NitroPad con Qubes OS#

Con el NitroPad, se pueden detectar fácilmente los cambios maliciosos en la BIOS, el sistema operativo y el software. Por ejemplo, si ha dejado su NitroPad en una habitación de hotel, puede utilizar su Nitrokey para comprobar si ha sido manipulado mientras estaba fuera. Si un atacante modifica el firmware o el sistema operativo del NitroPad, el Nitrokey lo detectará (instrucciones más abajo).

Verificación del hardware sellado#

Si ha pedido la unidad con la opción «tornillos sellados y bolsa sellada», por favor verifique el sellado antes de desembalar. Si no sabe lo que significa, sáltese esta sección.

Procedimiento de arranque seguro#

Con el NitroPad, se pueden detectar fácilmente los cambios maliciosos en la BIOS, el sistema operativo y el software. Por ejemplo, si ha dejado su NitroPad en una habitación de hotel, puede utilizar su Nitrokey para comprobar si ha sido manipulado mientras estaba fuera. Si un atacante modifica el firmware o el sistema operativo del NitroPad, el Nitrokey lo detectará (instrucciones más abajo).

Cada vez que inicie el NitroPad, deberá -si es posible- conectar su Nitrokey. Si la Nitrokey está conectada y el sistema no ha sido modificado, al encender el NitroPad aparecerá la siguiente pantalla.

img1

La casilla marcada en rojo contiene la información de que la BIOS no ha sido modificada y que el secreto compartido del NitroPad y la Nitrokey coinciden. Pero esta información no es suficiente, porque un atacante podría haberla falsificado. Si al mismo tiempo la Nitrokey también parpadea en verde, todo está bien. Un atacante tendría que haber tenido acceso al NitroPad y a la Nitrokey para conseguir este resultado. Por lo tanto, es importante que no deje ambos dispositivos sin vigilancia.

Si la información del NitroPad no coincide con la del Nitrokey, el fondo se volverá rojo y aparecerá el mensaje «Código no válido». Esto podría indicar que se ha producido una manipulación.

img2

Más adelante se describe cómo puede ser el proceso de arranque si el sistema ha sido modificado (por ejemplo, después de una actualización) y qué mensajes de error pueden aparecer en caso contrario.

Truco

El NitroPad también puede iniciarse sin la Nitrokey. Si no tiene la Nitrokey consigo, pero está seguro de que el hardware no ha sido manipulado, puede arrancar su sistema sin comprobarlo.

Cómo empezar#

Después de la compra, las contraseñas se establecen en un valor por defecto y deben ser cambiadas por usted:

  1. Pulse Enter («Default Boot») después de arrancar el sistema, siempre y cuando el NitroPad no haya mostrado ningún error y la Nitrokey esté iluminada en verde (ver arriba).

  2. A continuación, el sistema le pedirá que introduzca la frase de contraseña para descifrar el disco duro. La frase de contraseña es inicialmente «PleaseChangeMe».

    img3
  3. A continuación, el sistema le guiará por el proceso de creación de una cuenta de usuario. Después de esto debería haber arrancado con éxito el sistema y ya podría utilizarlo con normalidad.

  4. Abre la App Nitrokey preinstalada y cambia los PINs de tu Nitrokey como ` se describe aquí <change-pins.html>`_.

  5. Cambie la frase de contraseña para el cifrado del disco duro ejecutando «sudo cryptsetup luksChangeKey /dev/sda2» en un terminal. Esta frase de acceso es diferente a la de su cuenta de usuario.

En el caso de que no se muestre el icono del Gestor de Redes y al iniciar una VM aparezca un error como «Domain sys-net has failed to start: El dispositivo PCI dom0:03_00.0 no existe», proceda como sigue:

  1. Abrir menú -> Servicio: sys-net -> sys-net: Configuración de Qube

  2. Ir a la pestaña Dispositivos

  3. Eliminar «Dispositivo desconocido» del lado derecho

  4. Añadir dispositivo «Controlador de red»

  5. Haga clic en «Aceptar» y reinicie el sistema.

Comportamiento tras una actualización del sistema#

El firmware de NitroPad comprueba ciertos archivos del sistema en busca de cambios. Si su sistema operativo ha actualizado componentes importantes, se le avisará la próxima vez que arranque el NitroPad. Esto podría ser así, por ejemplo:

img4

Por eso es importante reiniciar su NitroPad bajo condiciones controladas después de una actualización del sistema. Sólo cuando se haya confirmado el nuevo estado, podrá volver a dejar el dispositivo sin vigilancia. De lo contrario, no podrá distinguir un posible ataque de una actualización del sistema. Las instrucciones detalladas para una actualización del sistema se pueden encontrar aquí.