Κρυπτογράφηση σκληρού δίσκου

VeraCrypt (πρώην TrueCrypt)

Το VeraCrypt είναι ένα ελεύθερο λογισμικό κρυπτογράφησης δίσκων ανοικτού κώδικα για Windows, macOS και GNU+Linux. Είναι ο διάδοχος του TrueCrypt και ως εκ τούτου συνιστάται, αν και οι παρακάτω οδηγίες θα πρέπει να ισχύουν και για το TrueCrypt.

Ακολουθήστε τα παρακάτω βήματα για να χρησιμοποιήσετε το πρόγραμμα με το Nitrokey Storage 2 ή Nitrokey Pro 2:

  1. Εγκαταστήστε την τελευταία έκδοση του OpenSC ή κατεβάστε τη βιβλιοθήκη PKCS#11.

  2. Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g. /usr/lib/opensc).

  3. Δημιουργήστε ένα αρχείο κλειδιού 64 byte μέσω του εργαλείου Tools>Keyfile Generator.

  4. Τώρα θα πρέπει να είστε σε θέση να εισάγετε το αρχείο κλειδιού που δημιουργήθηκε μέσω της επιλογής Tools>Manage Security Token Keyfiles. Θα πρέπει να επιλέξετε την πρώτη υποδοχή ([0] User PIN). Το αρχείο κλειδιού αποθηκεύεται στη συνέχεια στο Nitrokey ως «Private Data Object 1» (PrivDO1).

  5. Μετά από αυτό θα πρέπει να διαγράψετε το αρχικό αρχείο κλειδιού στον υπολογιστή σας με ασφάλεια!

  6. Τώρα μπορείτε να χρησιμοποιήσετε το VeraCrypt με το Nitrokey: Δημιουργήστε ένα δοχείο, επιλέξτε το αρχείο κλειδιού στη συσκευή ως εναλλακτική λύση για έναν κωδικό πρόσβασης.

Προειδοποίηση

Εξέταση της ασφάλειας

Σημειώστε ότι το VeraCrypt δεν χρησιμοποιεί την πλήρη ασφάλεια που προσφέρει το Nitrokey (και οι έξυπνες κάρτες γενικά). Αντ” αυτού, αποθηκεύει ένα αρχείο κλειδιού στο Nitrokey, το οποίο θεωρητικά θα μπορούσε να κλαπεί από έναν ιό υπολογιστή αφού ο χρήστης εισάγει το PIN.

Σημείωση: Το Aloaha Crypt βασίζεται στο TrueCrypt/VeraCrypt αλλά χωρίς τον περιγραφόμενο περιορισμό ασφαλείας.

Κρυπτογράφηση σκληρού δίσκου σε GNU+Linux με LUKS/dm-crypt

Για τη ρύθμιση της κρυπτογράφησης δίσκου LUKS ακολουθήστε τον οδηγό μας:

Ο Purism δημιούργησε ένα απλό σενάριο για να προσθέσει το Nitrokey/LibremKey ως τρόπο ξεκλειδώματος των κατατμήσεων LUKS (δεν έχει δοκιμαστεί ακόμα από το Nitrokey).

Αυτό το έργο έχει ως στόχο να διευκολύνει τη χρήση του LUKS με το Nitrokey Pro ή το Storage που βασίζεται στο Password Safe (δεν έχει δοκιμαστεί ακόμα από το Nitrokey). Μια περιγραφή για το πώς να το χρησιμοποιήσετε στο Gentoo μπορείτε να βρείτε εδώ.

Για το Arch Linux, δείτε initramfs-scencrypt.

Κρυπτογράφηση αποθήκευσης στο GNU+Linux με το EncFS

Το EncFS είναι ένα εύκολο στη χρήση σύστημα κρυπτογραφημένων συστημάτων αρχείων και βασίζεται στο FUSE. Μπορείτε να ακολουθήσετε αυτά τα βήματα για να το χρησιμοποιήσετε με πολύ μεγάλους κωδικούς πρόσβασης και το Nitrokey Pro 2:

Αρχικοποίηση

  1. Δημιουργήστε ένα αρχείο κλειδιών με τυχαία δεδομένα:

    $ dd bs=64 count=1 if=/dev/urandom of=keyfile
    
  2. Κρυπτογραφήστε το αρχείο κλειδιού και χρησιμοποιήστε το User-ID του Nitrokey σας

    $ gpg --encrypt keyfile
    
  3. Αφαιρέστε το αρχείο κλειδιού σε μορφή καθαρού κειμένου:

    $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
    
  4. Δημιουργία σημείου προσάρτησης:

    $ mkdir ~/.cryptdir ~/cryptdir
    
  5. Δημιουργήστε τον πραγματικό φάκελο κρυπτογράφησης

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    # There may appears an error message about missing permission of fusermount
    # This message can be ignored
    
  6. Αποσυνδέστε το νέο σύστημα αρχείων:

    $ fusermount -u ~/cryptdir
    

Χρήση

  1. Προσαρτήστε το κρυπτογραφημένο σύστημα αρχείων και εισαγάγετε το PIN του Nitrokey:

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    
  2. Μετά τη χρήση, αποσυνδέστε το σύστημα αρχείων:

    $ fusermount -u ~/cryptdir
    

Κρυπτογράφηση αποθήκευσης στο GNU+Linux με το ECryptFS

eCryptfs είναι ένα διαφανές σύστημα αρχείων κρυπτογράφησης με βάση τα αρχεία για GNU+Linux, το οποίο μπορεί να χρησιμοποιηθεί με το Nitrokey μέσω ενός οδηγού PKCS#11.

Βλέπε αυτές τις οδηγίες:

  1. Εισάγετε το πιστοποιητικό και το κλειδί στο Nitrokey

    # Warning: This will delete existing keys on your Nitrokey!
    $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
    
  2. Δημιουργήστε το αρχείο ~/.ecryptfsrc.pkcs11:

    $ editor ~/.ecryptfsrc.pkcs11
    
  3. Εισάγετε αυτό το περιεχόμενο:

    $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
    $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
    Certificate
        DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
        Serial: 066E04
        Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
    
  4. Αντιγράψτε το σειριοποιημένο αναγνωριστικό για μεταγενέστερη χρήση:

    $ ecryptfs-manager
    # This will show list option. Choose option "Add public key to keyring"
    # Choose pkcs11-helper
    # Enter the serialized ID of step 3 to PKCS#11 ID.
    

Εναλλακτικά, δοκιμάστε ESOSI ή ακολουθήστε αυτά τα βήματα χρησιμοποιώντας OpenSC και OpenVPN.

Πηγή του οδηγού: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption