Kryptering af harddisken

VeraCrypt (tidligere TrueCrypt)

VeraCrypt er et gratis og Open Source-disk-krypteringsprogram til Windows, macOS og GNU/Linux. Det er efterfølgeren til TrueCrypt og kan derfor anbefales, selv om de følgende instruktioner også bør gælde for TrueCrypt.

Følg disse trin for at bruge programmet med Nitrokey Storage 2 eller Nitrokey Pro 2:

  1. Installer den seneste version af OpenSC, eller download PKCS#11-biblioteket.

  2. Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g. /usr/lib/opensc).

  3. Generer en 64 Byte nøglefil via Tools>Keyfile Generator.

  4. Nu bør du kunne importere den genererede nøglefil via Tools>Manage Security Token Keyfiles (værktøjer>Administrer sikkerhedstoken-nøglefiler). Du skal vælge den første slot ([0] User PIN). Nøglefilen gemmes derefter på Nitrokey som »Private Data Object 1« (PrivDO1<x>).

  5. Herefter skal du slette den originale nøglefil på din computer sikkert!

  6. Nu kan du bruge VeraCrypt med Nitrokey: Opret en beholder, vælg nøglefilen på enheden som et alternativ til en adgangskode.

Advarsel

Overvejelser om sikkerhed

Bemærk venligst, at VeraCrypt ikke udnytter den fulde sikkerhed, som Nitrokey (og smart cards generelt) tilbyder. I stedet lagrer den en nøglefil på Nitrokey, som teoretisk set kan blive stjålet af en computervirus, efter at brugeren har indtastet PIN-koden.

Bemærk: Aloaha Crypt er baseret på TrueCrypt/VeraCrypt, men uden de beskrevne sikkerhedsbegrænsninger.

Kryptering af harddisken på Linux med LUKS/dm-crypt

Følg vores vejledning til opsætning af LUKS Disk Encryption:

Purism har oprettet et enkelt script for at tilføje Nitrokey/LibremKey som en måde at låse LUKS-partitioner op på (ikke testet af Nitrokey endnu).

Dette projekt har til formål at lette brugen af LUKS med Nitrokey Pro eller opbevaring baseret på Password Safe (endnu ikke testet af Nitrokey). En beskrivelse af hvordan man bruger det på Gentoo kan findes her.

For Arch Linux, se initramfs-scencrypt.

Kryptering af lagring på GNU+Linux med EncFS

EncFS er en let anvendelig enhed til krypterede filsystemer, og den er baseret på FUSE. Du kan følge disse trin for at bruge det med meget lange adgangskoder og Nitrokey Pro 2:

Initialisering

  1. Opret en nøglefil med tilfældige data:

    $ dd bs=64 count=1 if=/dev/urandom of=keyfile
    
  2. Krypter nøglefilen og brug din Nitrokey-bruger-ID

    $ gpg --encrypt keyfile
    
  3. Fjern nøglefilen i klartekst:

    $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
    
  4. Opret monteringspunkt:

    $ mkdir ~/.cryptdir ~/cryptdir
    
  5. Opret den egentlige krypteringsmappe

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    # There may appears an error message about missing permission of fusermount
    # This message can be ignored
    
  6. Afmonter det nye filsystem:

    $ fusermount -u ~/cryptdir
    

Anvendelse

  1. Monter det krypterede filsystem, og indtast PIN-koden til Nitrokey:

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    
  2. Efter brug skal du afmontere filsystemet:

    $ fusermount -u ~/cryptdir
    

Lagringskryptering på Linux med ECryptFS

eCryptfs er et filbaseret gennemsigtigt krypteringssystem til Linux, som kan bruges sammen med Nitrokey via en PKCS#11-driver.

Se ` disse <http://tkxuyen.com/blog/?p=293>`_ instruktioner:

  1. Importer certifikatet og nøglen til Nitrokey

    # Warning: This will delete existing keys on your Nitrokey!
    $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
    
  2. Opret filen ~/.ecryptfsrc.pkcs11:

    $ editor ~/.ecryptfsrc.pkcs11
    
  3. Indtast dette indhold:

    $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
    $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
    Certificate
        DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
        Serial: 066E04
        Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
    
  4. Kopier det serialiserede id til senere brug:

    $ ecryptfs-manager
    # This will show list option. Choose option "Add public key to keyring"
    # Choose pkcs11-helper
    # Enter the serialized ID of step 3 to PKCS#11 ID.
    

Alternativt kan du prøve ESOSI eller følge disse trin ved hjælp af OpenSC og OpenVPN.

Kilde til vejledningen: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption