Kiintolevyn salaus

Compatible Nitrokeys
3A/C/Mini	Passkey	HSM 2	Pro 2	FIDO2	Storage 2	Start	U2F
✓ active	⨯ inactive	✓ active	✓ active	⨯ inactive	✓ active	✓ active	⨯ inactive

VeraCrypt (entinen TrueCrypt)

VeraCrypt on ilmainen ja avoimen lähdekoodin levynsalausohjelma Windowsille, macOS:lle ja GNU+Linuxille. Se on TrueCryptin seuraaja ja siten suositeltava, vaikka seuraavien ohjeiden pitäisi päteä myös TrueCryptiin.

Noudata seuraavia ohjeita, jos haluat käyttää ohjelmaa Nitrokey Storage 2 tai Nitrokey Pro 2 kanssa:

1. Asenna OpenSC uusin versio tai lataa PKCS#11-kirjasto.

2. Valitse kirjasto VeraCryptissä kohdassa Settings>Preferences>Security Token (sijainti riippuu järjestelmästä, esim. /usr/lib/opensc).

3. Luo 64 tavun avaintiedosto Tools>Keyfile Generator -ohjelmalla.

4. Nyt sinun pitäisi pystyä tuomaan luotu avaintiedosto Työkalut>Hallinnoi Security Token -avaintiedostoja -ohjelman kautta. Sinun tulisi valita ensimmäinen Slot ([0] User PIN). Avaintiedosto tallennetaan tämän jälkeen Nitrokey-avaimeen nimellä ’Private Data Object 1’ (PrivDO1).

5. Tämän jälkeen sinun pitäisi pyyhkiä alkuperäinen avaintiedosto tietokoneeltasi turvallisesti!

6. Nyt voit käyttää VeraCryptiä Nitrokey-avaimen kanssa: Luo säiliö, valitse laitteessa oleva avaintiedosto vaihtoehtona salasanalle.

Varoitus

Turvallisuusnäkökohdat

Huomaa, että VeraCrypt ei hyödynnä Nitrokeyn (ja yleensä älykorttien) tarjoamaa täyttä tietoturvaa. Sen sijaan se tallentaa Nitrokey-korttiin avaintiedoston, jonka tietokonevirus voisi teoriassa varastaa sen jälkeen, kun käyttäjä on syöttänyt PIN-koodin.

Huomautus: Aloaha Crypt perustuu TrueCrypt/VeraCryptiin, mutta ilman kuvattuja turvallisuusrajoituksia.

Kiintolevyn salaus GNU+Linuxissa LUKS/dm-cryptillä

LUKS-levysalauksen määrittämistä varten seuraa opastustamme:

• Koko levyn salaus cryptsetup/LUKS:llä

Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).

Tämän projektin tarkoituksena on helpottaa LUKS:n käyttöä Nitrokey Pro:n tai Password Safeen perustuvan Storage:n kanssa (Nitrokey ei ole vielä testannut). Kuvaus sen käytöstä Gentoossa löytyy täältä.

Arch Linuxissa katso initramfs-scencrypt.

Säilytystietojen salaus GNU+Linuxissa EncFS:llä

Vihje

Edellytykset

Varmista, että olet asentanut laiteajurin, muuttanut oletus-PINit ja luonut tai tuonut avaimet GnuPG.

EncFS on helppokäyttöinen salattuihin tiedostojärjestelmiin ja se perustuu FUSE. Voit käyttää sitä hyvin pitkien salasanojen ja Nitrokey Pro 2:n kanssa noudattamalla seuraavia ohjeita:

Alustaminen

1. Luo avaintiedosto, jossa on satunnaisia tietoja:

   $ dd bs=64 count=1 if=/dev/urandom of=keyfile
   

2. Salaa avaintiedosto ja käytä Nitrokey-avaimesi käyttäjätunnusta.

   $ gpg --encrypt keyfile
   

3. Poista avaintiedosto selväkielisenä:

   $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
   

4. Luo kiinnityspiste:

   $ mkdir ~/.cryptdir ~/cryptdir
   

5. Luo varsinainen salauskansio

   $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
   # There may appears an error message about missing permission of fusermount
   # This message can be ignored
   

6. Poista uuden tiedostojärjestelmän asennus:

   $ fusermount -u ~/cryptdir
   

Käyttö

1. Asenna salattu tiedostojärjestelmä ja syötä Nitrokeyn PIN-koodi:

   $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
   

2. Poista tiedostojärjestelmän asennus käytön jälkeen:

   $ fusermount -u ~/cryptdir
   

Tallennuksen salaus GNU+Linuxissa ECryptFS:llä

eCryptfs on tiedostopohjainen läpinäkyvä salaustiedostojärjestelmä GNU+Linuxille, jota voidaan käyttää Nitrokeyn kanssa PKCS#11-ajurin kautta.

Katso tämän ohjeet:

1. Tuo varmenne ja avain Nitrokey-ohjelmaan.

   # Warning: This will delete existing keys on your Nitrokey!
   $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
   

2. Luo tiedosto ~/.ecryptfsrc.pkcs11:

   $ editor ~/.ecryptfsrc.pkcs11
   

3. Kirjoita tämä sisältö:

   $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
   $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
   Certificate
       DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
       Serial: 066E04
       Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
   

4. Kopioi sarjallistettu id myöhempää käyttöä varten:

   $ ecryptfs-manager
   # This will show list option. Choose option "Add public key to keyring"
   # Choose pkcs11-helper
   # Enter the serialized ID of step 3 to PKCS#11 ID.
   

Vaihtoehtoisesti voit kokeilla ESOSI tai noudattaa näitä ohjeita OpenSC:n ja OpenVPN:n avulla.

Oppaan lähde: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption