NitroPad с Qubes OS#

С помощта на NitroPad лесно се откриват злонамерени промени в BIOS, операционната система и софтуера. Например, ако сте оставили своя NitroPad в хотелска стая, можете да използвате своя Nitrokey, за да проверите дали са били извършени промени в него, докато сте отсъствали. Ако нападател модифицира фърмуера или операционната система на NitroPad, Nitrokey ще открие това (инструкции по-долу).

Проверка на запечатан хардуер#

Ако сте поръчали устройството с опцията „запечатани винтове и запечатана торба“, моля проверете запечатването преди разопаковането. Ако не знаете какво означава това, пропуснете този раздел.

Процедура за сигурно стартиране#

С помощта на NitroPad лесно се откриват злонамерени промени в BIOS, операционната система и софтуера. Например, ако сте оставили своя NitroPad в хотелска стая, можете да използвате своя Nitrokey, за да проверите дали са били извършени промени в него, докато сте отсъствали. Ако нападател модифицира фърмуера или операционната система на NitroPad, Nitrokey ще открие това (инструкции по-долу).

Всеки път, когато стартирате NitroPad, трябва - ако е възможно - да свържете своя Nitrokey. Ако ключът Nitrokey е свързан и системата не е модифицирана, при включване на NitroPad ще се появи следният екран.

Изображение 1

Полето, отбелязано в червено, съдържа информация, че BIOS не е променен и че споделената тайна на NitroPad и Nitrokey съвпада. Но тази информация не е достатъчна, тъй като нападателят би могъл да я фалшифицира. Ако в същото време и Nitrokey мига в зелено, всичко е наред. За да постигне този резултат, нападателят трябва да е имал достъп до NitroPad и Nitrokey. Затова е важно да не оставяте двете устройства без надзор.

Ако информацията на NitroPad не съвпада с информацията на Nitrokey, фонът ще стане червен и ще се появи съобщението „Invalid Code“ (Невалиден код). Това може да означава, че е извършена манипулация.

Изображение2

По-долу е описано как може да изглежда процесът на зареждане, ако системата е била променена (например след актуализация), и какви съобщения за грешки могат да се появят в противен случай.

Tip

NitroPad може да се стартира и без Nitrokey. Ако нямате Nitrokey със себе си, но сте сигурни, че хардуерът не е бил манипулиран, можете да стартирате системата, без да проверявате.

Започване на работа#

След покупката паролите са зададени по подразбиране и трябва да бъдат променени от вас:

  1. Натиснете Enter („Default Boot“) след стартиране на системата, при условие че NitroPad не е показал никакви грешки и Nitrokey свети в зелено (вж. по-горе).

  2. След това системата ще ви подкани да въведете паролата, за да декриптирате твърдия диск. Първоначално паролата е „PleaseChangeMe“.

    Изображение3

  3. След това системата ще ви насочи към процеса на създаване на потребителски акаунт. След това трябва да сте стартирали успешно системата и вече да можете да я използвате нормално.

  4. Отворете предварително инсталираното приложение Nitrokey и променете ПИН-кодовете на вашия Nitrokey, както е описано тук ` <change-pins.html>`_.

  5. Променете паролата за криптиране на твърдия диск, като стартирате „sudo cryptsetup luksChangeKey /dev/sda2“ в терминала. Тази парола е различна от паролата на потребителския ви акаунт‘.

В случай че иконата на мрежовия мениджър не е показана и при стартиране на виртуална машина се появява грешка от типа „Domain sys-net has failed to start: не съществува“, процедирайте по следния начин:

  1. Open menu -> Service: sys-net -> sys-net: Qube Settings

  2. Отидете в раздела Устройства

  3. Премахване на „Неизвестно устройство“ от дясната страна

  4. Добавяне на устройство „Network controler“

  5. Щракнете върху „OK“ и рестартирайте системата.

Поведение след актуализация на системата#

Вграденият софтуер на NitroPad проверява определени системни файлове за промени. Ако операционната ви система е актуализирала важни компоненти, ще бъдете предупредени при следващото зареждане на NitroPad. Това може да изглежда например по следния начин:

Изображение4

Ето защо е важно да рестартирате NitroPad в контролирани условия след актуализация на системата. Едва когато новият статус бъде потвърден, можете да оставите устройството отново без надзор. В противен случай няма да можете да разграничите евентуална атака от актуализация на системата. Подробни инструкции за актуализация на системата можете да намерите тук.