Merevlemez titkosítás

VeraCrypt (korábban TrueCrypt)

VeraCrypt egy ingyenes és nyílt forráskódú lemez titkosító szoftver Windows, macOS és GNU+Linux rendszerekre. Ez a TrueCrypt utódja, ezért ajánlott, bár a következő utasítások a TrueCryptre is vonatkoznak.

Kövesse az alábbi lépéseket a program Nitrokey Storage 2 vagy Nitrokey Pro 2 használatával:

  1. Telepítse az `OpenSC <https://github.com/OpenSC/OpenSC/wiki><x>`__ legújabb kiadását, vagy töltse le a PKCS#11 könyvtárat.

  2. Válassza ki a könyvtárat a VeraCrypt-ben a Beállítások>Beállítások>Biztonsági token alatt (a hely a rendszertől függ, pl. /usr/lib/opensc).

  3. 64 bájtos kulcsfájl generálása a Tools>Keyfile Generator segítségével.

  4. Most már képesnek kell lennie a generált kulcsfájl importálására az Eszközök>Biztonsági token kulcsfájlok kezelése menüponton keresztül. Az első Slotot kell kiválasztania ([0] User PIN). A kulcsfájl ezután a Nitrokey-n „Private Data Object 1” (PrivDO1) néven kerül tárolásra.

  5. Ezt követően törölje biztonságosan az eredeti kulcsfájlt a számítógépén!

  6. Most már használhatja a VeraCrypt-et a Nitrokey-vel: Hozzon létre egy tárolót, válassza ki a kulcsfájlt az eszközön a jelszó alternatívájaként.

Figyelem

Biztonsági megfontolások

Kérjük, vegye figyelembe, hogy a VeraCrypt nem használja ki a Nitrokey (és általában az intelligens kártyák) által nyújtott teljes biztonságot. Ehelyett egy kulcsfájlt tárol a Nitrokey-n, amelyet elméletileg ellophat egy számítógépes vírus, miután a felhasználó beírta a PIN-kódot.

Megjegyzés: Aloaha Crypt a TrueCrypt/VeraCrypt-en alapul, de a leírt biztonsági korlátozás nélkül.

Merevlemez-titkosítás GNU+Linuxon LUKS/dm-crypt segítségével

A LUKS Lemeztitkosítás beállításához kövesse útmutatónkat:

Purism létrehozott egy egyszerű szkriptet a Nitrokey/LibremKey hozzáadásához, mint a LUKS partíciók feloldásának módja (a Nitrokey még nem tesztelte).

Ez a projekt célja, hogy megkönnyítse a LUKS használatát a Nitrokey Pro-val vagy a Password Safe-on alapuló tárolóval (a Nitrokey még nem tesztelte). A Gentoo-n való használatról szóló leírás itt található.

Arch Linux esetén lásd initramfs-scencrypt.

Tárolási titkosítás GNU+Linuxon az EncFS-szel

Javaslat

Előfeltétel

Kérjük, győződjön meg róla, hogy telepítette az eszközillesztőt, megváltoztatta az alapértelmezett PIN-kódokat, és a GnuPG segítségével generált vagy importált kulcsokat.

EncFS egy könnyen használható titkosított fájlrendszer, amely a FUSE rendszeren alapul. A következő lépéseket követve használhatja nagyon hosszú jelszavakkal és a Nitrokey Pro 2-vel:

Inicializálás

  1. Hozzon létre egy kulcsfájlt véletlenszerű adatokkal:

    $ dd bs=64 count=1 if=/dev/urandom of=keyfile
    
  2. Titkosítja a kulcsfájlt, és használja a Nitrokey felhasználói azonosítóját.

    $ gpg --encrypt keyfile
    
  3. A kulcsfájl eltávolítása tiszta szövegben:

    $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
    
  4. Csatolási pont létrehozása:

    $ mkdir ~/.cryptdir ~/cryptdir
    
  5. A tényleges titkosítási mappa létrehozása

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    # There may appears an error message about missing permission of fusermount
    # This message can be ignored
    
  6. Távolítsa el az új fájlrendszert:

    $ fusermount -u ~/cryptdir
    

Használat

  1. Csatlakoztassa a titkosított fájlrendszert, és adja meg a Nitrokey PIN-kódját:

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    
  2. Használat után bontsa le a fájlrendszert:

    $ fusermount -u ~/cryptdir
    

Tárolás titkosítása GNU+Linuxon az ECryptFS segítségével

eCryptfs egy fájlalapú, átlátható titkosítású fájlrendszer GNU+Linuxhoz, amely PKCS#11 meghajtón keresztül használható a Nitrokey-vel.

Lásd ezeket a utasításokat:

  1. Importálja a tanúsítványt és a kulcsot a Nitrokey-be

    # Warning: This will delete existing keys on your Nitrokey!
    $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
    
  2. Hozzuk létre a ~/.ecryptfsrc.pkcs11 fájlt:

    $ editor ~/.ecryptfsrc.pkcs11
    
  3. Adja meg ezt a tartalmat:

    $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
    $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
    Certificate
        DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
        Serial: 066E04
        Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
    
  4. Másolja a serializált azonosítót későbbi használatra:

    $ ecryptfs-manager
    # This will show list option. Choose option "Add public key to keyring"
    # Choose pkcs11-helper
    # Enter the serialized ID of step 3 to PKCS#11 ID.
    

Alternatívaként próbálja ki a ESOSI vagy kövesse az alábbi lépéseket az OpenSC és az OpenVPN használatával.

Az útmutató forrása: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption