Merevlemez titkosítás

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

active

active

inactive

active

active

inactive

VeraCrypt (korábban TrueCrypt)

VeraCrypt egy ingyenes és nyílt forráskódú lemez titkosító szoftver Windows, macOS és GNU+Linux rendszerekre. Ez a TrueCrypt utódja, ezért ajánlott, bár a következő utasítások a TrueCryptre is vonatkoznak.

Follow these steps to use the program with Nitrokey Storage 2 or Nitrokey Pro 2:

  1. Telepítse az `OpenSC <https://github.com/OpenSC/OpenSC/wiki><x>`__ legújabb kiadását, vagy töltse le a PKCS#11 könyvtárat.

  2. Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g. /usr/lib/opensc).

  3. 64 bájtos kulcsfájl generálása a Tools>Keyfile Generator segítségével.

  4. Now you should be able to import the generated key file via Tools>Manage Security Token Keyfiles. You should choose the first Slot ([0] User PIN). The keyfile is then stored on the Nitrokey as Private Data Object 1 (PrivDO1).

  5. Ezt követően törölje biztonságosan az eredeti kulcsfájlt a számítógépén!

  6. Most már használhatja a VeraCrypt-et a Nitrokey-vel: Hozzon létre egy tárolót, válassza ki a kulcsfájlt az eszközön a jelszó alternatívájaként.

Figyelem

Biztonsági megfontolások

Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.

Merevlemez-titkosítás GNU+Linuxon LUKS/dm-crypt segítségével

A LUKS Lemeztitkosítás beállításához kövesse útmutatónkat:

Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).

Ez a projekt célja, hogy megkönnyítse a LUKS használatát a Nitrokey Pro-val vagy a Password Safe-on alapuló tárolóval (a Nitrokey még nem tesztelte). A Gentoo-n való használatról szóló leírás itt található.

Arch Linux esetén lásd initramfs-scencrypt.

Tárolási titkosítás GNU+Linuxon az EncFS-szel

Javaslat

Előfeltétel

Kérjük, győződjön meg róla, hogy telepítette az eszközillesztőt, megváltoztatta az alapértelmezett PIN-kódokat, és a GnuPG segítségével generált vagy importált kulcsokat.

EncFS is an easy to utlity for encrypted file systems and it is based on FUSE. You may follow these steps to use it with very long passwords and Nitrokey Pro 2.

Inicializálás

  1. Hozzon létre egy kulcsfájlt véletlenszerű adatokkal:

    $ dd bs=64 count=1 if=/dev/urandom of=keyfile
    
  2. Titkosítja a kulcsfájlt, és használja a Nitrokey felhasználói azonosítóját.

    $ gpg --encrypt keyfile
    
  3. A kulcsfájl eltávolítása tiszta szövegben:

    $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
    
  4. Csatolási pont létrehozása:

    $ mkdir ~/.cryptdir ~/cryptdir
    
  5. A tényleges titkosítási mappa létrehozása

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    # There may appears an error message about missing permission of fusermount
    # This message can be ignored
    
  6. Távolítsa el az új fájlrendszert:

    $ fusermount -u ~/cryptdir
    

Használat

  1. Csatlakoztassa a titkosított fájlrendszert, és adja meg a Nitrokey PIN-kódját:

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    
  2. Használat után bontsa le a fájlrendszert:

    $ fusermount -u ~/cryptdir
    

Tárolás titkosítása GNU+Linuxon az ECryptFS segítségével

eCryptfs egy fájlalapú, átlátható titkosítású fájlrendszer GNU+Linuxhoz, amely PKCS#11 meghajtón keresztül használható a Nitrokey-vel.

Lásd ezeket a utasításokat:

  1. Importálja a tanúsítványt és a kulcsot a Nitrokey-be

    # Warning: This will delete existing keys on your Nitrokey!
    $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
    
  2. Hozzuk létre a ~/.ecryptfsrc.pkcs11 fájlt:

    $ editor ~/.ecryptfsrc.pkcs11
    
  3. Adja meg ezt a tartalmat:

    $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
    $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
    Certificate
        DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
        Serial: 066E04
        Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
    
  4. Másolja a serializált azonosítót későbbi használatra:

    $ ecryptfs-manager
    # This will show list option. Choose option "Add public key to keyring"
    # Choose pkcs11-helper
    # Enter the serialized ID of step 3 to PKCS#11 ID.
    

Alternatívaként próbálja ki a ESOSI vagy kövesse az alábbi lépéseket az OpenSC és az OpenVPN használatával.

Az útmutató forrása: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption