Festplattenverschlüsselung¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
VeraCrypt (ehemals TrueCrypt)¶
VeraCrypt ist eine freie und Open Source Festplattenverschlüsselungssoftware für Windows, macOS und GNU+Linux. Es ist der Nachfolger von TrueCrypt und wird daher empfohlen, obwohl die folgenden Anweisungen auch für TrueCrypt gelten sollten.
Follow these steps to use the program with Nitrokey Storage 2 or Nitrokey Pro 2:
Installieren Sie die neueste Version von OpenSC, oder laden Sie die PKCS#11-Bibliothek herunter.
Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g.
/usr/lib/opensc).Erzeugen Sie eine 64-Byte-Schlüsseldatei über Tools>Keyfile Generator.
Now you should be able to import the generated key file via Tools>Manage Security Token Keyfiles. You should choose the first Slot (
[0] User PIN). The keyfile is then stored on the Nitrokey as Private Data Object 1 (PrivDO1).Danach sollten Sie die Original-Schlüsseldatei auf Ihrem Computer sicher löschen!
Jetzt können Sie VeraCrypt mit dem Nitrokey verwenden: Erstellen Sie einen Container, wählen Sie die Schlüsseldatei auf dem Gerät als Alternative zum Passwort.
Warnung
Sicherheitsbetrachtung
Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.
Festplattenverschlüsselung unter GNU+Linux mit LUKS/dm-crypt¶
Für die Einrichtung von LUKS Festplattenverschlüsselung folgen Sie unserer Anleitung:
Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).
Dieses Projekt zielt darauf ab, die Nutzung von LUKS mit dem Nitrokey Pro oder Storage basierend auf dem Password Safe (noch nicht von Nitrokey getestet) zu erleichtern. Eine Beschreibung, wie man es unter Gentoo benutzt, findet man hier.
Für Arch Linux, siehe initramfs-scencrypt.
Speicherverschlüsselung unter GNU+Linux mit EncFS¶
Tipp
Voraussetzung
Bitte stellen Sie sicher, dass Sie den Gerätetreiber installiert, die Standard-PINs geändert und Schlüssel mit GnuPG erzeugt oder importiert haben.
EncFS is an easy to utlity for encrypted file systems and it is based on FUSE. You may follow these steps to use it with very long passwords and Nitrokey Pro 2.
Initialisierung¶
Erstellen Sie eine Schlüsseldatei mit Zufallsdaten:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Verschlüsseln Sie die Schlüsseldatei und verwenden Sie die User-ID Ihres Nitrokey
$ gpg --encrypt keyfile
Entfernen Sie die Schlüsseldatei im Klartext:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Einhängepunkt erstellen:
$ mkdir ~/.cryptdir ~/cryptdir
Erstellen Sie den eigentlichen Verschlüsselungsordner
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Hängen Sie das neue Dateisystem aus:
$ fusermount -u ~/cryptdir
Verwendung¶
Verschlüsseltes Dateisystem einhängen und PIN von Nitrokey eingeben:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
Hängen Sie das Dateisystem nach Gebrauch wieder aus:
$ fusermount -u ~/cryptdir
Speicherverschlüsselung unter GNU+Linux mit ECryptFS¶
eCryptfs ist ein dateibasiertes transparentes Verschlüsselungs-Dateisystem für GNU+Linux, das mit Nitrokey über einen PKCS#11-Treiber verwendet werden kann.
Siehe diese Anweisungen:
Importieren Sie das Zertifikat und den Schlüssel in den Nitrokey
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Erstellen Sie die Datei ~/.ecryptfsrc.pkcs11:
$ editor ~/.ecryptfsrc.pkcs11
Geben Sie diesen Inhalt ein:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Kopieren Sie die serialisierte ID für die spätere Verwendung:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
Alternativ können Sie ESOSI ausprobieren oder diese Schritte mit OpenSC und OpenVPN durchführen.
Quelle des Leitfadens: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption