Ubuntu Linuxを搭載したNitroPad#
NitroPadを使えば、BIOSやOS、ソフトウェアへの悪意のある変更を簡単に検知することができます。例えば、NitroPadをホテルの部屋に置いてきた場合、留守中に改ざんされていないかどうかをNitrokeyで確認することができます。攻撃者がNitroPadのファームウェアやオペレーティングシステムを変更した場合、Nitrokeyがこれを検知します(以下の手順)。
密封されたハードウェアの検証#
`封印されたネジと封印された袋 "のオプションでユニットを注文された場合、開梱前に<sealed-hardware.html>`_ をご確認ください。この意味がわからない場合は、このセクションを読み飛ばしてください。
確実な起動手順#
NitroPadを使えば、BIOSやOS、ソフトウェアへの悪意のある変更を簡単に検知することができます。例えば、NitroPadをホテルの部屋に置いてきた場合、留守中に改ざんされていないかどうかをNitrokeyで確認することができます。攻撃者がNitroPadのファームウェアやオペレーティングシステムを変更した場合、Nitrokeyがこれを検知します(以下の手順)。
NitroPadを起動するたびに、可能であればNitrokeyを接続してください。Nitrokeyが接続され、システムが変更されていない場合、NitroPadの電源を入れると次のような画面が表示されます。
赤色で表示されたボックスには、BIOSが変更されていないことと、NitroPadとNitrokeyの共有秘密が一致しているという情報が入っています。しかし、この情報だけでは十分ではありません。なぜなら、攻撃者はこれを偽造することができるからです。同時にNitrokeyも緑に点滅していれば、すべては問題ありません。攻撃者がこの結果を得るためには、NitroPadとNitrokeyにアクセスする必要があります。したがって、両方のデバイスを放置しないようにすることが重要です。
NitroPadの情報とNitrokeyの情報が一致しない場合、背景が赤くなり、「Invalid Code」というメッセージが表示されます。これは、操作が行われたことを示す可能性がある。
システムが変更された場合(アップデート後など)のブートプロセスの様子や、エラーメッセージの内容については後述します。
ちなみに
NitroPadは、Nitrokeyがなくても起動できます。Nitrokeyが手元になくても、ハードウェアが操作されていないことが確認できれば、確認せずにシステムを起動することができます。
回避策 Ubuntu 24.04。#
headsで起動した場合、Ubuntuがluks復号化画面を表示しないようにする(`issue<https://github.com/linuxboot/heads/issues/1641>`__)問題があります。そのため、やみくもにパスワードを入力すると、Ubuntuが正常に起動します。以下の手順に従ってください:
ヘッドが起動します。何もする必要がなければ、Ubuntuが自動的に起動する。
しばらくすると、最後の行に白い文字が書かれた黒い画面が表示される:
Locking TPM2 platform hierarchy...
Starting the new kernel
これらの行は、Ubuntuが起動していることを示している。
5秒待つ その後、パスワード (初めて起動する場合は「12345678」)を入力し、続いて**Enter** を入力する。
これで通常のUbuntuの画面が表示されます。初めて起動するときは、初期設定を完了させる必要があります。
はじめに#
購入後、パスワードは初期値に設定されており、お客様ご自身で変更していただく必要があります。
システムを起動した後、NitroPadにエラーが表示されず、Nitrokeyが緑色に点灯していれば、Enterキー(「デフォルトブート」)を押してください(上記参照)。
次に、ハードディスクを復号化するためのパスフレーズを入力するよう促されます。パスフレーズは最初は「12345678」です。これは10.04.2024で変更されたので、もし "12345678 "が使えない場合は、以前のデフォルトである "PleaseChangeMe "を試してみてください。
その後、システムがユーザーアカウントの作成プロセスを案内してくれます。その後、システムの起動に成功し、通常通り使用できるようになります。
プリインストールされているNitrokeyアプリを起動し、NitrokeyのPINを変更します。PINの変更方法については、Change User and Admin PIN の章を参照してください。
ディスク暗号化のパスフレーズを変更します。ディスク暗号化のパスフレーズを変更する方法については、Change Disk Encryption Passphrase の章を参照してください。このパスフレーズは、あなたのユーザーアカウントのパスフレーズとは別のものです。
システムアップデート後の動作について#
NitroPadのファームウェアは、特定のシステムファイルの変更をチェックします。オペレーティングシステムが重要なコンポーネントを更新した場合は、次回NitroPadを起動したときに警告が表示されます。これは、例えば次のようなものです。
そのため、システム更新後は、管理された状態で NitroPad を再起動することが重要です。新しい状態が確認できて初めて、デバイスを再び無人にすることができます。そうでなければ、攻撃の可能性とシステム更新を区別することができなくなります。システム アップデートの詳細な手順は、system-update.html に記載されています。