Merevlemez titkosítás¶
✓ |
⨯ |
⨯ |
⨯ |
✓ |
✓ |
✓ |
✓ |
VeraCrypt (korábban TrueCrypt)¶
VeraCrypt egy ingyenes és nyílt forráskódú lemez titkosító szoftver Windows, macOS és GNU+Linux rendszerekre. Ez a TrueCrypt utódja, ezért ajánlott, bár a következő utasítások a TrueCryptre is vonatkoznak.
Kövesse az alábbi lépéseket a program Nitrokey Storage 2 vagy Nitrokey Pro 2 használatával:
Telepítse az `OpenSC <https://github.com/OpenSC/OpenSC/wiki><x>`__ legújabb kiadását, vagy töltse le a PKCS#11 könyvtárat.
Válassza ki a könyvtárat a VeraCrypt-ben a Beállítások>Beállítások>Biztonsági token alatt (a hely a rendszertől függ, pl.
/usr/lib/opensc
).64 bájtos kulcsfájl generálása a Tools>Keyfile Generator segítségével.
Most már képesnek kell lennie a generált kulcsfájl importálására az Eszközök>Biztonsági token kulcsfájlok kezelése menüponton keresztül. Az első Slotot kell kiválasztania (
[0] User PIN
). A kulcsfájl ezután a Nitrokey-n „Private Data Object 1” (PrivDO1
) néven kerül tárolásra.Ezt követően törölje biztonságosan az eredeti kulcsfájlt a számítógépén!
Most már használhatja a VeraCrypt-et a Nitrokey-vel: Hozzon létre egy tárolót, válassza ki a kulcsfájlt az eszközön a jelszó alternatívájaként.
Figyelem
Biztonsági megfontolások
Kérjük, vegye figyelembe, hogy a VeraCrypt nem használja ki a Nitrokey (és általában az intelligens kártyák) által nyújtott teljes biztonságot. Ehelyett egy kulcsfájlt tárol a Nitrokey-n, amelyet elméletileg ellophat egy számítógépes vírus, miután a felhasználó beírta a PIN-kódot.
Megjegyzés: Aloaha Crypt a TrueCrypt/VeraCrypt-en alapul, de a leírt biztonsági korlátozás nélkül.
Merevlemez-titkosítás GNU+Linuxon LUKS/dm-crypt segítségével¶
A LUKS Lemeztitkosítás beállításához kövesse útmutatónkat:
Purism létrehozott egy egyszerű szkriptet a Nitrokey/LibremKey hozzáadásához, mint a LUKS partíciók feloldásának módja (a Nitrokey még nem tesztelte).
Ez a projekt célja, hogy megkönnyítse a LUKS használatát a Nitrokey Pro-val vagy a Password Safe-on alapuló tárolóval (a Nitrokey még nem tesztelte). A Gentoo-n való használatról szóló leírás itt található.
Arch Linux esetén lásd initramfs-scencrypt.
Tárolási titkosítás GNU+Linuxon az EncFS-szel¶
Javaslat
Előfeltétel
Kérjük, győződjön meg róla, hogy telepítette az eszközillesztőt, megváltoztatta az alapértelmezett PIN-kódokat, és a GnuPG segítségével generált vagy importált kulcsokat.
EncFS egy könnyen használható titkosított fájlrendszer, amely a FUSE rendszeren alapul. A következő lépéseket követve használhatja nagyon hosszú jelszavakkal és a Nitrokey Pro 2-vel:
Inicializálás¶
Hozzon létre egy kulcsfájlt véletlenszerű adatokkal:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Titkosítja a kulcsfájlt, és használja a Nitrokey felhasználói azonosítóját.
$ gpg --encrypt keyfile
A kulcsfájl eltávolítása tiszta szövegben:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Csatolási pont létrehozása:
$ mkdir ~/.cryptdir ~/cryptdir
A tényleges titkosítási mappa létrehozása
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Távolítsa el az új fájlrendszert:
$ fusermount -u ~/cryptdir
Használat¶
Csatlakoztassa a titkosított fájlrendszert, és adja meg a Nitrokey PIN-kódját:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
Használat után bontsa le a fájlrendszert:
$ fusermount -u ~/cryptdir
Tárolás titkosítása GNU+Linuxon az ECryptFS segítségével¶
eCryptfs egy fájlalapú, átlátható titkosítású fájlrendszer GNU+Linuxhoz, amely PKCS#11 meghajtón keresztül használható a Nitrokey-vel.
Lásd ezeket a utasításokat:
Importálja a tanúsítványt és a kulcsot a Nitrokey-be
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Hozzuk létre a ~/.ecryptfsrc.pkcs11 fájlt:
$ editor ~/.ecryptfsrc.pkcs11
Adja meg ezt a tartalmat:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Másolja a serializált azonosítót későbbi használatra:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
Alternatívaként próbálja ki a ESOSI vagy kövesse az alábbi lépéseket az OpenSC és az OpenVPN használatával.
Az útmutató forrása: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption