Nitrokeyストレージに関するFAQ¶
Nitrokey Storage 2は基本的に不揮発性(暗号化)ストレージを含むNitrokey Pro 2であるため、 :doc:`Nitrokey Pro 2 FAQ <.../pro/faq>`も一部適用されます。
- **Q:**どのようなOSに対応していますか?
Windows、Linux、macOS。
- Q: Nitrokeyはどのような用途に使用できますか?
See the overview of supported use cases.
- Q: デフォルトの暗証番号は何ですか?
ユーザーPIN: "123456"
管理者用暗証番号: "12345678"
ファームウェアのパスワード: "12345678"
Nitrokeyを使用する前に、これらのPIN/パスワードをユーザーが選んだ値に変更することを強くお勧めします。
- **Q:***記憶容量はどのくらいですか?
Nitrokey Storageは、8GB、32GB、64GBのデータを保存・暗号化することができます(モデルによって異なります)。
- Q: 新しい Nitrokey Storage の暗号化されたストレージにアクセスできないのはなぜですか?
新しい Nitrokey Storage デバイスで、暗号化されたボリュームにアクセスする前に、まず Nitrokey アプリで "暗号化データを破棄する" を行ってください。
- Q: PINの長さはどのくらいですか?
Nitrokeyは、パスワードの代わりにPINを使用します。主な違いは、ハードウェアが試行回数を3回に制限しているのに対し、パスワードには制限がないことです。このため、短い暗証番号でも安全であり、長くて複雑な暗証番号を選択する必要はありません。
Nitrokey Storage'のPINは最大20桁の長さで、数字、文字、特殊文字で構成することができます。注:GnuPGまたはOpenSCを使用する場合、32文字の長さのPINを使用できますが、Nitrokey Appではサポートされていません。
- Q: ユーザーPINは何のためのものですか?
ユーザーPINは少なくとも6桁の長さで、Nitrokeyの保護領域にアクセスするために使用されます。このPINは、メッセージの復号化や暗号化されたストレージ(NKストレージのみ)のロック解除など、日常的によく使用するものです。
ユーザーPINは、最大20桁の数字とその他の文字(アルファベットや特殊文字など)を使用することができます。しかし、暗証番号を3回間違えるとブロックされるため、6桁の暗証番号だけでも十分に安全です。デフォルトのPINは123456です。
- Q: Admin PINは何のためのものですか?
管理者用PINは少なくとも8桁の長さで、Nitrokeyの内容や設定を変更する際に使用します。つまり、Nitrokeyを初期化した後は、このPINを頻繁に必要とすることはないでしょう(例えば、Nitrokey ProやNitrokey Storageのパスワードセーフに別のパスワードを追加したい場合など)。
管理者用暗証番号は、最大20桁の数字とその他の文字(アルファベットや特殊文字など)を使用することができます。しかし、管理者用暗証番号は3回間違えるとブロックされるため、8桁の暗証番号だけでも十分に安全です。デフォルトのPINは12345678です。
- Q: nitrokey-appとGnuPGを切り替えると、Nitrokey Storageがハングアップするのはなぜですか?
GnuPGとnitrokey-appは時々お互いに引き合う傾向があります。これは既知の問題で、NitrokeyをUSBスロットに再度挿入することで修正できます。
- Q: ファームウェアのPINは何のためのものですか?
ファームウェアのパスワードは、一般的なパスワードの推奨事項を満たしている必要があります(例:アルファベット、数字、特殊文字の使用、または十分に長いパスワードの使用)。ファームウェアパスワードは、Nitrokey Storageのファームウェアをアップデートするために必要です。アップデート方法については、こちらをご覧ください。
ファームウェアのパスワードは決してブロックされません。攻撃者がパスワードを推測しようとしても、その試行回数は無制限です。そのため、強力なパスワードを選択する必要があります。デフォルトのパスワードは12345678です。
- Q: 鍵は何本まで保存できますか?
Nitrokey Storageは、3つのRSAキーペアを保存できます。すべての鍵は同じIDを使用していますが、認証、暗号化、署名という異なる目的で使用されます。
- **Q:**暗号化や署名の速度はどのくらいですか?
50kiBのデータを暗号化。
256ビットAES、2048バイト/コマンド -> 880バイト/秒
128ビットAES、2048バイト/コマンド -> 893バイト/秒
256ビットAES、240バイト/コマンド -> 910バイト/秒
128ビットAES、240バイト/コマンド -> 930バイト/秒
スタート |
プロ+ストレージ |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
カーブ25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
ブレインプール 192 |
✓ |
✓ |
||||
ブレインプール 256-320 |
✓ |
✓ |
✓ |
|||
ブレインプール 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Nitrokey Storageにはセキュアチップが搭載されていますか、それとも通常のマイクロコントローラーですか?
Nitrokey Storageは、耐タンパー性のあるスマートカードを内蔵しています。
- Q: Nitrokey StorageはCommon CriteriaまたはFIPSの認証を受けていますか?
セキュリティコントローラ(NXPスマートカードコントローラP5CD081V1Aおよびその主要構成P5CC081V1A、P5CN081V1A、P5CD041V1A、P5CD021V1A、P5CD016V1A、各 IC 専用ソフトウェア) は、OS レベルまでコモンクライテリア EAL 5+ 認証を受けています (`認証レポート<https://commoncriteriaportal.org/files/epfiles/0555a_pdf.pdf>`__,`セキュリティターゲット<https://commoncriteriaportal.org/files/epfiles/0555b_pdf.pdf>`__,`メンテナンスレポート<https://commoncriteriaportal.org/files/epfiles/0555_ma1a_pdf.pdf>`__,`メンテナンス ST<https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__`)。さらに、`Cure53<https://cure53.de>`__ は、ハードウェア、ファームウェア、および Nitrokey App について、`独立セキュリティ監査<https://www.nitrokey.com/news/2015/nitrokey-storage-got-great-results-3rd-party-security-audit>`__ を実施しました。
- Q: Nitrokey StorageのTRNG(True Random Number Generator)を自分のアプリケーションに使うにはどうすればよいですか?
どちらのデバイスもOpenPGP Cardに対応しているので、scdrand は動作するはずです。このスクリプト`_は役に立つかもしれません。comio というユーザは `scdrand と TRNG をより一般的に使用するために systemd ファイル を作成しました。彼は Gentoo 用の ebuild も作成しました。
- **Q:**乱数発生器の性能はどうですか?
Nitrokey ProおよびNitrokey Storageでは、デバイス上での鍵の生成にTRNG(True Random Number Generator)を使用しています。TRNGによって生成されたエントロピーは、鍵の長さ全体に使用されます。このため、TRNGはBSI TR-03116に準拠しています。
TRNGは約40kbit/sを提供しています。
- **Q:**暗号化されたモバイルストレージを利用するにはどうすればよいですか?
暗号化されたモバイルストレージを使用する前に、Nitrokey Storageをインストールして初期化し、最新のNitrokeyアプリをダウンロードする必要があります。
Nitrokeyアプリを起動します。
トレイのアイコンを押して、メニューから「暗号化されたボリュームのロック解除」を選択します。
表示されたポップアップウィンドウにユーザーPINを入力してください。
これが初めての場合は、暗号化されたボリュームにパーティションを作成する必要があります。Windows は適切なウィンドウを開き、そのように指示します。Linux と Mac ではパーティションマネージャを開いて手動でパーティションを作成する必要があります。必要な数のパーティションを作成することができます。様々なOSからパーティションにアクセスしたい場合は、FAT(32)をお勧めします。
これで、暗号化されたボリュームを他の普通のUSBドライブと同じように使うことができます。しかし、そこに保存されたすべてのデータは、自動的にNitrokeyハードウェアで暗号化されます。
暗号化されたボリュームを削除またはロックするには、まずアンマウント/イジェクトする必要があります。
その後、Nitrokeyを切断するか、Nitrokeyアプリのメニューから"lock encrypted volume"を選択してください。
Nitrokey Storageは、隠しボリュームを作成することもできます。隠しボリュームについては、対応する説明書をご覧ください。
- Q: 隠しボリュームの使い方を教えてください。
隠しボリュームでは、暗号化されたボリューム内のデータを隠すことができます。データは追加のパスワードで保護されます。パスワードがなければ、データの存在を証明することはできません。隠しボリュームはデフォルトでは設定されていないので、その存在をもっともらしく否定することができます。VeraCrypt's/TrueCrypt'sの隠しボリュームとコンセプトは似ていますが、Nitrokey Storageでは、隠しボリュームの全機能がハードウェアで実装されています。
最大4つの隠しボリュームを設定することができます。ロックを解除すると、隠しボリュームは通常のストレージのように動作し、さまざまなパーティションやファイルシステムを作成して、好きなようにファイルを保存することができます。
隠しボリュームを設定した場合、暗号化されたストレージを使用することができなくなります。隠しボリュームは暗号化されたストレージの空き領域に存在するため、隠しボリュームのデータが上書きされる可能性があります。暗号化されたストレージでさえ、隠しボリュームがあることを "doesn't know"と言えるでしょう。一般的な構造は以下の図のようになっています。したがって、隠しボリュームを作成した後は、暗号化されたストレージに何も書き込まないようにしてください(ただし、最初にロックを解除する必要があります)。
隠しボリュームは、暗号化ボリュームというコンテナの中にあるコンテナのようなものです。