KeePassXC¶

Tyto pokyny popisují, jak chránit a šifrovat databázi hesel KeePassXC pomocí nástroje Nitrokey 3.

Poznámka

Je vyžadován KeePassXC verze 2.7.6 nebo novější.
Nitrokey App 2 je vyžadována verze 2.2.2 nebo novější.

První krok: Generování tajemství HMAC pomocí aplikace Nitrokey 2¶

Otevřít Nitrokey App 2
Vyberte klávesu Nitrokey 3
Vyberte kartu PASSWORDS
Klikněte na ADD a vytvořte nové pověření.
V rozbalovací nabídce algoritmu vyberte HMAC.
Poznámka
- Pověření je automaticky pojmenováno na HmacSlot2.
- Pro pověření HMAC nelze uložit žádné další atributy.
- Tajný kód HMAC musí být dlouhý přesně 20 bajtů a ve formátu Base32. To je přesně 32 znaků.
- Na klíč Nitrokey 3 je možné uložit přesně jedno tajemství HMAC.
Chcete-li vygenerovat tajenku, v poli na pravé straně je tlačítko . Je také možné zadat vlastní tajemství, pokud je v souladu s předpisy.

Varování

Databázi již nelze odemknout, pokud je Nitrokey 3 ztracen nebo nedostupný! Proto můžete nastavit druhý klíč Nitrokey 3 se stejným tajným kódem HMAC jako záložní zařízení.

Důležité

Tajenku lze před uložením vidět pouze na. Pokud má být databáze KeePassXC použita s jiným klíčem Nitrokey 3, je třeba zkopírovat tajemství HMAC, což je možné pouze ** před uložením** pověření.
Klikněte na SAVE pro uložení pověření.

První možnost: Ochrana stávající databáze KeePassXC pomocí klíče Nitrokey 3¶

Otevřít KeePassXC
Otevřete stávající databázi KeePassXC, která má být chráněna klíčem Nitrokey 3.
Zvolte Database -> Database Security... z panelu nabídek.
Na levé straně vyberte Security.
Klikněte na tlačítko Add additional protection... na kartě Database Credentials.
Přejděte dolů na Challenge-Response a klikněte na Add Challenge-Response.
Pokud je nyní připojen Nitrokey 3 a předtím byl vygenerován HMAC, měl by se v poli zobrazit Nitrokey 3.

Kliknutím na OK přidáte Nitrokey 3 do stávající databáze KeePassXC.

Poznámka

Ve výchozím nastavení se jako druhý faktor kromě přístupové fráze používá Nitrokey 3. Chcete-li databázi chránit výhradně klíčem Nitrokey 3, odstraňte přístupovou frázi kliknutím na tlačítko Remove Password.

Tip

Pokud není klíč Nirokey 3 rozpoznán, zcela zavřete KeePassXC. Poté připojte klíč Nitrokey 3 k počítači a znovu spusťte KeePassXC.

Druhá možnost: Vytvoření databáze KeePassXC chráněné pomocí Nitrokey 3¶

Otevřít KeePassXC
Chcete-li vytvořit novou databázi KeePassXC, vyberte z panelu nabídek Database -> New Database....
Vyplňte zobrazovaný název a volitelný popis nové databáze a klikněte na Continue
Zde lze nyní konfigurovat další nastavení šifrování databáze nebo lze zachovat výchozí nastavení. Nastavení lze změnit i později v nastavení databáze.

Klikněte na Continue a potvrďte nastavení.
Pověření k databázi

Zde můžete zadat heslo jako druhý faktor pro odemknutí databáze. Chcete-li připojit Nitrokey 3 (na kterém byl vygenerován tajný kód HMAC) k nové databázi KeePassXC, klikněte na Add additional protection....
Přejděte dolů na Challenge-Response a klikněte na Add Challenge-Response.
Pokud je nyní připojen Nitrokey 3 a předtím byl vygenerován HMAC, měl by se v poli zobrazit Nitrokey 3. Kliknutím na Continue dokončete vytvoření nové databáze KeePassXC.

Poznámka

Pokud je přístupová fráze ponechána prázdná, bude databáze chráněna výhradně pomocí klíče Nitrokey 3. Pokud je zadána přístupová fráze, bude databáze chráněna touto frází a klíčem Nitrokey 3.

Tip

Pokud není klíč Nitrokey 3 rozpoznán, zavřete zcela program KeePassXC. Poté připojte Nitrokey 3 k počítači a znovu spusťte KeePassXC.

Řešení problémů pro systém Linux¶

Pokud zařízení Nirokey 3 není rozpoznáno pomocí KeePassXC v systému Linux:

Za předpokladu, že pravidla udev byla nastavena podle popisu zde.
Za předpokladu, že pcscd service are byl zahájen:
```
sudo systemctl start pcscd.service
```
Nainstalujte nejnovější verzi KeePassXC pomocí flatpaku:
```
flatpak install flathub org.keepassxc.KeePassXC
```
Instalace ccid na systémech založených na Arch Linuxu. Viz také: Arch wiki:.

pcscd: Karta nenalezena¶

Problém: Aplikace používající pcscd nezobrazuje Nitrokey 3.

Řešení: Nejprve se ujistěte, že není spuštěna stránka scdaemon (viz předchozí část):

$ gpg-connect-agent "SCD KILLSCD" /bye

Nyní vypište seznam čipových karet rozpoznaných pomocí pcscd s pcsc_scan -r. Měli byste vidět záznam, jako je tento:

$ pcsc_scan -r
Using reader plug'n play mechanism
Scanning present readers..
0: Nitrokey 3 [CCID/ICCD Interface] 00 00

Pokud se Nitrokey 3 zobrazí, je správně rozpoznán serverem pcscd a může být problém s aplikací, která se k němu pokouší přistupovat. Pokud se nezobrazí, zkontrolujte, zda je vaše libccid verze aktuální. Podpora pro Nitrokey 3 byla přidána v libccid 1.5.0.

Aktualizace databáze zařízení¶

Pokud nemůžete aktualizovat libccid na podporovanou verzi, musíte databázi zařízení aktualizovat ručně. Cesta k databázi závisí na vaší distribuci:

Arch, Debian, Ubuntu: /etc/libccid_Info.plist

Před přepsáním souboru nezapomeňte soubor zálohovat. <https://github.com/Nitrokey/nitrokey-3-firmware/blob/main/Info.plist>` Aktualizovaný soubor databáze zařízení můžete stáhnout z úložiště ``nitrokey-3-firmware`. Po aktualizaci souboru restartujte pcscd a znovu spusťte pcsc_scan -r. Nyní by se měl zobrazit klíč Nitrokey 3.