Nejčastější dotazy k úložišti Nitrokey#
Protože Nitrokey Storage 2 je v podstatě Nitrokey Pro 2 včetně nevolatilního (šifrovaného) úložiště, platí částečně také Nitrokey Pro 2 FAQ.
- Q: Které operační systémy jsou podporovány?
Windows, Linux a macOS.
- Q: K čemu mohu Nitrokey použít?
Přehled podporovaných případů použití naleznete na frontpage.
- Q: Jaké jsou výchozí kódy PIN?
Uživatelský kód PIN: „123456“
Administrátorský PIN: „12345678“
Heslo k firmwaru: „12345678“
Důrazně doporučujeme změnit tyto kódy PIN/hesla na hodnoty zvolené uživatelem před použitím klíče Nitrokey.
- Q: Jak velká je kapacita úložiště?
Do úložiště Nitrokey lze uložit a zašifrovat 8, 32 nebo 64 GB dat (v závislosti na konkrétním modelu).
- Q: Proč nemám přístup k šifrovanému úložišti v novém úložišti Nitrokey?
V novém úložném zařízení Nitrokey se před přístupem k zašifrovanému svazku ujistěte, že jste v aplikaci Nitrokey nejprve „Zničili zašifrovaná data“.
- Q: Jaká je maximální délka kódu PIN?
Nitrokey používá místo hesel kódy PIN. Hlavní rozdíl spočívá v tom, že hardware omezuje počet pokusů na tři, zatímco u hesel tento limit neexistuje. Z tohoto důvodu je krátký kód PIN stále bezpečný a není nutné volit dlouhý a složitý kód PIN.
PINy úložiště Nitrokey mohou mít až 20 číslic a mohou se skládat z čísel, znaků a speciálních znaků. Poznámka: Při použití GnuPG nebo OpenSC lze použít 32 znaků dlouhé kódy PIN, které však aplikace Nitrokey nepodporuje.
- Q: K čemu slouží uživatelský kód PIN?
Uživatelský kód PIN je nejméně šestimístný a slouží k získání přístupu ke kontejneru Nitrokey. Tento kód PIN budete často používat při každodenním používání, např. pro dešifrování zpráv, pro odemknutí zašifrovaného úložiště (pouze úložiště NK) atd.
Uživatelský PIN může mít až 20 číslic a dalších znaků (např. abecedních a speciálních). Protože je však uživatelský kód PIN zablokován, jakmile dojde ke třem chybným pokusům o zadání kódu PIN, je dostatečně bezpečné mít pouze šestimístný kód PIN. Výchozí kód PIN je 123456.
- Q: K čemu slouží kód PIN správce?
Správcovský PIN je nejméně 8místný a slouží ke změně obsahu/nastavení klíče Nitrokey. To znamená, že po inicializaci klíče Nitrokey pravděpodobně nebudete tento kód PIN’potřebovat příliš často (např. pokud budete chtít přidat další heslo do trezoru na hesla klíče Nitrokey Pro nebo Nitrokey Storage).
Správcovský PIN může mít až 20 číslic a dalších znaků (např. abecedních a speciálních). Protože je však kód PIN správce zablokován, jakmile byly provedeny tři chybné pokusy o zadání kódu PIN, je dostatečně bezpečné mít pouze 8místný kód PIN. Výchozí PIN je 12345678.
- Q: Proč se mi při přepínání mezi nitrokey-app a GnuPG zasekne úložiště Nitrokey?
GnuPG a nitrokey-app si někdy vzájemně překážejí. Jedná se o známý problém, který lze odstranit opětovným vložením nitrokey do slotu USB.
- Q: K čemu slouží kód PIN firmwaru?
Heslo k firmwaru: Heslo k firmwaru by mělo splňovat obecná doporučení pro hesla (např. používat abecední znaky, číslice a speciální znaky nebo používat dostatečně dlouhé heslo). Heslo firmwaru je nutné k aktualizaci firmwaru úložiště Nitrokey. Další pokyny k postupu aktualizace naleznete zde.
Heslo firmwaru není nikdy blokováno. Útočník by se mohl pokusit heslo uhodnout a měl by neomezený počet pokusů. Proto je nutné zvolit silné heslo. Výchozí heslo je 12345678.
- Q: Kolik klíčů mohu uložit?
Do úložiště Nitrokey lze uložit tři páry klíčů RSA. Všechny klíče používají stejnou identitu, ale používají se pro různé účely: ověřování, šifrování a podepisování.
- Q: Jak rychlé je šifrování a podepisování?
Šifrování 50kiB dat:
256 bitů AES, 2048 bajtů na příkaz -> 880 bajtů za sekundu
128 bitů AES, 2048 bajtů na příkaz -> 893 bajtů za sekundu
256 bitů AES, 240 bajtů na příkaz -> 910 bajtů za sekundu
128bitový AES, 240 bajtů na příkaz -> 930 bajtů za sekundu
- Q: Jaké algoritmy a maximální délka klíče jsou podporovány?
Viz následující tabulka:
Start |
Pro + úložiště |
Pro 2 + úložiště 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
křivka25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Obsahuje úložiště Nitrokey bezpečný čip, nebo jen běžný mikrokontrolér?
Úložiště Nitrokey obsahuje čipovou kartu odolnou proti manipulaci.
- Q: Je úložiště Nitrokey certifikováno podle Common Criteria nebo FIPS?
Cure53 provedla nezávislý bezpečnostní audit hardwaru, firmwaru a aplikace Nitrokey. Hardware kontroléru zabezpečení’má certifikaci Common Criteria (Report; viz zde, klikněte na „ICs, Smart Cards and Smart Card-Related Devices and Systems“ a vyhledejte „NXP Smart Card Controller P5CD081V1A a jeho hlavní konfigurace P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A a P5CD016V1A, každá s IC dedikovaným softwarem“).
- Q: Jak mohu použít generátor náhodných čísel (TRNG) úložiště Nitrokey pro své aplikace?
Obě zařízení jsou kompatibilní s kartou OpenPGP, takže scdrand by měl fungovat. Tento skript může být užitečný. Uživatel comio vytvořil soubor systemd pro použití scdrand a tím i TRNG obecněji. Vytvořil také sestavení pro Gentoo.
- Q: Jak dobrý je generátor náhodných čísel?
Zařízení Nitrokey Pro a Nitrokey Storage používají ke generování klíčů v zařízení generátor náhodných čísel (TRNG). Entropie generovaná generátorem TRNG se používá pro celou délku klíče. Proto je TRNG v souladu s normou BSI TR-03116.
TRNG poskytuje rychlost přibližně 40 kbit/s.
- Q: Jak mohu používat šifrované mobilní úložiště?
Před použitím šifrovaného mobilního úložiště je třeba nainstalovat a inicializovat úložiště Nitrokey a stáhnout nejnovější aplikaci Nitrokey.
Spusťte aplikaci Nitrokey.
Stiskněte jeho ikonu na liště a v nabídce vyberte možnost „odemknout zašifrovaný svazek“.
V zobrazeném vyskakovacím okně zadejte svůj uživatelský kód PIN.
Pokud je to poprvé, může být nutné vytvořit oddíl na zašifrovaném svazku. Systém Windows otevře příslušné okno a vyzve vás k tomu. V systémech Linux a Mac bude možná nutné otevřít správce oddílů a vytvořit oddíl ručně. Můžete vytvořit libovolný počet oddílů. Pokud chcete k oddílu přistupovat z různých operačních systémů, doporučujeme FAT(32).
Nyní můžete zašifrovaný svazek používat stejně jako jakýkoli jiný běžný disk USB. Všechna data na něm uložená však budou automaticky zašifrována v hardwaru Nitrokey.
Chcete-li zašifrovaný svazek odebrat nebo uzamknout, měli byste jej nejprve odpojit/odstranit.
Poté můžete Nitrokey odpojit nebo v nabídce aplikace Nitrokey vybrat možnost „uzamknout zašifrovaný svazek“.
Úložiště Nitrokey dokáže vytvářet i skryté svazky. Podívejte se prosím na příslušné pokyny pro skryté svazky.
- Q: Jak mohu použít skrytý svazek?
Skryté svazky umožňují skrýt data v zašifrovaném svazku. Data jsou chráněna dalším heslem. Bez hesla nelze existenci dat prokázat. Skryté svazky nejsou ve výchozím nastavení nastaveny tak, aby bylo možné jejich existenci věrohodně popřít. Koncepce je podobná skrytému svazku VeraCrypt’s/TrueCrypt’s, ale u úložiště Nitrokey Storage je celá funkce skrytých svazků implementována hardwarově.
Můžete nakonfigurovat až čtyři skryté svazky. Po odemčení se skryté svazky chovají jako běžné úložiště, kde můžete vytvářet různé oddíly, systémy souborů a ukládat soubory podle libosti.
Pokud se rozhodnete nakonfigurovat skryté svazky, nebudete již moci šifrované úložiště používat. Protože se skrytý svazek nachází na volném místě šifrovaného úložiště, existuje možnost přepsání dat ve skrytém svazku. Dá se říci, že ani šifrované úložiště „neví“, že existuje skrytý svazek. Obecná struktura je znázorněna na obrázku níže. Proto po vytvoření skrytého svazku do šifrovaného úložiště nic nezapisujte (musíte jej však nejprve odemknout).
Skryté svazky jsou jako kontejnery uvnitř kontejneru, šifrovaného svazku.