Nitrokey Storage FAQ¶
Dato che il Nitrokey Storage 2 è essenzialmente un Nitrokey Pro 2 che include una memoria non volatile (criptata), il Nitrokey Pro 2 FAQ si applica anche parzialmente.
- Q: Which Operating Systems are supported?
Windows, Linux e macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What are the default PINs?
PIN utente: «123456»
PIN dell’amministratore: «12345678»
Password firmware: «12345678»
Raccomandiamo vivamente di cambiare questi PIN/password con valori scelti dall’utente prima di usare la Nitrokey.
- Q: How large is the storage capacity?
Nitrokey Storage può memorizzare e criptare 8, 32 o 64 GB di dati (a seconda del modello).
- Q: Why can’t I access the encrypted storage on a new Nitrokey Storage?
Su un nuovo dispositivo Nitrokey Storage, prima di poter accedere al volume crittografato assicurati di aver prima «Distruggere i dati crittografati» all’interno dell’App Nitrokey.
- Q: What is the maximum length of the PIN?
Nitrokey usa i PIN invece delle password. La differenza principale è che l’hardware limita la quantità di tentativi a tre mentre un limite non esiste per le password. Per questo motivo, un PIN breve è ancora sicuro e non è necessario scegliere un PIN lungo e complesso.
I PIN di Nitrokey Storage possono essere lunghi fino a 20 cifre e possono essere composti da numeri, caratteri e caratteri speciali. Nota: Quando si usa GnuPG o OpenSC, si possono usare PIN lunghi 32 caratteri ma non sono supportati da Nitrokey App.
- Q: What is the User PIN for?
Il PIN utente è lungo almeno 6 cifre e viene usato per accedere al contenuto della Nitrokey. Questo è il PIN che userai molto nell’uso quotidiano, ad esempio per decriptare i messaggi, per sbloccare il tuo storage criptato (solo NK Storage) ecc.
Il PIN utente può avere fino a 20 cifre e altri caratteri (per esempio alfabetici e speciali). Ma dato che il PIN utente viene bloccato non appena vengono fatti tre tentativi di PIN errati, è sufficientemente sicuro avere solo un PIN di 6 cifre. Il PIN di default è 123456.
- Q: What is the Admin PIN for?
Il PIN amministratore è lungo almeno 8 cifre e viene utilizzato per modificare i contenuti/impostazioni di Nitrokey. In altre parole, dopo aver inizializzato la Nitrokey probabilmente non avrai bisogno di questo PIN troppo spesso (ad esempio se vuoi aggiungere un’altra password alla cassaforte delle password di Nitrokey Pro o Nitrokey Storage).
Il PIN amministrativo può avere fino a 20 cifre e altri caratteri (per esempio alfabetici e speciali). Ma dato che il PIN amministrativo viene bloccato non appena vengono fatti tre tentativi di PIN errati, è sufficientemente sicuro avere solo 8 cifre di PIN. Il PIN di default è 12345678.
- Q: Why does my Nitrokey Storage hang when switching between nitrokey-app and GnuPG?
GnuPG e nitrokey-app a volte tendono a darsi la mano. Questo è un problema noto e può essere risolto reinserendo la Nitrokey nello slot USB.
- Q: What is the firmware PIN for?
La password del firmware deve soddisfare le raccomandazioni generali in materia di password (ad esempio, utilizzare caratteri alfabetici, cifre e caratteri speciali o utilizzare una password sufficientemente lunga). La password del firmware è necessaria per aggiornare il firmware di Nitrokey Storage. Vedi ulteriori istruzioni per il processo di aggiornamento qui.
La password del firmware non è mai bloccata. Un aggressore potrebbe provare a indovinare la password e avrebbe tentativi illimitati. Perciò dovete scegliere una password forte. La password di default è 12345678.
- Q: How many keys can I store?
Nitrokey Storage può memorizzare tre coppie di chiavi RSA. Tutte le chiavi usano la stessa identità ma sono usate per scopi diversi: autenticazione, crittografia e firma.
- Q: How fast is encryption and signing?
Crittografia di 50kiB di dati:
256 bit AES, 2048 byte per comando -> 880 byte al secondo
128 bit AES, 2048 byte per comando -> 893 byte al secondo
256 bit AES, 240 byte per comando -> 910 byte al secondo
128 bit AES, 240 byte per comando -> 930 byte al secondo
- Q: Which algorithms and maximum key length are supported?
Vedere la seguente tabella:
Iniziare |
Pro + Storage |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curva25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Does the Nitrokey Storage contain a secure chip or just a normal microcontroller?
Nitrokey Storage contiene una smart card resistente alle manomissioni.
- Q: Is the Nitrokey Storage Common Criteria or FIPS certified?
Il controller di sicurezza (NXP Smart Card Controller P5CD081V1A e le sue principali configurazioni P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A e P5CD016V1A, ciascuna con software dedicato IC) è certificato Common Criteria EAL 5+ fino al livello OS (Certification Report, Security Target, Maintenance Report, Maintenance ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Inoltre Cure53 ha eseguito un controllo di sicurezza indipendente dell’hardware, del firmware e dell’App Nitrokey.
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey Storage for my applications?
Entrambi i dispositivi sono compatibili con la scheda OpenPGP, quindi scdrand dovrebbe funzionare. Questo script potrebbe essere utile. L’utente comio ha creato un file systemd per utilizzare scdrand e quindi il TRNG più in generale. Ha creato anche un ebuild per Gentoo.
- Q: How good is the Random Number Generator?
Nitrokey Pro e Nitrokey Storage utilizzano un True Random Number Generator (TRNG) per la generazione delle chiavi sul dispositivo. L’entropia generata dal TRNG viene utilizzata per l’intera lunghezza della chiave. Pertanto, il TRNG è conforme a BSI TR-03116.
Il TRNG fornisce circa 40 kbit/s.
- Q: How can I use the encrypted mobile Storage?
Prima di utilizzare l’archiviazione mobile criptata è necessario installare e inizializzare Nitrokey Storage e scaricare l’ultima Nitrokey App.
Avviare l’applicazione Nitrokey.
Premete la sua icona nel vassoio e selezionate «unlock encrypted volume» nel menu.
Inserisci il tuo PIN utente nella finestra popup che appare.
Se questa è la prima volta potrebbe essere necessario creare una partizione sul volume criptato. Windows aprirà una finestra appropriata e ti chiederà di farlo. Su Linux e Mac potrebbe essere necessario aprire un partition manager e creare una partizione manualmente. Puoi creare tutte le partizioni che vuoi. Raccomandiamo FAT(32) se volete accedere alla partizione da vari sistemi operativi.
Ora puoi usare il volume criptato come faresti con qualsiasi altro normale drive USB. Ma tutti i dati memorizzati su di esso saranno crittografati nell’hardware Nitrokey automaticamente.
Per rimuovere o bloccare il volume criptato dovreste prima smontarlo/espellerlo.
In seguito puoi disconnettere la Nitrokey o selezionare «bloccare il volume criptato» dal menu dell’App Nitrokey.
Nitrokey Storage è anche in grado di creare volumi nascosti. Dai un’occhiata alle istruzioni corrispondenti per i volumi nascosti.
I volumi nascosti permettono di nascondere i dati nel volume criptato. I dati sono protetti da una password aggiuntiva. Senza la password l’esistenza dei dati non può essere provata. I volumi nascosti non sono impostati di default in modo che la loro esistenza possa essere negata in modo plausibile. Il concetto è simile al volume nascosto di VeraCrypt/TrueCrypt, ma con Nitrokey Storage l’intera funzionalità dei volumi nascosti è implementata in hardware.
È possibile configurare fino a quattro volumi nascosti. Una volta sbloccati, i volumi nascosti si comportano come l’archiviazione ordinaria dove è possibile creare varie partizioni, filesystem e memorizzare i file come si vuole.
Se si decide di configurare i volumi nascosti, non è più possibile utilizzare la memoria cifrata. Poiché il volume nascosto si trova sullo spazio libero della memoria criptata, c’è la possibilità di sovrascrivere i dati nel volume nascosto. Si può dire che anche la memoria criptata «non sa» che c’è un volume nascosto. La struttura generale è mostrata nel diagramma qui sotto. Pertanto, si prega di non scrivere nulla nella memoria criptata dopo aver creato un volume nascosto (è necessario sbloccarlo prima però).
I volumi nascosti sono come dei contenitori dentro un contenitore, il volume criptato.