Kõvaketta krüpteerimine#

(Nitrokey Storage 2 - Linux)

VeraCrypt (endine TrueCrypt)#

VeraCrypt on tasuta ja avatud lähtekoodiga kettakrüpteerimistarkvara Windowsile, macOSile ja GNU+Linuxile. See on TrueCrypti järeltulija ja seega soovitatav, kuigi järgmised juhised peaksid kehtima ka TrueCrypti kohta.

Järgige järgmisi samme, et kasutada programmi koos Nitrokey Storage 2 või Nitrokey Pro 2:

  1. Installige OpenSC uusim versioon või laadige alla PKCS#11 raamatukogu.

  2. Valige raamatukogu VeraCryptis jaotises Settings>Preferences>Security Token (asukoht sõltub süsteemist, nt /usr/lib/opensc).

  3. Loo 64 baidi suurune võtmefail tööriistade abil >Keyfile Generator.

  4. Nüüd peaks teil olema võimalik loodud võtmefaili importida tööriistade ja turvamärkide võtmefailide haldamise kaudu. Te peaksite valima esimese Slot’i ([0] User PIN). Seejärel salvestatakse võtmefail Nitrokey’s kui „Private Data Object 1“ (PrivDO1).

  5. Pärast seda peaksite oma arvutis oleva algse võtmefaili turvaliselt kustutama!

  6. Nüüd saate kasutada VeraCrypti koos Nitrokeyga: Looge konteiner, valige seadmes olev võtmefail alternatiivina paroolile.

Hoiatus

Turvalisuse kaalutlused

Pange tähele, et VeraCrypt ei kasuta täielikku turvalisust, mida Nitrokey (ja kiipkaardid üldiselt) pakuvad. Selle asemel salvestab see Nitrokey’sse võtmefaili, mille teoreetiliselt võib arvutiviirus varastada pärast seda, kui kasutaja on sisestanud PIN-koodi.

Märkus: Aloaha Crypt põhineb TrueCrypt/VeraCryptil, kuid ilma kirjeldatud turvapiiranguta.

Kõvaketta krüpteerimine GNU+Linuxis koos LUKS/dm-cryptiga#

Siin on täiuslikud juhised, kuidas kasutada Nitrokey’t oma kõvaketta krüpteerimiseks GNU+Linuxi all koos LUKS/dm-cryptiga. Muud juhised.

Purism on loonud ` lihtsa skripti <https://docs.puri.sm/PureBoot/LibremKeyLUKS.html>`_, et lisada Nitrokey/LibremKey kui võimalus LUKS partitsioonide avamiseks (Nitrokey ei ole veel testitud).

Selle projekti eesmärk on lihtsustada LUKS-i kasutamist koos Nitrokey Pro või Password Safe’il põhineva Storage’iga (Nitrokey ei ole veel testinud). Kirjeldus selle kasutamise kohta Gentoo’s on leitav kuskil.

Arch Linuxi puhul vt initramfs-scencrypt.

Salvestussalvestus GNU+Linuxis koos EncFS-iga#

EncFS on lihtsasti kasutatav krüpteeritud failisüsteemide jaoks ja see põhineb FUSE. Võite järgida neid samme, et kasutada seda väga pikkade paroolide ja Nitrokey Pro 2 puhul:

Initsialiseerimine#

  1. Luua juhuslike andmetega võtmefail:

$ dd bs=64 count=1 if=/dev/urandom of=keyfile
  1. Krüptige võtmefail ja kasutage oma Nitrokey kasutaja-ID-d.

$ gpg --encrypt keyfile
  1. Võtmefaili eemaldamine selge tekstina:

$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
  1. Loo mount-punkt:

$ mkdir ~/.cryptdir ~/cryptdir
  1. Tegeliku krüpteerimiskausta loomine

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
# There may appears an error message about missing permission of fusermount
# This message can be ignored
  1. Lülitage uus failisüsteem lahti:

$ fusermount -u ~/cryptdir

Kasutamine#

  1. Kinnitage krüpteeritud failisüsteem ja sisestage Nitrokey PIN-kood:

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
  1. Pärast kasutamist eemaldage failisüsteem:

$ fusermount -u ~/cryptdir

Salvestussalvestus GNU+Linuxis koos ECryptFSiga#

eCryptfs on failipõhine läbipaistev krüpteerimisfailisüsteem GNU+Linuxi jaoks, mida saab kasutada koos Nitrokey’ga PKCS#11 draiveri kaudu.

Vt `toodud <http://tkxuyen.com/blog/?p=293><x>`_ juhiseid:

  1. Impordi sertifikaat ja võti Nitrokey’sse

# Warning: This will delete existing keys on your Nitrokey!
$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
  1. Looge fail ~/.ecryptfsrc.pkcs11:

$ editor ~/.ecryptfsrc.pkcs11
  1. Sisestage see sisu:

$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
$ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
Certificate
    DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
    Serial: 066E04
    Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
  1. Kopeeri seerialiseeritud id hilisemaks kasutamiseks:

$ ecryptfs-manager
# This will show list option. Choose option "Add public key to keyring"
# Choose pkcs11-helper
# Enter the serialized ID of step 3 to PKCS#11 ID.

Alternatiivina proovige ESOSI või järgige neid samme, kasutades OpenSC ja OpenVPN.

Juhendi allikas: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption