Nitrokey Storage FAQ#

Dato che il Nitrokey Storage 2 è essenzialmente un Nitrokey Pro 2 che include una memoria non volatile (criptata), il Nitrokey Pro 2 FAQ si applica anche parzialmente.

Q: Quali sistemi operativi sono supportati?

Windows, Linux e macOS.

Q: Per cosa posso usare la Nitrokey?

Vedere la frontpage per una panoramica dei casi d’uso supportati.

Q: Quali sono i PIN di default?
  • PIN utente: «123456»

  • PIN dell’amministratore: «12345678»

  • Password firmware: «12345678»

Raccomandiamo vivamente di cambiare questi PIN/password con valori scelti dall’utente prima di usare la Nitrokey.

Q: Quanto è grande la capacità di stoccaggio?

Nitrokey Storage può memorizzare e criptare 8, 32 o 64 GB di dati (a seconda del modello).

Q: Perché non posso accedere all’archivio criptato su un nuovo Nitrokey Storage?

Su un nuovo dispositivo Nitrokey Storage, prima di poter accedere al volume crittografato assicurati di aver prima «Distruggere i dati crittografati» all’interno dell’App Nitrokey.

Q: Qual è la lunghezza massima del PIN?

Nitrokey usa i PIN invece delle password. La differenza principale è che l’hardware limita la quantità di tentativi a tre mentre un limite non esiste per le password. Per questo motivo, un PIN breve è ancora sicuro e non è necessario scegliere un PIN lungo e complesso.

I PIN di Nitrokey Storage possono essere lunghi fino a 20 cifre e possono essere composti da numeri, caratteri e caratteri speciali. Nota: Quando si usa GnuPG o OpenSC, si possono usare PIN lunghi 32 caratteri ma non sono supportati da Nitrokey App.

Q: A cosa serve il PIN utente?

Il PIN utente è lungo almeno 6 cifre e viene utilizzato per accedere al contenuto della Nitrokey. Questo è il PIN che userai spesso nell’uso quotidiano, ad esempio per decifrare i messaggi, per sbloccare il tuo archivio criptato (solo NK Storage) ecc.

Il PIN utente può avere fino a 20 cifre e altri caratteri (per esempio alfabetici e speciali). Ma dato che il PIN utente viene bloccato non appena vengono fatti tre tentativi di PIN errati, è sufficientemente sicuro avere solo un PIN di 6 cifre. Il PIN di default è 123456.

Q: A cosa serve il PIN dell’amministratore?

Il PIN admin è lungo almeno 8 cifre e viene usato per cambiare i contenuti/impostazioni di Nitrokey. Questo significa che dopo aver inizializzato la Nitrokey probabilmente non avrete bisogno di questo PIN troppo spesso (per esempio se volete aggiungere un’altra password alla cassaforte di Nitrokey Pro o Nitrokey Storage).

Il PIN amministrativo può avere fino a 20 cifre e altri caratteri (per esempio alfabetici e speciali). Ma dato che il PIN amministrativo viene bloccato non appena vengono fatti tre tentativi di PIN errati, è sufficientemente sicuro avere solo 8 cifre di PIN. Il PIN di default è 12345678.

Q: Perché il mio Nitrokey Storage si blocca quando si passa da nitrokey-app a GnuPG?

GnuPG e nitrokey-app a volte tendono a darsi la mano. Questo è un problema noto e può essere risolto reinserendo la Nitrokey nello slot USB.

Q: A cosa serve il PIN del firmware?

La password del firmware deve soddisfare le raccomandazioni generali in materia di password (ad esempio, utilizzare caratteri alfabetici, cifre e caratteri speciali o utilizzare una password sufficientemente lunga). La password del firmware è necessaria per aggiornare il firmware di Nitrokey Storage. Vedi ulteriori istruzioni per il processo di aggiornamento qui.

La password del firmware non è mai bloccata. Un aggressore potrebbe provare a indovinare la password e avrebbe tentativi illimitati. Perciò dovete scegliere una password forte. La password di default è 12345678.

Q: Quante chiavi posso memorizzare?

Nitrokey Storage può memorizzare tre coppie di chiavi RSA. Tutte le chiavi usano la stessa identità ma sono usate per scopi diversi: autenticazione, crittografia e firma.

Q: Quanto è veloce la crittografia e la firma?

Crittografia di 50kiB di dati:

  • 256 bit AES, 2048 byte per comando -> 880 byte al secondo

  • 128 bit AES, 2048 byte per comando -> 893 byte al secondo

  • 256 bit AES, 240 byte per comando -> 910 byte al secondo

  • 128 bit AES, 240 byte per comando -> 930 byte al secondo

Q: Quali algoritmi e la lunghezza massima della chiave sono supportati?

Vedere la seguente tabella:

Iniziare

Pro + Storage

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curva25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Il Nitrokey Storage contiene un chip sicuro o solo un normale microcontrollore?

Nitrokey Storage contiene una smart card resistente alle manomissioni.

Q: Nitrokey Storage è certificato Common Criteria o FIPS?

Cure53 ha eseguito una verifica di sicurezza indipendente dell’hardware, del firmware e dell’App Nitrokey. L’hardware del controller di sicurezza è certificato Common Criteria (Report; Vedere qui, fare clic su «IC, Smart Card e dispositivi e sistemi correlati alle Smart Card» e cercare «NXP Smart Card Controller P5CD081V1A e le sue principali configurazioni P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A e P5CD016V1A ciascuna con il software dedicato al CI»).

Q: Come posso utilizzare il True Random Number Generator (TRNG) di Nitrokey Storage per le mie applicazioni?

Entrambi i dispositivi sono compatibili con la scheda OpenPGP, quindi scdrand dovrebbe funzionare. Questo script potrebbe essere utile. L’utente comio ` ha creato un file systemd`_ per utilizzare scdrand e quindi il TRNG più in generale. Ha creato anche un ebuild per Gentoo.

Q: Quanto è buono il generatore di numeri casuali?

Nitrokey Pro e Nitrokey Storage utilizzano un True Random Number Generator (TRNG) per la generazione delle chiavi sul dispositivo. L’entropia generata dal TRNG viene utilizzata per l’intera lunghezza della chiave. Pertanto, il TRNG è conforme a BSI TR-03116.

Il TRNG fornisce circa 40 kbit/s.

Q: Come posso usare il Mobile Storage criptato?

Prima di utilizzare l’archiviazione mobile criptata è necessario installare e inizializzare Nitrokey Storage e scaricare l’ultima Nitrokey App.

  • Avviare l’applicazione Nitrokey.

  • Premete la sua icona nel vassoio e selezionate «unlock encrypted volume» nel menu.

  • Inserisci il tuo PIN utente nella finestra popup che appare.

  • Se questa è la prima volta potrebbe essere necessario creare una partizione sul volume criptato. Windows aprirà una finestra appropriata e ti chiederà di farlo. Su Linux e Mac potrebbe essere necessario aprire un partition manager e creare una partizione manualmente. Puoi creare tutte le partizioni che vuoi. Raccomandiamo FAT(32) se volete accedere alla partizione da vari sistemi operativi.

  • Ora puoi usare il volume criptato come faresti con qualsiasi altro normale drive USB. Ma tutti i dati memorizzati su di esso saranno crittografati nell’hardware Nitrokey automaticamente.

  • Per rimuovere o bloccare il volume criptato dovreste prima smontarlo/espellerlo.

  • In seguito puoi disconnettere la Nitrokey o selezionare «bloccare il volume criptato» dal menu dell’App Nitrokey.

Nitrokey Storage è anche in grado di creare volumi nascosti. Dai un’occhiata alle istruzioni corrispondenti per i volumi nascosti.

Q: Come posso usare il volume nascosto?

I volumi nascosti permettono di nascondere i dati nel volume criptato. I dati sono protetti da una password aggiuntiva. Senza la password l’esistenza dei dati non può essere provata. I volumi nascosti non sono impostati di default in modo che la loro esistenza possa essere negata in modo plausibile. Il concetto è simile al volume nascosto di VeraCrypt/TrueCrypt, ma con Nitrokey Storage l’intera funzionalità dei volumi nascosti è implementata in hardware.

È possibile configurare fino a quattro volumi nascosti. Una volta sbloccati, i volumi nascosti si comportano come l’archiviazione ordinaria dove è possibile creare varie partizioni, filesystem e memorizzare i file come si vuole.

Se si decide di configurare i volumi nascosti, non è più possibile utilizzare la memoria cifrata. Poiché il volume nascosto si trova sullo spazio libero della memoria criptata, c’è la possibilità di sovrascrivere i dati nel volume nascosto. Si può dire che anche la memoria criptata «non sa» che c’è un volume nascosto. La struttura generale è mostrata nel diagramma qui sotto. Pertanto, si prega di non scrivere nulla nella memoria criptata dopo aver creato un volume nascosto (è necessario sbloccarlo prima però).

I volumi nascosti sono come contenitori dentro un contenitore, il volume criptato.