Kiintolevyn salaus

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

active

active

inactive

active

active

inactive

VeraCrypt (entinen TrueCrypt)

VeraCrypt on ilmainen ja avoimen lähdekoodin levynsalausohjelma Windowsille, macOS:lle ja GNU+Linuxille. Se on TrueCryptin seuraaja ja siten suositeltava, vaikka seuraavien ohjeiden pitäisi päteä myös TrueCryptiin.

Noudata seuraavia ohjeita, jos haluat käyttää ohjelmaa Nitrokey Storage 2 tai Nitrokey Pro 2 kanssa:

  1. Asenna OpenSC uusin versio tai lataa PKCS#11-kirjasto.

  2. Valitse kirjasto VeraCryptissä kohdassa Settings>Preferences>Security Token (sijainti riippuu järjestelmästä, esim. /usr/lib/opensc).

  3. Luo 64 tavun avaintiedosto Tools>Keyfile Generator -ohjelmalla.

  4. Nyt sinun pitäisi pystyä tuomaan luotu avaintiedosto Työkalut>Hallinnoi Security Token -avaintiedostoja -ohjelman kautta. Sinun tulisi valita ensimmäinen Slot ([0] User PIN). Avaintiedosto tallennetaan tämän jälkeen Nitrokey-avaimeen nimellä ’Private Data Object 1’ (PrivDO1).

  5. Tämän jälkeen sinun pitäisi pyyhkiä alkuperäinen avaintiedosto tietokoneeltasi turvallisesti!

  6. Nyt voit käyttää VeraCryptiä Nitrokey-avaimen kanssa: Luo säiliö, valitse laitteessa oleva avaintiedosto vaihtoehtona salasanalle.

Varoitus

Turvallisuusnäkökohdat

Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.

Huomautus: Aloaha Crypt perustuu TrueCrypt/VeraCryptiin, mutta ilman kuvattuja turvallisuusrajoituksia.

Kiintolevyn salaus GNU+Linuxissa LUKS/dm-cryptillä

LUKS-levysalauksen määrittämistä varten seuraa opastustamme:

Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).

Tämän projektin tarkoituksena on helpottaa LUKS:n käyttöä Nitrokey Pro:n tai Password Safeen perustuvan Storage:n kanssa (Nitrokey ei ole vielä testannut). Kuvaus sen käytöstä Gentoossa löytyy täältä.

Arch Linuxissa katso initramfs-scencrypt.

Säilytystietojen salaus GNU+Linuxissa EncFS:llä

Vihje

Edellytykset

Varmista, että olet asentanut laiteajurin, muuttanut oletus-PINit ja luonut tai tuonut avaimet GnuPG.

EncFS on helppokäyttöinen salattuihin tiedostojärjestelmiin ja se perustuu FUSE. Voit käyttää sitä hyvin pitkien salasanojen ja Nitrokey Pro 2:n kanssa noudattamalla seuraavia ohjeita:

Alustaminen

  1. Luo avaintiedosto, jossa on satunnaisia tietoja:

    $ dd bs=64 count=1 if=/dev/urandom of=keyfile

  2. Salaa avaintiedosto ja käytä Nitrokey-avaimesi käyttäjätunnusta.

    $ gpg --encrypt keyfile

  3. Poista avaintiedosto selväkielisenä:

    $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile

  4. Luo kiinnityspiste:

    $ mkdir ~/.cryptdir ~/cryptdir

  5. Luo varsinainen salauskansio

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
# There may appears an error message about missing permission of fusermount
# This message can be ignored

  6. Poista uuden tiedostojärjestelmän asennus:

    $ fusermount -u ~/cryptdir

Käyttö

  1. Asenna salattu tiedostojärjestelmä ja syötä Nitrokeyn PIN-koodi:

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir

  2. Poista tiedostojärjestelmän asennus käytön jälkeen:

    $ fusermount -u ~/cryptdir

Tallennuksen salaus GNU+Linuxissa ECryptFS:llä

eCryptfs on tiedostopohjainen läpinäkyvä salaustiedostojärjestelmä GNU+Linuxille, jota voidaan käyttää Nitrokeyn kanssa PKCS#11-ajurin kautta.

Katso tämän ohjeet:

  1. Tuo varmenne ja avain Nitrokey-ohjelmaan.

    # Warning: This will delete existing keys on your Nitrokey!
$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin

  2. Luo tiedosto ~/.ecryptfsrc.pkcs11:

    $ editor ~/.ecryptfsrc.pkcs11

  3. Kirjoita tämä sisältö:

    $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
$ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
Certificate
    DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
    Serial: 066E04
    Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03

  4. Kopioi sarjallistettu id myöhempää käyttöä varten:

    $ ecryptfs-manager
# This will show list option. Choose option "Add public key to keyring"
# Choose pkcs11-helper
# Enter the serialized ID of step 3 to PKCS#11 ID.

Vaihtoehtoisesti voit kokeilla ESOSI tai noudattaa näitä ohjeita OpenSC:n ja OpenVPN:n avulla.

Oppaan lähde: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption