Merevlemez titkosítás

Compatible Nitrokeys
3A/C/Mini	Passkey	HSM 2	Pro 2	FIDO2	Storage 2	Start	U2F
✓ active	⨯ inactive	✓ active	✓ active	⨯ inactive	✓ active	✓ active	⨯ inactive

VeraCrypt (korábban TrueCrypt)

VeraCrypt egy ingyenes és nyílt forráskódú lemez titkosító szoftver Windows, macOS és GNU+Linux rendszerekre. Ez a TrueCrypt utódja, ezért ajánlott, bár a következő utasítások a TrueCryptre is vonatkoznak.

Kövesse az alábbi lépéseket a program Nitrokey Storage 2 vagy Nitrokey Pro 2 használatával:

1. Telepítse az `OpenSC <https://github.com/OpenSC/OpenSC/wiki><x>`__ legújabb kiadását, vagy töltse le a PKCS#11 könyvtárat.

2. Válassza ki a könyvtárat a VeraCrypt-ben a Beállítások>Beállítások>Biztonsági token alatt (a hely a rendszertől függ, pl. /usr/lib/opensc).

3. 64 bájtos kulcsfájl generálása a Tools>Keyfile Generator segítségével.

4. Most már képesnek kell lennie a generált kulcsfájl importálására az Eszközök>Biztonsági token kulcsfájlok kezelése menüponton keresztül. Az első Slotot kell kiválasztania ([0] User PIN). A kulcsfájl ezután a Nitrokey-n „Private Data Object 1” (PrivDO1) néven kerül tárolásra.

5. Ezt követően törölje biztonságosan az eredeti kulcsfájlt a számítógépén!

6. Most már használhatja a VeraCrypt-et a Nitrokey-vel: Hozzon létre egy tárolót, válassza ki a kulcsfájlt az eszközön a jelszó alternatívájaként.

Figyelem

Biztonsági megfontolások

Kérjük, vegye figyelembe, hogy a VeraCrypt nem használja ki a Nitrokey (és általában az intelligens kártyák) által nyújtott teljes biztonságot. Ehelyett egy kulcsfájlt tárol a Nitrokey-n, amelyet elméletileg ellophat egy számítógépes vírus, miután a felhasználó beírta a PIN-kódot.

Megjegyzés: Aloaha Crypt a TrueCrypt/VeraCrypt-en alapul, de a leírt biztonsági korlátozás nélkül.

Merevlemez-titkosítás GNU+Linuxon LUKS/dm-crypt segítségével

A LUKS Lemeztitkosítás beállításához kövesse útmutatónkat:

• Teljes lemezes titkosítás cryptsetup/LUKS segítségével

Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).

Ez a projekt célja, hogy megkönnyítse a LUKS használatát a Nitrokey Pro-val vagy a Password Safe-on alapuló tárolóval (a Nitrokey még nem tesztelte). A Gentoo-n való használatról szóló leírás itt található.

Arch Linux esetén lásd initramfs-scencrypt.

Tárolási titkosítás GNU+Linuxon az EncFS-szel

Javaslat

Előfeltétel

Kérjük, győződjön meg róla, hogy telepítette az eszközillesztőt, megváltoztatta az alapértelmezett PIN-kódokat, és a GnuPG segítségével generált vagy importált kulcsokat.

EncFS egy könnyen használható titkosított fájlrendszer, amely a FUSE rendszeren alapul. A következő lépéseket követve használhatja nagyon hosszú jelszavakkal és a Nitrokey Pro 2-vel:

Inicializálás

1. Hozzon létre egy kulcsfájlt véletlenszerű adatokkal:

   $ dd bs=64 count=1 if=/dev/urandom of=keyfile
   

2. Titkosítja a kulcsfájlt, és használja a Nitrokey felhasználói azonosítóját.

   $ gpg --encrypt keyfile
   

3. A kulcsfájl eltávolítása tiszta szövegben:

   $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
   

4. Csatolási pont létrehozása:

   $ mkdir ~/.cryptdir ~/cryptdir
   

5. A tényleges titkosítási mappa létrehozása

   $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
   # There may appears an error message about missing permission of fusermount
   # This message can be ignored
   

6. Távolítsa el az új fájlrendszert:

   $ fusermount -u ~/cryptdir
   

Használat

1. Csatlakoztassa a titkosított fájlrendszert, és adja meg a Nitrokey PIN-kódját:

   $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
   

2. Használat után bontsa le a fájlrendszert:

   $ fusermount -u ~/cryptdir
   

Tárolás titkosítása GNU+Linuxon az ECryptFS segítségével

eCryptfs egy fájlalapú, átlátható titkosítású fájlrendszer GNU+Linuxhoz, amely PKCS#11 meghajtón keresztül használható a Nitrokey-vel.

Lásd ezeket a utasításokat:

1. Importálja a tanúsítványt és a kulcsot a Nitrokey-be

   # Warning: This will delete existing keys on your Nitrokey!
   $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
   

2. Hozzuk létre a ~/.ecryptfsrc.pkcs11 fájlt:

   $ editor ~/.ecryptfsrc.pkcs11
   

3. Adja meg ezt a tartalmat:

   $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
   $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
   Certificate
       DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
       Serial: 066E04
       Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
   

4. Másolja a serializált azonosítót későbbi használatra:

   $ ecryptfs-manager
   # This will show list option. Choose option "Add public key to keyring"
   # Choose pkcs11-helper
   # Enter the serialized ID of step 3 to PKCS#11 ID.
   

Alternatívaként próbálja ki a ESOSI vagy kövesse az alábbi lépéseket az OpenSC és az OpenVPN használatával.

Az útmutató forrása: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption