Kryptering af harddisken¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
VeraCrypt (tidligere TrueCrypt)¶
VeraCrypt er et gratis og Open Source-disk-krypteringsprogram til Windows, macOS og GNU/Linux. Det er efterfølgeren til TrueCrypt og kan derfor anbefales, selv om de følgende instruktioner også bør gælde for TrueCrypt.
Follow these steps to use the program with Nitrokey Storage 2 or Nitrokey Pro 2:
Installer den seneste version af OpenSC, eller download PKCS#11-biblioteket.
Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g.
/usr/lib/opensc).Generer en 64 Byte nøglefil via Tools>Keyfile Generator.
Now you should be able to import the generated key file via Tools>Manage Security Token Keyfiles. You should choose the first Slot (
[0] User PIN). The keyfile is then stored on the Nitrokey as Private Data Object 1 (PrivDO1).Herefter skal du slette den originale nøglefil på din computer sikkert!
Nu kan du bruge VeraCrypt med Nitrokey: Opret en beholder, vælg nøglefilen på enheden som et alternativ til en adgangskode.
Advarsel
Overvejelser om sikkerhed
Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.
Kryptering af harddisken på Linux med LUKS/dm-crypt¶
Følg vores vejledning til opsætning af LUKS Disk Encryption:
Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).
Dette projekt har til formål at lette brugen af LUKS med Nitrokey Pro eller opbevaring baseret på Password Safe (endnu ikke testet af Nitrokey). En beskrivelse af hvordan man bruger det på Gentoo kan findes her.
For Arch Linux, se initramfs-scencrypt.
Kryptering af lagring på GNU+Linux med EncFS¶
Tip
Forudsætninger
Sørg for, at du installerede enhedsdriveren, ændrede standard-PIN-koderne og genererede eller importerede nøgler med GnuPG.
EncFS is an easy to utlity for encrypted file systems and it is based on FUSE. You may follow these steps to use it with very long passwords and Nitrokey Pro 2.
Initialisering¶
Opret en nøglefil med tilfældige data:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Krypter nøglefilen og brug din Nitrokey-bruger-ID
$ gpg --encrypt keyfile
Fjern nøglefilen i klartekst:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Opret monteringspunkt:
$ mkdir ~/.cryptdir ~/cryptdir
Opret den egentlige krypteringsmappe
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Afmonter det nye filsystem:
$ fusermount -u ~/cryptdir
Anvendelse¶
Monter det krypterede filsystem, og indtast PIN-koden til Nitrokey:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
Efter brug skal du afmontere filsystemet:
$ fusermount -u ~/cryptdir
Lagringskryptering på Linux med ECryptFS¶
eCryptfs er et filbaseret gennemsigtigt krypteringssystem til Linux, som kan bruges sammen med Nitrokey via en PKCS#11-driver.
Se ` disse <http://tkxuyen.com/blog/?p=293>`_ instruktioner:
Importer certifikatet og nøglen til Nitrokey
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Opret filen ~/.ecryptfsrc.pkcs11:
$ editor ~/.ecryptfsrc.pkcs11
Indtast dette indhold:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Kopier det serialiserede id til senere brug:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
Alternativt kan du prøve ESOSI eller følge disse trin ved hjælp af OpenSC og OpenVPN.
Kilde til vejledningen: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption