Nitrokey Start, Linux#

  1. scdaemon と GnuPG 2.1 以上をパッケージマネージャでインストールします(例:Ubuntu では apt update && apt install scdaemon gnupg2).

  2. Nitrokeyをコンピューターに接続します。

  3. GnuPG を使用して、Generate new keys or Import existing ones を実行します。

注釈

まず、新しい鍵をインポートまたは作成し、その後にPINを変更する必要があります。そうしないと、ユーザーPINの変更に失敗してしまいます。さらに、キーを上書きすると、PINがリセットされます(デフォルト値)ので、ご注意ください。

  1. Admin PIN(デフォルト:12345678)とUser PIN(デフォルト:123456)を自分の好きなように変更してください。

    • 暗証番号は、少なくとも14文字(RTM.8から)で構成されていなければならず、任意の文字(数字だけでなく)を含むことができます。数字だけは選択しないでください。お使いの環境で許可されている場合は、絵文字や各国の文字を使用してください。

    • 暗証番号は、長ければ長いほどよい。また、ランダムに選択された6つの単語を使用することで、ランダムな文字列と同等以上のセキュリティを確保することも可能です。

    • gpg -card-edit' -> 'admin' -> 'passwd' を使って実現してください(Admin PINの場合)。

    • 管理者用PINを先に、ユーザー用PINを後に変更するように注意してください。そうしないと、管理者不在のモードが有効になってしまいます。詳しくは、this instructions を参照してください。

    • オプションでリセットコードを設定することができます(guide)。設定可能な文字数は8文字以上ですが、ユーザー暗証番号と同じ長さである必要があります。

    • KDF-DOでは、計算の一部をPCで実行することにより、最小8文字の短い暗証番号を実現しています。

ファームウェアのバージョンが1.2.5以下であること。PINを忘れたり、3回間違って入力した場合、PINのブロックを解除するためにリセットコードが必要です。そうでなければ、デバイスはもう使用できません!そのため、`set the reset code <https://www.fsij.org/doc-gnuk/gnuk-passphrase-setting.html>`__ **同様にキーを初期化するときに設定してください! **ファームウェアバージョン1.2.5以下:PINを忘れたり、3回間違って入力した場合、PINのブロックを解除するためにリセットコードが必要になります。

これでNitrokeyは使用可能です。

OpenPGPまたはS/MIMEによる鍵の作成#

電子メールの暗号化には、広く使われている2つの規格があります。OpenPGP/GnuPGは個人に人気がありますが、S/MIME/x.509は主に企業で使用されています。どちらを選ぶか迷った場合は、OpenPGPを使うとよいでしょう。

Nitrokeyで電子メールの暗号化にOpenPGPを使用する方法の詳細については、OpenPGP Email Encryption の章を参照してください。

Nitrokeyでメール暗号化にS/MIMEを使用する方法については、S/MIME Email Encryption の章を参照してください。

この機種では、Nitrokeyアプリは使用できませんのでご注意ください。

トラブルシューティング#

一部のGNU/Linuxシステムでは、NitrokeyデバイスのUDEVルールを手動で挿入する必要があります。上記の指示に従ったにもかかわらず、メッセージが表示された場合。

gpg: OpenPGP card not available: No such device

は、Nitrokey App をインストールするか、ターミナルで以下のコマンドを入力してUDEVルールをダウンロードし、インストールしてください。

wget https://raw.githubusercontent.com/Nitrokey/libnitrokey/master/data/41-nitrokey.rules
sudo mv 41-nitrokey.rules /etc/udev/rules.d/