Merevlemez titkosítás#

(Nitrokey Pro 2 - Linux)

VeraCrypt (korábban TrueCrypt)#

A VeraCrypt egy ingyenes és nyílt forráskódú lemez titkosító szoftver Windows, macOS és GNU+Linux operációs rendszerekhez. Ez a TrueCrypt utódja, ezért ajánlott, bár a következő utasítások a TrueCryptre is vonatkoznak.

Kövesse az alábbi lépéseket a program Nitrokey Storage 2 vagy Nitrokey Pro 2 használatával:

  1. Telepítse az OpenSC legújabb kiadását, vagy töltse le a PKCS#11 könyvtárat.

  2. Válassza ki a könyvtárat a VeraCryptben a Beállítások>Beállítások>Biztonsági token alatt (a hely a rendszertől függ, pl. /usr/lib/opensc).

  3. 64 bájtos kulcsfájl generálása a Tools>Keyfile Generator segítségével.

  4. Most már képesnek kell lennie a generált kulcsfájl importálására az Eszközök>Biztonsági token kulcsfájlok kezelése menüponton keresztül. Az első Slotot kell kiválasztania ([0] User PIN). A kulcsfájl ezután a Nitrokey-n „Private Data Object 1” (PrivDO1) néven kerül tárolásra.

  5. Ezt követően törölje biztonságosan az eredeti kulcsfájlt a számítógépén!

  6. Most már használhatja a VeraCrypt-et a Nitrokey-vel: Hozzon létre egy tárolót, válassza ki a kulcsfájlt az eszközön a jelszó alternatívájaként.

Figyelem

Biztonsági megfontolások

Kérjük, vegye figyelembe, hogy a VeraCrypt nem használja ki a Nitrokey (és általában az intelligens kártyák) által nyújtott teljes biztonságot. Ehelyett egy kulcsfájlt tárol a Nitrokey-n, amelyet elméletileg ellophat egy számítógépes vírus, miután a felhasználó beírta a PIN-kódot.

Megjegyzés: Aloaha Crypt a TrueCrypt/VeraCrypt-en alapul, de a leírt biztonsági korlátozás nélkül.

Merevlemez-titkosítás GNU+Linuxon LUKS/dm-crypt segítségével#

Íme kiváló útmutatás arról, hogyan használd a Nitrokey-t a merevlemez titkosítására GNU+Linux alatt a LUKS/dm-crypt segítségével. Más útmutatások.

Purism létrehozott egy egyszerű szkriptet a Nitrokey/LibremKey hozzáadásához, mint a LUKS partíciók feloldásának módja (a Nitrokey még nem tesztelte).

Ez a projekt célja, hogy megkönnyítse a LUKS használatát a Nitrokey Pro-val vagy a Password Safe-on alapuló tárolóval (a Nitrokey még nem tesztelte). A Gentoo-n való használatról szóló leírás itt található.

Arch Linux esetén lásd initramfs-scencrypt.

Tárolási titkosítás GNU+Linuxon az EncFS-szel#

Javaslat

Előfeltétel

Kérjük, győződjön meg róla, hogy telepítette az eszközillesztőt, megváltoztatta az alapértelmezett PIN-kódokat, és a GnuPG segítségével kulcsokat generált vagy importált.

Az EncFS egy könnyen használható, titkosított fájlrendszerek számára készült eszköz, amely a FUSE alapját képezi. A következő lépéseket követve használhatja nagyon hosszú jelszavakkal és a Nitrokey Pro 2-vel:

Inicializálás#

  1. Hozzon létre egy kulcsfájlt véletlenszerű adatokkal:

$ dd bs=64 count=1 if=/dev/urandom of=keyfile
  1. Titkosítja a kulcsfájlt, és használja a Nitrokey felhasználói azonosítóját.

$ gpg --encrypt keyfile
  1. A kulcsfájl eltávolítása tiszta szövegben:

$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
  1. Csatolási pont létrehozása:

$ mkdir ~/.cryptdir ~/cryptdir
  1. A tényleges titkosítási mappa létrehozása

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
# There may appears an error message about missing permission of fusermount
# This message can be ignored
  1. Távolítsa el az új fájlrendszert:

$ fusermount -u ~/cryptdir

Használat#

  1. Csatlakoztassa a titkosított fájlrendszert, és adja meg a Nitrokey PIN-kódját:

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
  1. Használat után bontsa le a fájlrendszert:

$ fusermount -u ~/cryptdir

Tárolás titkosítása GNU+Linuxon az ECryptFS segítségével#

eCryptfs egy fájlalapú, átlátható titkosítású fájlrendszer GNU+Linuxhoz, amely PKCS#11 meghajtón keresztül használható a Nitrokey-vel.

Lásd ezeket a utasításokat:

  1. Importálja a tanúsítványt és a kulcsot a Nitrokey-be

# Warning: This will delete existing keys on your Nitrokey!
$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
  1. Hozzuk létre a ~/.ecryptfsrc.pkcs11 fájlt:

$ editor ~/.ecryptfsrc.pkcs11
  1. Adja meg ezt a tartalmat:

$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
$ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
Certificate
    DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
    Serial: 066E04
    Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
  1. Másolja a serializált azonosítót későbbi használatra:

$ ecryptfs-manager
# This will show list option. Choose option "Add public key to keyring"
# Choose pkcs11-helper
# Enter the serialized ID of step 3 to PKCS#11 ID.

Alternatívaként próbálja ki a ESOSI vagy kövesse az alábbi lépéseket az OpenSC és az OpenVPN használatával.

Az útmutató forrása: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption