FAQ sur le stockage à Nitrokey#

Comme la Nitrokey Storage 2 est essentiellement une Nitrokey Pro 2 comprenant un stockage non-volatile (crypté), le Nitrokey Pro 2 FAQ s’applique également en partie.

Q: Quels sont les systèmes d’exploitation pris en charge ?

Windows, Linux et macOS.

Q: A quoi peut me servir la Nitrokey ?

Voir la frontpage pour un aperçu des cas d’utilisation pris en charge.

Q: Quels sont les PIN par défaut ?
  • NIP de l’utilisateur: « 123456 » ;

  • NIP de l’administrateur: « 12345678 » ;

  • Mot de passe du firmware : « 12345678 » ;

Nous vous recommandons vivement de modifier ces codes PIN/mot de passe en valeurs choisies par l’utilisateur avant d’utiliser la Nitrokey.

Q: Quelle est la capacité de stockage ?

Nitrokey Storage peut stocker et crypter 8, 32 ou 64 Go de données (selon le modèle).

Q: Pourquoi ne puis-je pas accéder au stockage crypté sur un nouveau stockage Nitrokey ?

Sur un nouveau dispositif de stockage Nitrokey, avant de pouvoir accéder au volume crypté, assurez-vous d’avoir d’abord « détruit les données cryptées » dans l’application Nitrokey.

Q: Quelle est la longueur maximale du code PIN ?

Nitrokey utilise des codes PIN au lieu de mots de passe. La principale différence est que le matériel limite le nombre d’essais à trois, alors qu’il n’y a pas de limite pour les mots de passe. De ce fait, un code PIN court est toujours sûr et il n’est pas nécessaire de choisir un code PIN long et complexe.

Les codes PIN de Nitrokey Storage peuvent comporter jusqu’à 20 chiffres et peuvent être composés de chiffres, de caractères et de caractères spéciaux. Remarque : lorsque vous utilisez GnuPG ou OpenSC, vous pouvez utiliser des codes PIN de 32 caractères mais ils ne sont pas pris en charge par Nitrokey App.

Q: A quoi sert le code PIN de l’utilisateur ?

Le code PIN de l’utilisateur est composé d’au moins 6 chiffres et est utilisé pour accéder au contenu de la Nitrokey. Il s’agit du code PIN que vous utiliserez souvent dans votre vie quotidienne, par exemple pour décrypter des messages, pour déverrouiller votre stockage crypté (stockage NK uniquement), etc.

Le PIN de l’utilisateur peut comporter jusqu’à 20 chiffres et d’autres caractères (par exemple, des caractères alphabétiques et spéciaux). Mais comme le PIN de l’utilisateur est bloqué dès que trois tentatives de PIN erroné ont été effectuées, il est suffisamment sûr de n’avoir qu’un PIN à 6 chiffres. Le PIN par défaut est 123456.

Q: A quoi sert le PIN admin ?

Le code PIN admin est composé d’au moins 8 chiffres et est utilisé pour modifier le contenu/les réglages de la Nitrokey. C’est-à-dire qu’après avoir initialisé la Nitrokey, vous n’aurez probablement pas besoin de ce code PIN très souvent (par exemple, si vous voulez ajouter un autre mot de passe dans le coffre à mot de la Nitrokey Pro ou de la Nitrokey Storage).

Le PIN administrateur peut comporter jusqu’à 20 chiffres et d’autres caractères (par exemple, des caractères alphabétiques et spéciaux). Mais comme le PIN administrateur est bloqué dès que trois tentatives de PIN erroné ont été effectuées, il est suffisamment sûr de n’avoir qu’un PIN à 8 chiffres. Le PIN par défaut est 12345678.

Q: Pourquoi mon stockage Nitrokey se bloque-t-il lorsque je passe de nitrokey-app à GnuPG ?

GnuPG et Nitrokey-app ont parfois tendance à se passer la main. C’est un problème connu qui peut être corrigé en réinsérant la Nitrokey dans la fente USB.

Q: A quoi sert le PIN du firmware ?

Le mot de passe du microprogramme doit répondre aux recommandations générales en matière de mot de passe (par exemple, utiliser des caractères alphabétiques, des chiffres et des caractères spéciaux ou utiliser un mot de passe suffisamment long). Le mot de passe du microprogramme est nécessaire pour mettre à jour le microprogramme de la Nitrokey Storage. Voir les instructions supplémentaires pour le processus de mise à jour ici.

Le mot de passe du microprogramme n’est jamais bloqué. Un attaquant pourrait essayer de deviner le mot de passe et aurait un nombre illimité de tentatives. Vous devez donc choisir un mot de passe fort. Le mot de passe par défaut est 12345678.

Q: Combien de clés puis-je stocker ?

Le stockage Nitrokey peut stocker trois paires de clés RSA. Toutes les clés utilisent la même identité mais sont utilisées à des fins différentes : authentification, cryptage et signature.

Q: Quelle est la rapidité du cryptage et de la signature ?

Cryptage de 50kiB de données :

  • AES 256 bits, 2048 octets par commande -> ; 880 octets par seconde

  • AES 128 bits, 2048 octets par commande -> ; 893 octets par seconde

  • AES 256 bits, 240 octets par commande -> ; 910 octets par seconde

  • AES 128 bits, 240 octets par commande -> ; 930 octets par seconde

Q: Quels algorithmes et quelle longueur maximale de clé sont pris en charge ?

Voir le tableau suivant :

Début

Pro + Stockage

Pro 2 + Stockage 2

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

courbe25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Cerveau 384-521

secp192

secp256

secp521

Q: La Nitrokey Storage contient-elle une puce sécurisée ou juste un microcontrôleur normal ?

Nitrokey Storage contient une carte à puce inviolable.

Q: Le stockage Nitrokey est-il certifié Critères communs ou FIPS ?

Cure53 a effectué un audit de sécurité indépendant du matériel, du micrologiciel et de l’application Nitrokey. Le matériel du contrôleur de sécurité’est certifié Critères Communs (Rapport ; Voir ici, cliquez sur « ICs, Smart Cards and Smart Card-Related Devices and Systems » ; et recherchez « NXP Smart Card Controller P5CD081V1A et ses principales configurations P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A et P5CD016V1A chacun avec IC dédié Software » ;).

Q: Comment puis-je utiliser le générateur de nombres aléatoires (TRNG) du stockage Nitrokey pour mes applications ?

Les deux appareils sont compatibles avec la carte OpenPGP, de sorte que scdrand devrait fonctionner. Ce script peut être utile. L’utilisateur comio a créé un fichier systemd pour utiliser scdrand et donc le TRNG de manière plus générale. Il a créé un ebuild pour Gentoo, également.

Q: Quelle est la qualité du générateur de nombres aléatoires ?

Nitrokey Pro et Nitrokey Storage utilisent un générateur de nombres aléatoires (TRNG) pour générer les clés sur le dispositif. L’entropie générée par le TRNG est utilisée pour toute la longueur de la clé. Le TRNG est donc conforme à la norme BSI TR-03116.

Le TRNG fournit environ 40 kbit/s.

Q: Comment puis-je utiliser le stockage mobile crypté ?

Avant d’utiliser le stockage mobile crypté, vous devez installer et initialiser le stockage Nitrokey et télécharger la dernière application Nitrokey.

  • Lancez l’application Nitrokey.

  • Appuyez sur son icône dans la barre d’état système et sélectionnez « déverrouiller le volume crypté » dans le menu.

  • Saisissez votre code PIN d’utilisateur dans la fenêtre contextuelle qui apparaît.

  • Si c’est la première fois, vous devrez peut-être créer une partition sur le volume crypté. Windows ouvrira une fenêtre appropriée et vous demandera de le faire. Sous Linux et Mac, vous devrez peut-être ouvrir un gestionnaire de partition et créer une partition manuellement. Vous pouvez créer autant de partitions que vous le souhaitez. Nous recommandons FAT(32) si vous souhaitez accéder à la partition à partir de différents systèmes d’exploitation.

  • Vous pouvez maintenant utiliser le volume crypté comme vous le feriez avec n’importe quelle autre clé USB ordinaire. Mais toutes les données qui y sont stockées seront automatiquement cryptées par le matériel Nitrokey.

  • Pour supprimer ou verrouiller le volume crypté, vous devez d’abord le démonter/éjecter.

  • Ensuite, vous pouvez déconnecter la Nitrokey ou sélectionner « verrouiller le volume crypté » dans le menu de l’application Nitrokey.

Nitrokey Storage est également capable de créer des volumes cachés. Veuillez consulter les instructions correspondantes pour les volumes cachés.

Q: Comment puis-je utiliser le volume caché ?

Les volumes cachés permettent de cacher des données dans le volume crypté. Les données sont protégées par un mot de passe supplémentaire. Sans ce mot de passe, l’existence des données ne peut être prouvée. Les volumes cachés ne sont pas configurés par défaut de sorte que leur existence puisse être niée de manière plausible. Le concept est similaire à celui du volume caché de VeraCrypt’s/TrueCrypt’s, mais avec Nitrokey Storage, l’intégralité de la fonctionnalité des volumes cachés est implémentée dans le matériel.

Vous pouvez configurer jusqu’à quatre volumes cachés. Une fois déverrouillés, les volumes cachés se comportent comme des espaces de stockage ordinaires où vous pouvez créer diverses partitions, des systèmes de fichiers et stocker des fichiers comme vous le souhaitez.

Si vous décidez de configurer les volumes cachés, vous ne pouvez plus utiliser le stockage crypté. Comme le volume caché est situé sur l’espace libre du stockage crypté, il existe un risque d’écrasement des données dans le volume caché. On peut dire que même le stockage crypté « ne sait pas » qu’il existe un volume caché. La structure générale est présentée dans le schéma ci-dessous. Par conséquent, n’écrivez rien dans le stockage crypté après avoir créé un volume caché (vous devez d’abord le déverrouiller).

Les volumes cachés sont comme des conteneurs à l’intérieur d’un conteneur, le volume crypté.