Kietojo disko šifravimas¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
„VeraCrypt“ (anksčiau „TrueCrypt“)¶
VeraCrypt yra nemokama atvirojo kodo disko šifravimo programinė įranga, skirta „Windows“, „MacOS“ ir „GNU+Linux“. Ji yra „TrueCrypt“ įpėdinė, todėl rekomenduojama, nors toliau pateikti nurodymai turėtų būti taikomi ir „TrueCrypt“.
Follow these steps to use the program with Nitrokey Storage 2 or Nitrokey Pro 2:
Įdiekite naujausią OpenSC versiją arba atsisiųskite PKCS#11 biblioteką.
Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g.
/usr/lib/opensc).Sugeneruokite 64 baitų rakto failą naudodami Įrankiai>Rakto failų generatorius.
Now you should be able to import the generated key file via Tools>Manage Security Token Keyfiles. You should choose the first Slot (
[0] User PIN). The keyfile is then stored on the Nitrokey as Private Data Object 1 (PrivDO1).Po to turėtumėte saugiai nuvalyti originalų rakto failą savo kompiuteryje!
Dabar galite naudoti „VeraCrypt“ su „Nitrokey“: Sukurkite konteinerį, pasirinkite įrenginyje esantį rakto failą kaip alternatyvą slaptažodžiui.
Įspėjimas
Saugumo aspektas
Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.
Kietojo disko šifravimas GNU+Linux sistemoje naudojant LUKS/dm-crypt¶
Norėdami nustatyti „LUKS“ disko šifravimą, vadovaukitės mūsų vadovu:
Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).
Šiuo projektu siekiama palengvinti LUKS naudojimą su „Nitrokey Pro“ arba Storage, pagrįsta slaptažodžių seifu (dar neišbandyta „Nitrokey“). Aprašymą, kaip ją naudoti „Gentoo“ sistemoje, rasite čia.
Arch Linux atveju žr. initramfs-scencrypt.
Saugyklos šifravimas GNU+Linux sistemoje naudojant EncFS¶
Patarimas
Prielaida
Įsitikinkite, kad įdiegėte įrenginio tvarkyklę, pakeitėte numatytuosius PIN kodus ir sugeneravote arba importavote raktus su GnuPG.
EncFS is an easy to utlity for encrypted file systems and it is based on FUSE. You may follow these steps to use it with very long passwords and Nitrokey Pro 2.
Inicializacija¶
Sukurkite raktų failą su atsitiktiniais duomenimis:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Užšifruokite rakto failą ir naudokite „Nitrokey“ naudotojo ID
$ gpg --encrypt keyfile
Pašalinkite rakto failą atviru tekstu:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Sukurti prijungimo tašką:
$ mkdir ~/.cryptdir ~/cryptdir
Sukurkite faktinį šifravimo aplanką
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Atjunkite naująją failų sistemą:
$ fusermount -u ~/cryptdir
Naudojimas¶
Prijunkite užšifruotą failų sistemą ir įveskite „Nitrokey“ PIN kodą:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
Po naudojimo atjunkite failų sistemą:
$ fusermount -u ~/cryptdir
Saugyklos šifravimas GNU+Linux sistemoje naudojant ECryptFS¶
eCryptfs yra failų pagrindu sukurta skaidri šifravimo failų sistema, skirta GNU+Linux, kurią galima naudoti su „Nitrokey“ naudojant PKCS#11 tvarkyklę.
Žr. šiuos nurodymus:
Importuokite sertifikatą ir raktą į „Nitrokey
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Sukurkite failą ~/.ecryptfsrc.pkcs11:
$ editor ~/.ecryptfsrc.pkcs11
Įveskite šį turinį:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Nukopijuokite serializuotą ID vėlesniam naudojimui:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
Arba išbandykite ESOSI arba atlikite šiuos veiksmus naudodami „OpenSC“ ir „OpenVPN“.
Vadovo šaltinis: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption