Nitrokey Storage KKK¶

Kuna Nitrokey Storage 2 on sisuliselt Nitrokey Pro 2, mis sisaldab ka mittepüsivat (krüpteeritud) mälu, kehtib osaliselt ka Nitrokey Pro 2 KKK.

Q: Which Operating Systems are supported?: Windows, Linux ja macOS.

Q: What can I use the Nitrokey for?: Vt `ülevaade toetatud kasutusjuhtumitest.

Q: What are the default PINs?

Kasutajate PIN-kood: „123456“
Administraatori PIN-kood: „12345678“
Firmware Password: „12345678“

Enne Nitrokey kasutamist soovitame tungivalt muuta need PIN-koodid/parool kasutaja valitud väärtusteks.

Q: How large is the storage capacity?: Nitrokey Storage saab salvestada ja krüpteerida 8, 32 või 64 GB andmeid (sõltuvalt konkreetsest mudelist).

Q: Why can’t I access the encrypted storage on a new Nitrokey Storage?: Uue Nitrokey Storage seadme puhul veenduge enne krüpteeritud mahule juurdepääsu võimaldamist, et olete esmalt „Hävitage krüpteeritud andmed“ Nitrokey rakenduses.

Q: What is the maximum length of the PIN?

Nitrokey kasutab paroolide asemel PIN-koode. Peamine erinevus seisneb selles, et riistvara piirab katsete arvu kolmele, samas kui paroolide puhul piirangut ei ole. Selle tõttu on lühike PIN-kood endiselt turvaline ning ei ole vaja valida pikka ja keerulist PIN-koodi.

Nitrokey Storage’i PIN-koodid võivad olla kuni 20-kohalised ja koosneda numbritest, tähemärkidest ja erimärkidest. Märkus: GnuPG või OpenSC kasutamisel saab kasutada 32 tähemärgi pikkuseid PIN-koode, kuid Nitrokey App ei toeta neid.

Q: What is the User PIN for?

Kasutaja PIN-kood on vähemalt 6-kohaline ja seda kasutatakse juurdepääsuks Nitrokey kontaktile. Seda PIN-koodi kasutate igapäevaselt palju, nt sõnumite dekrüpteerimiseks, krüpteeritud salvestusruumi avamiseks (ainult NK Storage) jne.

Kasutaja PIN-kood võib sisaldada kuni 20 numbrit ja muid sümboleid (nt tähestikku ja erimärke). Kuid kuna kasutaja PIN-kood blokeeritakse, kui on tehtud kolm valet PIN-koodi katset, on piisavalt turvaline kasutada ainult 6-kohalist PIN-koodi. Vaikimisi PIN-kood on 123456.

Q: What is the Admin PIN for?

Administraatori PIN-kood on vähemalt 8-kohaline ja seda kasutatakse Nitrokey sisu/seadete muutmiseks. See tähendab, et pärast Nitrokey initsialiseerimist te tõenäoliselt ei’tse seda PIN-koodi liiga tihti (nt kui soovite lisada Nitrokey Pro või Nitrokey Storage’i paroolitehase paroolitehasesse veel ühe parooli).

Administraatori PIN-kood võib olla kuni 20-kohaline ja muid märke (nt tähestik ja erimärgid). Kuid kuna administraatori PIN-kood blokeeritakse kohe, kui on tehtud kolm valet PIN-koodi katset, on piisavalt turvaline, kui PIN-kood on ainult 8-kohaline. Vaikimisi PIN on 12345678.

Q: Why does my Nitrokey Storage hang when switching between nitrokey-app and GnuPG?: GnuPG ja nitrokey-app kipuvad mõnikord üksteist käsitsema. See on tuntud probleem ja seda saab parandada, kui Nitrokey uuesti USB-pessa sisestada.

Q: What is the firmware PIN for?

Firmware parool peaks vastama üldistele parooli soovitustele (nt kasutage tähestikku, numbreid ja erimärke või kasutage piisavalt pikka parooli). Firmware parool on vajalik Nitrokey Storage’i püsivara uuendamiseks. Vaata täiendavaid juhiseid uuendamise protsessi kohta siit.

Firmware parool ei ole kunagi blokeeritud. Ründaja võib üritada parooli ära arvata ja tal on piiramatu arv katsete arv. Seetõttu peate valima tugeva parooli. Vaikimisi parool on 12345678.

Q: How many keys can I store?: Nitrokey Storage saab salvestada kolm RSA võtmepaari. Kõik võtmed kasutavad sama identiteeti, kuid neid kasutatakse erinevatel eesmärkidel: autentimine, krüpteerimine ja allkirjastamine.

Q: How fast is encryption and signing?

50kiB andmete krüpteerimine:

256-bitine AES, 2048 baiti käsu kohta -> 880 baiti sekundis
128-bitine AES, 2048 baiti käsu kohta -> 893 baiti sekundis
256-bitine AES, 240 baiti käsu kohta -> 910 baiti sekundis
128-bitine AES, 240 baiti käsu kohta -> 930 baiti sekundis

Q: Which algorithms and maximum key length are supported?: Vt järgmist tabelit:

	Start	Pro + ladustamine	Pro 2 + Storage 2	Nitrokey 3	HSM	HSM 2
rsa1024	✓	✓			✓	✓
rsa2048	✓	✓	✓	✓	✓	✓
rsa3072		✓	✓	✓		✓
rsa4096		✓	✓	✓		✓
curve25519	✓			✓
NIST-P 192						✓
NIST-P 256	✓		✓	✓		✓
NIST-P 384-521			✓			✓
Brainpool 192					✓	✓
Brainpool 256-320			✓		✓	✓
Brainpool 384-521			✓			✓
secp192					✓	✓
secp256	✓				✓	✓
secp521						✓

Q: Does the Nitrokey Storage contain a secure chip or just a normal microcontroller?: Nitrokey Storage sisaldab võltsimiskindlat kiipkaarti.

Q: Is the Nitrokey Storage Common Criteria or FIPS certified?: Turvakontroller (NXP Smart Card Controller P5CD081V1A ja selle peamised konfiguratsioonid P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A ja P5CD016V1A, millest igaühel on spetsiaalne IC-tarkvara) on Common Criteria EAL 5+ sertifikaat kuni operatsioonisüsteemi tasemeni (sertifitseerimisaruanne, turbe-eesmärk, hooldusaruanne, hooldus ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Lisaks on Cure53 viinud läbi sõltumatu turvaauditi riistvara, püsivara ja Nitrokey Appi kohta.

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey Storage for my applications?: Mõlemad seadmed ühilduvad OpenPGP-kaardiga, nii et scdrand peaks töötama. See skript võib olla kasulik. Kasutaja comio loonud systemd faili, et kasutada scdrand’i ja seega TRNG’d üldisemalt. Ta lõi ka ebuildi Gentoo jaoks.

Q: How good is the Random Number Generator?

Nitrokey Pro ja Nitrokey Storage kasutavad seadmes võtmete genereerimiseks tõelist juhusliku numbri generaatorit (TRNG). TRNG poolt genereeritud entroopiat kasutatakse kogu võtmepikkuse jaoks. Seetõttu vastab TRNG standardile BSI TR-03116.

TRNG pakub umbes 40 kbit/s.

Q: How can I use the encrypted mobile Storage?

Enne krüpteeritud mobiilse salvestusruumi kasutamist peate Nitrokey Storage’i paigaldama ja initsialiseerima ning laadima alla uusima Nitrokey rakenduse.

Käivitage Nitrokey rakendus.
Vajutage selle salve ikooni ja valige menüüst „unlocked encrypted volume“.
Sisestage ilmuvas hüpikaknas oma kasutaja PIN-kood.
Kui see on esimene kord, peate võib-olla looma krüpteeritud mahule partitsiooni. Windows avab vastava akna ja palub seda teha. Linuxi ja Maci puhul peate võib-olla avama partitsioonihalduri ja looma partitsiooni käsitsi. Sa võid luua nii palju partitsioone kui soovid. Me soovitame FAT(32), kui soovite partitsiooni kasutada erinevatest operatsioonisüsteemidest.
Nüüd saate krüpteeritud andmekandjat kasutada nagu iga teist tavalist USB-kõvaketast. Kuid kõik sellele salvestatud andmed krüpteeritakse Nitrokey riistvaras automaatselt.
Krüpteeritud andmekandja eemaldamiseks või lukustamiseks tuleb see kõigepealt lahtiühendada/väljaheitesüsteemist välja lülitada.
Pärast seda saate Nitrokey lahti ühendada või valida Nitrokey rakenduse menüüst „lukusta krüpteeritud maht“.

Nitrokey Storage suudab luua ka varjatud mahtusid. Palun vaadake vastavaid juhiseid peidetud mahtude kohta.

Q: How can I use the hidden volume?

Varjatud mahud võimaldavad andmeid krüpteeritud mahtu peita. Andmed on kaitstud täiendava parooliga. Ilma salasõnata ei saa andmete olemasolu’s tõestada. Varjatud köited ei ole vaikimisi seadistatud nii, et nende olemasolu saaks usutavalt eitada. Kontseptsioon on sarnane VeraCrypt’s/TrueCrypt’s peidetud mahtudega, kuid Nitrokey Storage’i puhul on kogu peidetud mahtude funktsionaalsus rakendatud riistvaras.

Saate konfigureerida kuni neli varjatud köidet. Pärast avamist käituvad peidetud mahud nagu tavalised mälupinnad, kus saate luua erinevaid partitsioone, failisüsteeme ja salvestada faile nii, nagu soovite.

Kui otsustate konfigureerida Hidden Volumes, ei saa te enam krüpteeritud salvestusruumi kasutada. Kuna peidetud köide asub krüpteeritud salvestusruumi vabal alal, on võimalik, et andmed peidetud köites võidakse üle kirjutada. Võite öelda, et isegi krüpteeritud mälu „ei tea“, et on olemas varjatud mahud. Üldine struktuur on näidatud alljärgneval joonisel. Seetõttu ärge kirjutage midagi krüpteeritud salvestusruumi pärast varjatud mahu loomist (peate selle siiski esmalt lahti lukustama).

Varjatud mahud on nagu konteinerid konteineri sees, krüpteeritud mahu sees.