KeePassXC

Queste istruzioni descrivono come proteggere e crittografare un database di password KeePassXC con Nitrokey 3.

Prerequisiti

  • È richiesta la versione 2.7.6 o più recente di KeePassXC.

  • Nitrokey App 2 version 2.2.2 or newer is required.

Primo passo: Generare un segreto HMAC con l’applicazione Nitrokey 2

  1. Open Nitrokey App 2

  2. Selezionare Nitrokey 3

  3. Selezionare la scheda ``PASSWORDS`

  4. Fare clic su ADD per creare una nuova credenziale.

  5. Selezionare HMAC dal menu a discesa dell’algoritmo.

    Nota

    • La credenziale viene nominata automaticamente in HmacSlot2.

    • Non è possibile salvare attributi aggiuntivi per la credenziale HMAC.

    • Il segreto HMAC deve essere esattamente di 20 byte e nel formato Base32. Cioè esattamente 32 caratteri.

    • È possibile salvare esattamente un segreto HMAC in una Nitrokey 3.

  6. Per generare un segreto, c’è un pulsante nel campo a destra. È anche possibile inserire il proprio segreto, purché sia conforme.

    Avvertimento

    Il database non può più essere sbloccato se la Nitrokey 3 viene persa o non è disponibile! Pertanto, si consiglia di impostare un secondo Nitrokey 3 con lo stesso segreto HMAC come dispositivo di backup.

    Importante

    Il segreto può solo essere visto prima del salvataggio. Se il database KeePassXC deve essere utilizzato con un’altra Nitrokey 3, è necessario copiare il segreto HMAC che è solo possibile prima di salvare la credenziale.

  7. Fare clic su SAVE per salvare la credenziale.

Prima opzione: Proteggere un database KeePassXC esistente con Nitrokey 3

  1. Aprire KeePassXC

  2. Aprire il database KeePassXC esistente che deve essere protetto con una Nitrokey 3.

  3. Selezionare Database -> Database Security... dalla barra dei menu.

  4. Selezionare Security sul lato sinistro.

  5. Fare clic sul pulsante Add additional protection... nella scheda Database Credentials.

  6. Scorrere fino a Challenge-Response e fare clic su Add Challenge-Response.

  7. Ora, se Nitrokey 3 è collegato e un HMAC è stato generato in precedenza, Nitrokey 3 dovrebbe essere visualizzato nel campo.

    Cliccare su OK per aggiungere Nitrokey 3 al database KeePassXC esistente.

Nota

Per impostazione predefinita, Nitrokey 3 viene utilizzato come secondo fattore oltre alla passphrase. Per proteggere il database esclusivamente con Nitrokey 3, eliminare la passphrase facendo clic sul pulsante Remove Password.

Suggerimento

Se la Nirokey 3 non viene riconosciuta, chiudere completamente KeePassXC. Collegare quindi la Nitrokey 3 al computer prima di riavviare KeePassXC.

Seconda opzione: Creazione di un database KeePassXC, protetto da Nitrokey 3

  1. Aprire KeePassXC

  2. Selezionare Database -> New Database... dalla barra dei menu per creare un nuovo database KeePassXC.

  3. Compilare il nome di visualizzazione e una descrizione opzionale per il nuovo database e fare clic su Continue.

  4. Qui è possibile configurare ulteriori impostazioni di crittografia del database oppure mantenere le impostazioni predefinite. Le impostazioni possono essere modificate anche successivamente nelle impostazioni del database.

    Fare clic su Continue per confermare le impostazioni.

  5. Credenziale del database

    Qui è possibile inserire una password come secondo fattore per sbloccare il database. Per collegare Nitrokey 3 (su cui è stato generato il segreto HMAC) al nuovo database KeePassXC, fare clic su Add additional protection...

  6. Scorrere fino a Challenge-Response e fare clic su Add Challenge-Response.

  7. Ora, se Nitrokey 3 è collegato e un HMAC è stato generato in precedenza, Nitrokey 3 dovrebbe essere visualizzato nel campo. Fare clic su Continue per completare la creazione del nuovo database KeePassXC.

Nota

Se la passphrase viene lasciata vuota, il database sarà protetto esclusivamente dalla Nitrokey 3. Se viene inserita una passphrase, il database sarà protetto dalla passphrase e dalla Nitrokey 3. Se viene immessa una passphrase, il database sarà protetto dalla passphrase e dalla Nitrokey 3.

Suggerimento

Se Nitrokey 3 non viene riconosciuto, chiudere completamente KeePassXC. Collegare quindi Nitrokey 3 al computer prima di riavviare KeePassXC.

Risoluzione dei problemi per Linux

Se il dispositivo Nirokey 3 non viene riconosciuto da KeePassXC su un sistema Linux:

  • Provided that the udev rules have been set as described here.

  • A condizione che il sito pcscd service sia stato iniziato con:

    sudo systemctl start pcscd.service

  • Installare l’ultima versione di KeePassXC con flatpak:

    flatpak install flathub org.keepassxc.KeePassXC

  • Installare ccid su sistemi basati su Arch Linux. Vedere anche: Arch wiki: Nitrokey.

pcscd: Scheda non trovata

Problema: Un’applicazione che utilizza pcscd non mostra la Nitrokey 3.

Soluzione: Per prima cosa, assicurarsi che scdaemon non sia in esecuzione (vedere la sezione precedente):

$ gpg-connect-agent "SCD KILLSCD" /bye

Ora elencare le smartcard riconosciute da pcscd con pcsc_scan -r. Si dovrebbe vedere una voce come questa:

$ pcsc_scan -r
Using reader plug'n play mechanism
Scanning present readers..
0: Nitrokey 3 [CCID/ICCD Interface] 00 00

Se Nitrokey 3 viene visualizzato, è riconosciuto correttamente da pcscd e potrebbe esserci un problema con l’applicazione che cerca di accedervi. Se non viene visualizzata, assicurarsi che la versione di libccid sia aggiornata. Il supporto per Nitrokey 3 è stato aggiunto nella versione libccid 1.5.0.

Aggiornamento del database dei dispositivi

Se non è possibile aggiornare libccid a una versione supportata, è necessario aggiornare manualmente il database dei dispositivi. Il percorso del database dipende dalla distribuzione:

  • Arch, Debian, Ubuntu: /etc/libccid_Info.plist

Assicurarsi di eseguire un backup del file prima di sovrascriverlo. È possibile scaricare un file aggiornato del database dei dispositivi dal repository nitrokey-3-firmware. Dopo aver aggiornato il file, riavviare pcscd ed eseguire nuovamente pcsc_scan -r. Nitrokey 3 dovrebbe ora apparire.