от менюто на приложението Nitrokey.

Nitrokey Storage може да създава и скрити томове. Моля, разгледайте съответните инструкции за скрити томове.

В: Как мога да използвам скрития обем?

Скритите томове позволяват да се скрият данните в криптирания том. Данните са защитени с допълнителна парола. Без паролата съществуването на данните не може да се докаже. Скритите томове не са настроени по подразбиране, така че съществуването им да може да се отрече правдоподобно. Концепцията е подобна на скрития том на VeraCrypt’s/TrueCrypt’s, но при Nitrokey Storage цялата функционалност на скритите томове е реализирана хардуерно.

Можете да конфигурирате до четири скрити тома. След като бъдат отключени, скритите томове се държат като обикновена памет, където можете да създавате различни дялове, файлови системи и да съхранявате файлове, както желаете.

Ако решите да конфигурирате скрити обеми, няма да можете повече да използвате криптираното хранилище. Тъй като скритият том е разположен в свободното пространство на криптираното хранилище, съществува възможност за презаписване на данни в скрития том. Може да се каже, че дори криптираното хранилище „не знае“, че има скрит обем. Общата структура е показана на схемата по-долу. Ето защо, моля, не записвайте нищо в криптираното хранилище, след като сте създали скрит том (все пак първо трябва да го отключите).

Скритите томове са като контейнери в контейнер - криптирания том.