NitroPad med Qubes OS

Med NitroPad kan ondsindede ændringer af BIOS, operativsystem og software let opdages. Hvis du f.eks. har efterladt din NitroPad på et hotelværelse, kan du bruge din Nitrokey til at kontrollere, om der er blevet pillet ved den, mens du var væk. Hvis en angriber ændrer NitroPad’ens firmware eller operativsystem, vil Nitrokey registrere dette (vejledning nedenfor).

Verifikation af forseglet hardware

Hvis du har bestilt enheden med tilvalget »forseglede skruer og forseglet pose«, skal du bekræfte forseglingen inden udpakning. Hvis du ikke ved, hvad dette betyder, kan du springe dette afsnit over.

Procedure for sikker opstart

Med NitroPad kan ondsindede ændringer af BIOS, operativsystem og software let opdages. Hvis du f.eks. har efterladt din NitroPad på et hotelværelse, kan du bruge din Nitrokey til at kontrollere, om der er blevet pillet ved den, mens du var væk. Hvis en angriber ændrer NitroPad’ens firmware eller operativsystem, vil Nitrokey registrere dette (vejledning nedenfor).

Hver gang du starter NitroPad, bør du - hvis det er muligt - tilslutte din Nitrokey. Hvis Nitrokey er tilsluttet, og systemet ikke er blevet ændret, vises følgende skærm, når NitroPad tændes.

img1

Feltet markeret med rødt indeholder oplysninger om, at BIOS’en ikke er blevet ændret, og at NitroPad’ens og Nitrokey’ens delte hemmelighed stemmer overens. Men disse oplysninger er ikke tilstrækkelige, fordi en angriber kunne have forfalsket dem. Hvis Nitrokey samtidig også blinker grønt, er alt i orden. En angriber skal have haft adgang til NitroPad’en og Nitrokey’en for at opnå dette resultat. Det er derfor vigtigt, at du ikke efterlader begge enheder uden opsyn.

Hvis oplysningerne på NitroPad’en ikke stemmer overens med oplysningerne på Nitrokey’en, bliver baggrunden rød, og meddelelsen »Invalid Code« (ugyldig kode) vises. Dette kan indikere, at der er sket manipulation.

img2

Hvordan opstartsprocessen kan se ud, hvis systemet er blevet ændret (f.eks. efter en opdatering), og hvilke fejlmeddelelser der ellers kan forekomme, er beskrevet yderligere nedenfor.

Tip

NitroPad kan også startes uden Nitrokey. Hvis du ikke har Nitrokey med dig, men er sikker på, at hardwaren ikke er blevet manipuleret, kan du starte dit system op uden at kontrollere det.

Kom godt i gang

Efter købet er adgangskoderne indstillet til en standardværdi og skal ændres af dig:

  1. Tryk på Enter (»Default Boot«) efter opstart af systemet, forudsat at NitroPad ikke har vist nogen fejl, og at Nitrokey er grønt lysende (se ovenfor).

  2. Next, the system will prompt you to enter the passphrase to decrypt the hard disk. The passphrase is initially »12345678«.

    img3

  3. Systemet vil derefter guide dig gennem processen med at oprette en brugerkonto. Herefter skulle du have startet systemet op og allerede kunne bruge det normalt.

  4. Åbn den forudinstallerede Nitrokey-app, og ændr pinkoderne på din Nitrokey som beskrevet her.

  5. Skift passphrase til harddiskkrypteringen ved at søge i Qubes-menuen efter »Change Disk Passwort«. Denne passphrase er forskellig fra din brugerkontos passphrase.

    Skift adgangskode Qubes-billede

  6. NitroPads leveres med det seneste installationsbillede af Qubes OS, som skal opdateres efter installationen, fordi det ikke indeholder alle de seneste sikkerhedsrettelser. For at opdatere skal du bruge Update Manager som beskrevet i Qubes Documentation.

Bemærk

Specifikt for NitroPad V54 indeholder Qubes 4.2.3 installationsbillede en fejl, der begrænser til kun at bruge den højeste skærmopløsning. Dette er rettet, når du har opdateret dom0 og genstartet.

Adfærd efter en systemopdatering

NitroPad-firmwaren kontrollerer visse systemfiler for ændringer. Hvis dit operativsystem har opdateret vigtige komponenter, vil du blive advaret, næste gang du starter NitroPad op. Det kan f.eks. se sådan her ud:

img4

Derfor er det vigtigt at genstarte din NitroPad under kontrollerede forhold efter en systemopdatering. Først når den nye status er blevet bekræftet, kan du igen lade enheden være uden opsyn. Ellers vil du ikke kunne skelne et muligt angreb fra en systemopdatering. Detaljerede instruktioner for en systemopdatering kan findes her.