Nitrokey Storage KKK#

Kuna Nitrokey Storage 2 on sisuliselt Nitrokey Pro 2, mis sisaldab ka mittepüsivat (krüpteeritud) mälu, kehtib osaliselt ka Nitrokey Pro 2 KKK.

K: Milliseid operatsioonisüsteeme toetatakse?

Windows, Linux ja macOS.

K: Milleks ma saan Nitrokey’t kasutada?

Vt `ülevaade toetatud kasutusjuhtumitest.

K: Millised on vaikimisi PIN-koodid?
  • Kasutajate PIN-kood: „123456“

  • Administraatori PIN-kood: „12345678“

  • Firmware Password: „12345678“

Enne Nitrokey kasutamist soovitame tungivalt muuta need PIN-koodid/parool kasutaja valitud väärtusteks.

K: Kui suur on salvestusmaht?

Nitrokey Storage saab salvestada ja krüpteerida 8, 32 või 64 GB andmeid (sõltuvalt konkreetsest mudelist).

K: Miks ma ei pääse uue Nitrokey Storage’i krüpteeritud salvestusruumi juurde?

Uue Nitrokey Storage seadme puhul veenduge enne krüpteeritud mahule juurdepääsu võimaldamist, et olete esmalt „Hävitage krüpteeritud andmed“ Nitrokey rakenduses.

K: Milline on PIN-koodi maksimaalne pikkus?

Nitrokey kasutab paroolide asemel PIN-koode. Peamine erinevus seisneb selles, et riistvara piirab katsete arvu kolmele, samas kui paroolide puhul piirangut ei ole. Selle tõttu on lühike PIN-kood endiselt turvaline ning ei ole vaja valida pikka ja keerulist PIN-koodi.

Nitrokey Storage’i PIN-koodid võivad olla kuni 20-kohalised ja koosneda numbritest, tähemärkidest ja erimärkidest. Märkus: GnuPG või OpenSC kasutamisel saab kasutada 32 tähemärgi pikkuseid PIN-koode, kuid Nitrokey App ei toeta neid.

K: Milleks on kasutaja PIN-kood?

Kasutaja PIN-kood on vähemalt 6-kohaline ja seda kasutatakse juurdepääsuks Nitrokey kontaktile. Seda PIN-koodi kasutate igapäevaselt palju, nt sõnumite dekrüpteerimiseks, krüpteeritud salvestusruumi avamiseks (ainult NK Storage) jne.

Kasutaja PIN-kood võib sisaldada kuni 20 numbrit ja muid sümboleid (nt tähestikku ja erimärke). Kuid kuna kasutaja PIN-kood blokeeritakse, kui on tehtud kolm valet PIN-koodi katset, on piisavalt turvaline kasutada ainult 6-kohalist PIN-koodi. Vaikimisi PIN-kood on 123456.

K: Milleks on administraatori PIN-kood?

Administraatori PIN-kood on vähemalt 8-kohaline ja seda kasutatakse Nitrokey sisu/seadete muutmiseks. See tähendab, et pärast Nitrokey initsialiseerimist te tõenäoliselt ei’tse seda PIN-koodi liiga tihti (nt kui soovite lisada Nitrokey Pro või Nitrokey Storage’i paroolitehase paroolitehasesse veel ühe parooli).

Administraatori PIN-kood võib olla kuni 20-kohaline ja muid märke (nt tähestik ja erimärgid). Kuid kuna administraatori PIN-kood blokeeritakse kohe, kui on tehtud kolm valet PIN-koodi katset, on piisavalt turvaline, kui PIN-kood on ainult 8-kohaline. Vaikimisi PIN on 12345678.

K: Miks ripub minu Nitrokey Storage nitrokey-rakenduse ja GnuPG vahel vahetades?

GnuPG ja nitrokey-app kipuvad mõnikord üksteist käsitsema. See on tuntud probleem ja seda saab parandada, kui Nitrokey uuesti USB-pessa sisestada.

K: Milleks on firmavara PIN-kood?

Firmware parool peaks vastama üldistele parooli soovitustele (nt kasutage tähestikku, numbreid ja erimärke või kasutage piisavalt pikka parooli). Firmware parool on vajalik Nitrokey Storage’i püsivara uuendamiseks. Vaata täiendavaid juhiseid uuendamise protsessi kohta siit.

Firmware parool ei ole kunagi blokeeritud. Ründaja võib üritada parooli ära arvata ja tal on piiramatu arv katsete arv. Seetõttu peate valima tugeva parooli. Vaikimisi parool on 12345678.

K: Mitu võtit ma saan salvestada?

Nitrokey Storage saab salvestada kolm RSA võtmepaari. Kõik võtmed kasutavad sama identiteeti, kuid neid kasutatakse erinevatel eesmärkidel: autentimine, krüpteerimine ja allkirjastamine.

K: Kui kiire on krüpteerimine ja allkirjastamine?

50kiB andmete krüpteerimine:

  • 256-bitine AES, 2048 baiti käsu kohta -> 880 baiti sekundis

  • 128-bitine AES, 2048 baiti käsu kohta -> 893 baiti sekundis

  • 256-bitine AES, 240 baiti käsu kohta -> 910 baiti sekundis

  • 128-bitine AES, 240 baiti käsu kohta -> 930 baiti sekundis

K: Milliseid algoritme ja maksimaalset võtmepikkust toetatakse?

Vt järgmist tabelit:

Start

Pro + ladustamine

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

K: Kas Nitrokey Storage sisaldab turvalist kiipi või lihtsalt tavalist mikrokontrollerit?

Nitrokey Storage sisaldab võltsimiskindlat kiipkaarti.

K: Kas Nitrokey Storage on Common Criteria või FIPS sertifitseeritud?

Turvakontroller (NXP Smart Card Controller P5CD081V1A ja selle peamised konfiguratsioonid P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A ja P5CD016V1A, millest igaühel on spetsiaalne IC-tarkvara) on Common Criteria EAL 5+ sertifikaat kuni operatsioonisüsteemi tasemeni (sertifitseerimisaruanne, turbe-eesmärk, hooldusaruanne, hooldus ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Lisaks on Cure53 viinud läbi sõltumatu turvaauditi riistvara, püsivara ja Nitrokey Appi kohta.

K: Kuidas ma saan kasutada Nitrokey Storage’i tõelist juhusliku numbri generaatorit (TRNG) oma rakendustes?

Mõlemad seadmed ühilduvad OpenPGP-kaardiga, nii et scdrand peaks töötama. See skript võib olla kasulik. Kasutaja comio loonud systemd faili, et kasutada scdrand’i ja seega TRNG’d üldisemalt. Ta lõi ka ebuildi Gentoo jaoks.

K: Kui hea on juhusliku numbri generaator?

Nitrokey Pro ja Nitrokey Storage kasutavad seadmes võtmete genereerimiseks tõelist juhusliku numbri generaatorit (TRNG). TRNG poolt genereeritud entroopiat kasutatakse kogu võtmepikkuse jaoks. Seetõttu vastab TRNG standardile BSI TR-03116.

TRNG pakub umbes 40 kbit/s.

K: Kuidas ma saan kasutada krüpteeritud mobiilside salvestusruumi?

Enne krüpteeritud mobiilse salvestusruumi kasutamist peate Nitrokey Storage’i paigaldama ja initsialiseerima ning laadima alla uusima Nitrokey rakenduse.

  • Käivitage Nitrokey rakendus.

  • Vajutage selle salve ikooni ja valige menüüst „unlocked encrypted volume“.

  • Sisestage ilmuvas hüpikaknas oma kasutaja PIN-kood.

  • Kui see on esimene kord, peate võib-olla looma krüpteeritud mahule partitsiooni. Windows avab vastava akna ja palub seda teha. Linuxi ja Maci puhul peate võib-olla avama partitsioonihalduri ja looma partitsiooni käsitsi. Sa võid luua nii palju partitsioone kui soovid. Me soovitame FAT(32), kui soovite partitsiooni kasutada erinevatest operatsioonisüsteemidest.

  • Nüüd saate krüpteeritud andmekandjat kasutada nagu iga teist tavalist USB-kõvaketast. Kuid kõik sellele salvestatud andmed krüpteeritakse Nitrokey riistvaras automaatselt.

  • Krüpteeritud andmekandja eemaldamiseks või lukustamiseks tuleb see kõigepealt lahtiühendada/väljaheitesüsteemist välja lülitada.

  • Pärast seda saate Nitrokey lahti ühendada või valida Nitrokey rakenduse menüüst „lukusta krüpteeritud maht“.

Nitrokey Storage suudab luua ka varjatud mahtusid. Palun vaadake vastavaid juhiseid peidetud mahtude kohta.

K: Kuidas ma saan kasutada varjatud helitugevust?

Varjatud mahud võimaldavad andmeid krüpteeritud mahtu peita. Andmed on kaitstud täiendava parooliga. Ilma salasõnata ei saa andmete olemasolu’s tõestada. Varjatud köited ei ole vaikimisi seadistatud nii, et nende olemasolu saaks usutavalt eitada. Kontseptsioon on sarnane VeraCrypt’s/TrueCrypt’s peidetud mahtudega, kuid Nitrokey Storage’i puhul on kogu peidetud mahtude funktsionaalsus rakendatud riistvaras.

Saate konfigureerida kuni neli varjatud köidet. Pärast avamist käituvad peidetud mahud nagu tavalised mälupinnad, kus saate luua erinevaid partitsioone, failisüsteeme ja salvestada faile nii, nagu soovite.

Kui otsustate konfigureerida Hidden Volumes, ei saa te enam krüpteeritud salvestusruumi kasutada. Kuna peidetud köide asub krüpteeritud salvestusruumi vabal alal, on võimalik, et andmed peidetud köites võidakse üle kirjutada. Võite öelda, et isegi krüpteeritud mälu „ei tea“, et on olemas varjatud mahud. Üldine struktuur on näidatud alljärgneval joonisel. Seetõttu ärge kirjutage midagi krüpteeritud salvestusruumi pärast varjatud mahu loomist (peate selle siiski esmalt lahti lukustama).

Varjatud mahud on nagu konteinerid konteineri sees, krüpteeritud mahu sees.