Kietojo disko šifravimas

„VeraCrypt“ (anksčiau „TrueCrypt“)

VeraCrypt yra nemokama atvirojo kodo disko šifravimo programinė įranga, skirta „Windows“, „MacOS“ ir „GNU+Linux“. Ji yra „TrueCrypt“ įpėdinė, todėl rekomenduojama, nors toliau pateikti nurodymai turėtų būti taikomi ir „TrueCrypt“.

Norėdami naudoti programą su „Nitrokey Storage 2“ arba „Nitrokey Pro 2“, atlikite šiuos veiksmus:

  1. Įdiekite naujausią OpenSC versiją arba atsisiųskite PKCS#11 biblioteką.

  2. Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g. /usr/lib/opensc).

  3. Sugeneruokite 64 baitų rakto failą naudodami Įrankiai>Rakto failų generatorius.

  4. Dabar turėtumėte turėti galimybę importuoti sugeneruotą rakto failą naudodami Tools>Manage Security Token Keyfiles. Turėtumėte pasirinkti pirmąjį lizdą ([0] User PIN). Tada rakto failas bus išsaugotas „Nitrokey“ kaip „Private Data Object 1“ (PrivDO1).

  5. Po to turėtumėte saugiai nuvalyti originalų rakto failą savo kompiuteryje!

  6. Dabar galite naudoti „VeraCrypt“ su „Nitrokey“: Sukurkite konteinerį, pasirinkite įrenginyje esantį rakto failą kaip alternatyvą slaptažodžiui.

Įspėjimas

Saugumo aspektas

Atkreipkite dėmesį, kad „VeraCrypt“ neišnaudoja visų „Nitrokey“ (ir apskritai lustinių kortelių) teikiamų saugumo priemonių. Vietoj to „Nitrokey“ kortelėje saugomas rakto failas, kurį teoriškai gali pavogti kompiuterinis virusas, naudotojui įvedus PIN kodą.

Pastaba: Aloaha Crypt remiasi TrueCrypt/VeraCrypt, tačiau be aprašyto saugumo apribojimo.

Kietojo disko šifravimas GNU+Linux sistemoje naudojant LUKS/dm-crypt

Norėdami nustatyti „LUKS“ disko šifravimą, vadovaukitės mūsų vadovu:

Purism sukūrė paprastą scenarijų, kad pridėtų „Nitrokey/LibremKey“ raktą kaip būdą atrakinti LUKS skaidinius (dar neišbandyta „Nitrokey“).

Šiuo projektu siekiama palengvinti LUKS naudojimą su „Nitrokey Pro“ arba Storage, pagrįsta slaptažodžių seifu (dar neišbandyta „Nitrokey“). Aprašymą, kaip ją naudoti „Gentoo“ sistemoje, rasite čia.

Arch Linux atveju žr. initramfs-scencrypt.

Saugyklos šifravimas GNU+Linux sistemoje naudojant EncFS

EncFS - tai lengvai naudojama šifruotų failų sistema, pagrįsta FUSE. Galite atlikti šiuos veiksmus, kad galėtumėte jį naudoti su labai ilgais slaptažodžiais ir „Nitrokey Pro 2“:

Inicializacija

  1. Sukurkite raktų failą su atsitiktiniais duomenimis:

    $ dd bs=64 count=1 if=/dev/urandom of=keyfile
    
  2. Užšifruokite rakto failą ir naudokite „Nitrokey“ naudotojo ID

    $ gpg --encrypt keyfile
    
  3. Pašalinkite rakto failą atviru tekstu:

    $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
    
  4. Sukurti prijungimo tašką:

    $ mkdir ~/.cryptdir ~/cryptdir
    
  5. Sukurkite faktinį šifravimo aplanką

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    # There may appears an error message about missing permission of fusermount
    # This message can be ignored
    
  6. Atjunkite naująją failų sistemą:

    $ fusermount -u ~/cryptdir
    

Naudojimas

  1. Prijunkite užšifruotą failų sistemą ir įveskite „Nitrokey“ PIN kodą:

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    
  2. Po naudojimo atjunkite failų sistemą:

    $ fusermount -u ~/cryptdir
    

Saugyklos šifravimas GNU+Linux sistemoje naudojant ECryptFS

eCryptfs yra failų pagrindu sukurta skaidri šifravimo failų sistema, skirta GNU+Linux, kurią galima naudoti su „Nitrokey“ naudojant PKCS#11 tvarkyklę.

Žr. šiuos nurodymus:

  1. Importuokite sertifikatą ir raktą į „Nitrokey

    # Warning: This will delete existing keys on your Nitrokey!
    $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
    
  2. Sukurkite failą ~/.ecryptfsrc.pkcs11:

    $ editor ~/.ecryptfsrc.pkcs11
    
  3. Įveskite šį turinį:

    $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
    $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
    Certificate
        DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
        Serial: 066E04
        Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
    
  4. Nukopijuokite serializuotą ID vėlesniam naudojimui:

    $ ecryptfs-manager
    # This will show list option. Choose option "Add public key to keyring"
    # Choose pkcs11-helper
    # Enter the serialized ID of step 3 to PKCS#11 ID.
    

Arba išbandykite ESOSI arba atlikite šiuos veiksmus naudodami „OpenSC“ ir „OpenVPN“.

Vadovo šaltinis: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption