Kõvaketta krüpteerimine¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
VeraCrypt (endine TrueCrypt)¶
VeraCrypt on tasuta ja avatud lähtekoodiga kettakrüptimise tarkvara Windowsile, macOSile ja GNU+Linuxile. See on TrueCrypti järeltulija ja seega soovitatav, kuigi järgmised juhised peaksid kehtima ka TrueCrypti kohta.
Follow these steps to use the program with Nitrokey Storage 2 or Nitrokey Pro 2:
Installige OpenSC uusim versioon või laadige alla PKCS#11 raamatukogu.
Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g.
/usr/lib/opensc).Loo 64 baidi suurune võtmefail tööriistade abil >Keyfile Generator.
Now you should be able to import the generated key file via Tools>Manage Security Token Keyfiles. You should choose the first Slot (
[0] User PIN). The keyfile is then stored on the Nitrokey as Private Data Object 1 (PrivDO1).Pärast seda peaksite oma arvutis oleva algse võtmefaili turvaliselt kustutama!
Nüüd saate kasutada VeraCrypti koos Nitrokeyga: Looge konteiner, valige seadmes olev võtmefail alternatiivina paroolile.
Hoiatus
Turvalisuse kaalutlused
Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.
Kõvaketta krüpteerimine GNU+Linuxis koos LUKS/dm-cryptiga¶
LUKS-ketta krüpteerimise seadistamiseks järgige meie juhendit:
Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).
Selle projekti eesmärk on lihtsustada LUKS-i kasutamist koos Nitrokey Pro või Password Safe’il põhineva Storage’iga (Nitrokey ei ole veel testinud). Kirjeldus selle kasutamise kohta Gentoo’s on leitav kuskil.
Arch Linuxi puhul vt initramfs-scencrypt.
Salvestussalvestus GNU+Linuxis koos EncFS-iga¶
Nõuanne
Eeltingimus
Veenduge, et olete installeerinud seadme draiveri, muutnud vaikimisi PIN-koodid ja genereerinud või importinud võtmed GnuPG.
EncFS is an easy to utlity for encrypted file systems and it is based on FUSE. You may follow these steps to use it with very long passwords and Nitrokey Pro 2.
Initsialiseerimine¶
Luua juhuslike andmetega võtmefail:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Krüptige võtmefail ja kasutage oma Nitrokey kasutaja-ID-d.
$ gpg --encrypt keyfile
Võtmefaili eemaldamine selge tekstina:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Loo mount-punkt:
$ mkdir ~/.cryptdir ~/cryptdir
Tegeliku krüpteerimiskausta loomine
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Lülitage uus failisüsteem lahti:
$ fusermount -u ~/cryptdir
Kasutamine¶
Kinnitage krüpteeritud failisüsteem ja sisestage Nitrokey PIN-kood:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
Pärast kasutamist eemaldage failisüsteem:
$ fusermount -u ~/cryptdir
Salvestussalvestus GNU+Linuxis koos ECryptFSiga¶
eCryptfs on failipõhine läbipaistev krüpteerimisfailisüsteem GNU+Linuxi jaoks, mida saab kasutada koos Nitrokey’ga PKCS#11 draiveri kaudu.
Vt toodud juhiseid:
Impordi sertifikaat ja võti Nitrokey’sse
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Looge fail ~/.ecryptfsrc.pkcs11:
$ editor ~/.ecryptfsrc.pkcs11
Sisestage see sisu:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Kopeeri seerialiseeritud id hilisemaks kasutamiseks:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
Alternatiivina proovige ESOSI või järgige neid samme, kasutades OpenSC ja OpenVPN.
Juhendi allikas: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption