ニトロキーストレージのよくある質問#

Nitrokey Storage 2は、基本的にNitrokey Pro 2に不揮発性(暗号化)ストレージを加えたものですので、 Nitrokey Pro 2 FAQ も一部適用されています。

**Q:**どのようなOSに対応していますか?

Windows、Linux、macOS。

Q: Nitrokeyはどのような用途に使用できますか?

サポートされているユースケースの概要については、`frontpage`_をご覧ください。

Q: デフォルトの暗証番号は何ですか?
  • ユーザーPIN: "123456"

  • 管理者用暗証番号: "12345678"

  • ファームウェアパスワード: "12345678"

Nitrokeyを使用する前に、これらのPIN/パスワードをユーザーが選んだ値に変更することを強くお勧めします。

**Q:***記憶容量はどのくらいですか?

Nitrokey Storageは、8GB、32GB、64GBのデータを保存、暗号化できます(モデルにより異なる)。

Q: 新しい Nitrokey Storage の暗号化されたストレージにアクセスできないのはなぜですか?

新しい Nitrokey Storage デバイスで、暗号化されたボリュームにアクセスする前に、まず Nitrokey アプリ内で "暗号化データを破棄する" を行ってください。

Q: PINの長さはどのくらいですか?

Nitrokeyは、パスワードの代わりにPINを使用します。主な違いは、ハードウェアが試行回数を3回に制限しているのに対し、パスワードには制限がないことです。このため、短い暗証番号でも安全であり、長くて複雑な暗証番号を選択する必要はありません。

Nitrokey Storage'のPINは最大20桁の長さで、数字、文字、特殊文字で構成することができます。注:GnuPGまたはOpenSCを使用する場合、32文字の長さのPINを使用できますが、Nitrokey Appではサポートされていません。

Q: ユーザーPINは何のためのものですか?

ユーザーPINは少なくとも6桁の長さで、Nitrokeyの保護領域にアクセスするために使用されます。このPINは、メッセージの復号化や暗号化されたストレージ(NKストレージのみ)のロック解除など、日常的によく使用するものです。

ユーザーPINは、最大20桁の数字とその他の文字(アルファベットや特殊文字など)を使用することができます。しかし、暗証番号を3回間違えるとブロックされるため、6桁の暗証番号だけでも十分に安全です。デフォルトのPINは123456です。

Q: Admin PINは何のためのものですか?

管理者用PINは少なくとも8桁の長さで、Nitrokeyの内容や設定を変更する際に使用します。つまり、Nitrokeyを初期化した後は、このPINを頻繁に必要とすることはないでしょう(例えば、Nitrokey ProやNitrokey Storageのパスワードセーフに別のパスワードを追加したい場合など)。

管理者用暗証番号は、最大20桁の数字とその他の文字(アルファベットや特殊文字など)を使用することができます。しかし、管理者用暗証番号は3回間違えるとブロックされるため、8桁の暗証番号だけでも十分に安全です。デフォルトのPINは12345678です。

Q: nitrokey-appとGnuPGを切り替えると、Nitrokey Proがハングアップするのはなぜですか?

GnuPGとnitrokey-appは時々お互いに引き合う傾向があります。これは既知の問題で、NitrokeyをUSBスロットに再度挿入することで修正できます。

Q: ファームウェアのPINは何のためにあるのですか?

ファームウェアのパスワードは、一般的なパスワードの推奨値(例:アルファベット、数字、特殊文字を使用する、十分な長さのパスワードを使用する)を満たしている必要があります。ファームウェアのパスワードは、Nitrokey Storage のファームウェアをアップデートするために必要です。アップデート手順については、こちらをご覧ください。

ファームウェアのパスワードがブロックされることはありません。攻撃者はパスワードを推測することができ、無制限に試行することができます。したがって、強力なパスワードを選択する必要があります。デフォルトのパスワードは12345678です。

**Q:**キーはいくつまで保存できますか?

Nitrokey Storageは、3つのRSAキーペアを保存することができます。すべての鍵は同じIDを使用しますが、認証、暗号化、署名という異なる目的で使用されます。

**Q:**暗号化や署名の速度はどのくらいですか?

50kiB分のデータを暗号化。

  • 256ビットAES、2048バイト/コマンド -> 880バイト/秒

  • 128ビットAES、2048バイト/コマンド -> 893バイト/秒

  • 256ビットAES、240バイト/コマンド -> 910バイト/秒

  • 128ビットAES、240バイト/コマンド -> 930バイト/秒

**Q:**どのようなアルゴリズムと最大鍵長に対応していますか?

次の表を参照してください。

スタート

プロ+ストレージ

Pro 2 + Storage 2

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

カーブ25519

NIST-P 192

NIST-P 256

NIST-P 384-521

ブレインプール 192

ブレインプール 256-320

ブレインプール 384-521

secp192

secp256

secp521

Q: Nitrokey Proにはセキュアチップが搭載されていますか、それとも通常のマイクロコントローラーですか?

Nitrokey Storageは、耐タンパー性のあるスマートカードを搭載しています。

Q: Nitrokey StorageはCommon CriteriaまたはFIPSの認証を取得していますか?

Cure53 は、ハードウェア、ファームウェア、および Nitrokey アプリに対して ` 独立したセキュリティ監査`_ を実施しました。セキュリティ コントローラーのハードウェアは Common Criteria 認証を受けています (Report; here, click "IC, Smart Cards and Smart Card-Related Devices and Systems".See the here, click "ICs, Smart Cards and Smart Cards-Related Devices and Systems".を参照)。NXP Smart Card Controller P5CD081V1A およびその主要構成である P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A, P5CD016V1A と IC 専用 Software") を検索してください。

Q: Nitrokey StorageのTRNG(True Random Number Generator)を自分のアプリケーションに使うにはどうすればよいですか?

どちらのデバイスもOpenPGP Cardに対応しているので、scdrand は動作するはずです。このスクリプト`_は役に立つかもしれません。comio というユーザは `scdrand と TRNG をより一般的に使用するために systemd ファイル を作成しました。彼は Gentoo 用の ebuild も作成しました。

**Q:**乱数発生器の性能はどうですか?

Nitrokey ProおよびNitrokey Storageでは、デバイス上での鍵の生成にTRNG(True Random Number Generator)を使用しています。TRNGによって生成されたエントロピーは、鍵の長さ全体に使用されます。このため、TRNGはBSI TR-03116に準拠しています。

TRNGは約40kbit/sを提供しています。

**Q:**暗号化モバイルストレージを利用するにはどうしたらよいですか?

暗号化モバイルストレージを利用する前に、Nitrokey Storageのインストールと初期化、および最新のNitrokeyアプリをダウンロードする必要があります。

  • Nitrokeyアプリを起動します。

  • トレイアイコンを押し、メニューから「暗号化ボリュームのロック解除」を選択してください。

  • 表示されたポップアップウィンドウにユーザーPINを入力します。

  • これが初めての場合、暗号化されたボリュームにパーティションを作成する必要があるかもしれません。Windows は適切なウィンドウを開き、そうするように指示します。Linux や Mac ではパーティションマネージャを開き、手動でパーティションを作成する必要があるかもし れません。必要な数のパーティションを作成することができます。様々なオペレーティングシステムからパーティションにアクセスしたい場合は、FAT(32)を推奨します。

  • これで、暗号化されたボリュームを、他の普通のUSBドライブと同じように使うことができます。しかし、その上に保存されているすべてのデータは、Nitrokeyハードウェアで自動的に暗号化されます。

  • 暗号化されたボリュームを削除またはロックするには、まずそれをアンマウント/イジェクトする必要があります。

  • その後、Nitrokeyを切断するか、Nitrokeyアプリのメニューから"暗号化ボリュームのロック"を選択してください。

Nitrokey Storage は、隠しボリュームを作成することも可能です。隠しボリュームの作成方法については、こちらをご覧ください。

Q: 隠しボリュームの使い方を教えてください。

ヒドゥンボリュームは、暗号化されたボリュームの中にデータを隠すことができます。データは追加のパスワードで保護されます。パスワードがなければ、データの存在を証明することはできません。隠しボリュームはデフォルトでは設定されていないため、その存在をもっともらしく否定することができます。コンセプトは VeraCrypt'/TrueCrypt' の隠しボリュームに似ていますが、Nitrokey Storage では隠しボリュームの全機能がハードウェアで実装されています。

最大4つの隠しボリュームを構成することができます。一度ロックを解除すると、隠しボリュームは通常のストレージのように動作し、様々なパーティションやファイルシステムを作成し、好きなようにファイルを保存することができます。

隠しボリュームを設定することにした場合、暗号化されたストレージを使用することができなくなります。隠しボリュームは暗号化されたストレージの空き領域にあるため、隠しボリュームのデータを上書きする可能性があります。暗号化されたストレージでさえ、隠しボリュームがあることを知らないのです。一般的な構造は下図のとおりです。したがって、隠しボリュームを作成した後は、暗号化されたストレージに何も書き込まないでください(ただし、最初にロックを解除する必要があります)。

隠しボリュームは、暗号化されたボリュームというコンテナの中にあるコンテナのようなものです。