Nejčastější dotazy k úložišti Nitrokey¶
Protože Nitrokey Storage 2 je v podstatě Nitrokey Pro 2 včetně nevolatilního (šifrovaného) úložiště, platí částečně také Nitrokey Pro 2 FAQ.
- Q: Which Operating Systems are supported?
Windows, Linux a macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What are the default PINs?
Uživatelský kód PIN: „123456“
Administrátorský PIN: „12345678“
Heslo k firmwaru: „12345678“
Důrazně doporučujeme změnit tyto kódy PIN/hesla na hodnoty zvolené uživatelem před použitím klíče Nitrokey.
- Q: How large is the storage capacity?
Do úložiště Nitrokey lze uložit a zašifrovat 8, 32 nebo 64 GB dat (v závislosti na konkrétním modelu).
- Q: Why can’t I access the encrypted storage on a new Nitrokey Storage?
V novém úložném zařízení Nitrokey se před přístupem k zašifrovanému svazku ujistěte, že jste v aplikaci Nitrokey nejprve „Zničili zašifrovaná data“.
- Q: What is the maximum length of the PIN?
Nitrokey používá místo hesel kódy PIN. Hlavní rozdíl spočívá v tom, že hardware omezuje počet pokusů na tři, zatímco u hesel tento limit neexistuje. Z tohoto důvodu je krátký kód PIN stále bezpečný a není nutné volit dlouhý a složitý kód PIN.
PINy úložiště Nitrokey mohou mít až 20 číslic a mohou se skládat z čísel, znaků a speciálních znaků. Poznámka: Při použití GnuPG nebo OpenSC lze použít 32 znaků dlouhé kódy PIN, které však aplikace Nitrokey nepodporuje.
- Q: What is the User PIN for?
Uživatelský kód PIN je nejméně šestimístný a slouží k získání přístupu ke kontejneru Nitrokey. Tento kód PIN budete často používat při každodenním používání, např. pro dešifrování zpráv, pro odemknutí zašifrovaného úložiště (pouze úložiště NK) atd.
Uživatelský PIN může mít až 20 číslic a dalších znaků (např. abecedních a speciálních). Protože je však uživatelský kód PIN zablokován, jakmile dojde ke třem chybným pokusům o zadání kódu PIN, je dostatečně bezpečné mít pouze šestimístný kód PIN. Výchozí kód PIN je 123456.
- Q: What is the Admin PIN for?
Správcovský PIN je nejméně 8místný a slouží ke změně obsahu/nastavení klíče Nitrokey. To znamená, že po inicializaci klíče Nitrokey pravděpodobně nebudete tento kód PIN’potřebovat příliš často (např. pokud budete chtít přidat další heslo do trezoru na hesla klíče Nitrokey Pro nebo Nitrokey Storage).
Správcovský PIN může mít až 20 číslic a dalších znaků (např. abecedních a speciálních). Protože je však kód PIN správce zablokován, jakmile byly provedeny tři chybné pokusy o zadání kódu PIN, je dostatečně bezpečné mít pouze 8místný kód PIN. Výchozí PIN je 12345678.
- Q: Why does my Nitrokey Storage hang when switching between nitrokey-app and GnuPG?
GnuPG a nitrokey-app si někdy vzájemně překážejí. Jedná se o známý problém, který lze odstranit opětovným vložením nitrokey do slotu USB.
- Q: What is the firmware PIN for?
Heslo k firmwaru: Heslo k firmwaru by mělo splňovat obecná doporučení pro hesla (např. používat abecední znaky, číslice a speciální znaky nebo používat dostatečně dlouhé heslo). Heslo firmwaru je nutné k aktualizaci firmwaru úložiště Nitrokey. Další pokyny k postupu aktualizace naleznete zde.
Heslo firmwaru není nikdy blokováno. Útočník by se mohl pokusit heslo uhodnout a měl by neomezený počet pokusů. Proto je nutné zvolit silné heslo. Výchozí heslo je 12345678.
- Q: How many keys can I store?
Do úložiště Nitrokey lze uložit tři páry klíčů RSA. Všechny klíče používají stejnou identitu, ale používají se pro různé účely: ověřování, šifrování a podepisování.
- Q: How fast is encryption and signing?
Šifrování 50kiB dat:
256 bitů AES, 2048 bajtů na příkaz -> 880 bajtů za sekundu
128 bitů AES, 2048 bajtů na příkaz -> 893 bajtů za sekundu
256 bitů AES, 240 bajtů na příkaz -> 910 bajtů za sekundu
128bitový AES, 240 bajtů na příkaz -> 930 bajtů za sekundu
- Q: Which algorithms and maximum key length are supported?
Viz následující tabulka:
Start |
Pro + úložiště |
Pro 2 + úložiště 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
křivka25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Does the Nitrokey Storage contain a secure chip or just a normal microcontroller?
Úložiště Nitrokey obsahuje čipovou kartu odolnou proti manipulaci.
- Q: Is the Nitrokey Storage Common Criteria or FIPS certified?
Bezpečnostní řadič (NXP Smart Card Controller P5CD081V1A a jeho hlavní konfigurace P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A a P5CD016V1A, každá s dedikovaným softwarem IC) je certifikována podle Common Criteria EAL 5+ až do úrovně OS (Certification Report, Security Target, Maintenance Report, Maintenance ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Kromě toho společnost Cure53 provedla nezávislý bezpečnostní audit hardwaru, firmwaru a aplikace Nitrokey.
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey Storage for my applications?
Obě zařízení jsou kompatibilní s kartou OpenPGP, takže scdrand by měl fungovat. Tento skript může být užitečný. Uživatel comio vytvořil soubor systemd pro použití scdrand a tím i TRNG obecněji. Vytvořil také sestavení pro Gentoo.
- Q: How good is the Random Number Generator?
Zařízení Nitrokey Pro a Nitrokey Storage používají ke generování klíčů v zařízení generátor náhodných čísel (TRNG). Entropie generovaná generátorem TRNG se používá pro celou délku klíče. Proto je TRNG v souladu s normou BSI TR-03116.
TRNG poskytuje rychlost přibližně 40 kbit/s.
- Q: How can I use the encrypted mobile Storage?
Před použitím šifrovaného mobilního úložiště je třeba nainstalovat a inicializovat úložiště Nitrokey a stáhnout nejnovější aplikaci Nitrokey.
Spusťte aplikaci Nitrokey.
Stiskněte jeho ikonu na liště a v nabídce vyberte možnost „odemknout zašifrovaný svazek“.
V zobrazeném vyskakovacím okně zadejte svůj uživatelský kód PIN.
Pokud je to poprvé, může být nutné vytvořit oddíl na zašifrovaném svazku. Systém Windows otevře příslušné okno a vyzve vás k tomu. V systémech Linux a Mac bude možná nutné otevřít správce oddílů a vytvořit oddíl ručně. Můžete vytvořit libovolný počet oddílů. Pokud chcete k oddílu přistupovat z různých operačních systémů, doporučujeme FAT(32).
Nyní můžete zašifrovaný svazek používat stejně jako jakýkoli jiný běžný disk USB. Všechna data na něm uložená však budou automaticky zašifrována v hardwaru Nitrokey.
Chcete-li zašifrovaný svazek odebrat nebo uzamknout, měli byste jej nejprve odpojit/odstranit.
Poté můžete Nitrokey odpojit nebo v nabídce aplikace Nitrokey vybrat možnost „uzamknout zašifrovaný svazek“.
Úložiště Nitrokey dokáže vytvářet i skryté svazky. Podívejte se prosím na příslušné pokyny pro skryté svazky.
Skryté svazky umožňují skrýt data v zašifrovaném svazku. Data jsou chráněna dalším heslem. Bez hesla nelze existenci dat prokázat. Skryté svazky nejsou ve výchozím nastavení nastaveny tak, aby bylo možné jejich existenci věrohodně popřít. Koncepce je podobná skrytému svazku VeraCrypt’s/TrueCrypt’s, ale u úložiště Nitrokey Storage je celá funkce skrytých svazků implementována hardwarově.
Můžete nakonfigurovat až čtyři skryté svazky. Po odemčení se skryté svazky chovají jako běžné úložiště, kde můžete vytvářet různé oddíly, systémy souborů a ukládat soubory podle libosti.
Pokud se rozhodnete nakonfigurovat skryté svazky, nebudete již moci šifrované úložiště používat. Protože se skrytý svazek nachází na volném místě šifrovaného úložiště, existuje možnost přepsání dat ve skrytém svazku. Dá se říci, že ani šifrované úložiště „neví“, že existuje skrytý svazek. Obecná struktura je znázorněna na obrázku níže. Proto po vytvoření skrytého svazku do šifrovaného úložiště nic nezapisujte (musíte jej však nejprve odemknout).
Skryté svazky jsou jako kontejnery uvnitř kontejneru, šifrovaného svazku.