NitroPad con Qubes OS#

Con NitroPad, le modifiche dannose al BIOS, al sistema operativo e al software possono essere facilmente rilevate. Per esempio, se hai lasciato il tuo NitroPad in una stanza d’albergo, puoi usare la tua Nitrokey per controllare se è stato manomesso mentre eri via. Se un malintenzionato modifica il firmware o il sistema operativo di NitroPad, Nitrokey lo rileverà (istruzioni sotto).

Verifica dell’hardware sigillato#

Se avete ordinato l’unità con l’opzione «viti sigillate e sacchetto sigillato», per favore ` verificate la sigillatura <sealed-hardware.html>`_ prima di disimballare. Se non sapete cosa significa, saltate questa sezione.

Procedura di avvio sicuro#

Con NitroPad, le modifiche dannose al BIOS, al sistema operativo e al software possono essere facilmente rilevate. Per esempio, se hai lasciato il tuo NitroPad in una stanza d’albergo, puoi usare la tua Nitrokey per controllare se è stato manomesso mentre eri via. Se un malintenzionato modifica il firmware o il sistema operativo di NitroPad, Nitrokey lo rileverà (istruzioni sotto).

Ogni volta che avviate NitroPad, dovreste - se possibile - collegare la vostra Nitrokey. Se la Nitrokey è collegata e il sistema non è stato modificato, all’accensione di NitroPad apparirà la seguente schermata.

img1

La casella segnata in rosso contiene l’informazione che il BIOS non è stato cambiato e che il segreto condiviso di NitroPad e la Nitrokey corrispondono. Ma questa informazione non è sufficiente, perché un attaccante potrebbe averla falsificata. Se allo stesso tempo anche la Nitrokey lampeggia in verde, tutto è a posto. Un aggressore avrebbe dovuto avere accesso al NitroPad e alla Nitrokey per ottenere questo risultato. È quindi importante non lasciare entrambi i dispositivi incustoditi.

Se le informazioni sul NitroPad non corrispondono a quelle sulla Nitrokey, lo sfondo diventa rosso e appare il messaggio «Invalid Code». Questo potrebbe indicare che c’è stata una manipolazione.

img2

Come può apparire il processo di avvio se il sistema è stato cambiato (per esempio dopo un aggiornamento) e quali messaggi di errore possono verificarsi altrimenti è descritto più avanti.

Suggerimento

NitroPad può essere avviato anche senza la Nitrokey. Se non avete la Nitrokey con voi, ma siete sicuri che l’hardware non è stato manipolato, potete avviare il sistema senza controllare.

Come iniziare#

Dopo l’acquisto, le password sono impostate su un valore predefinito e devono essere cambiate da voi:

  1. Premere Invio («Default Boot») dopo aver avviato il sistema, a condizione che NitroPad non abbia mostrato alcun errore e che la Nitrokey sia illuminata di verde (vedi sopra).

  2. Successivamente, il sistema chiederà di inserire la passphrase per decriptare il disco rigido. La passphrase è inizialmente «12345678». Questa è stata modificata il 15.01.2024, quindi se «12345678» non funziona provate il vecchio valore predefinito: «PleaseChangeMe».

    img3
  3. Il sistema vi guiderà poi attraverso il processo di creazione di un account utente. Dopo di che dovreste aver avviato con successo il sistema e potreste già usarlo normalmente.

  4. Aprite la Nitrokey App preinstallata e cambiate il PIN della vostra Nitrokey come ` descritto qui <change-pins.html>`_.

  5. Modificare la passphrase per la crittografia del disco rigido cercando «Change Disk Passwort» nel menu Qubes. Questa passphrase è diversa da quella dell’account utente.

    Cambiare la password dell'immagine Qubes

Comportamento dopo un aggiornamento del sistema#

Il firmware di NitroPad controlla alcuni file di sistema per le modifiche. Se il vostro sistema operativo ha aggiornato componenti importanti, sarete avvisati al prossimo avvio di NitroPad. Questo potrebbe apparire così, per esempio:

img4

Ecco perché è importante riavviare il NitroPad in condizioni controllate dopo un aggiornamento del sistema. Solo quando il nuovo stato è stato confermato potete lasciare il dispositivo di nuovo incustodito. Altrimenti, non sarete in grado di distinguere un possibile attacco da un aggiornamento di sistema. Istruzioni dettagliate per un aggiornamento di sistema possono essere ` trovate qui <system-update.html>`_.