Kietojo disko šifravimas¶
✓ |
⨯ |
⨯ |
⨯ |
✓ |
✓ |
✓ |
✓ |
„VeraCrypt“ (anksčiau „TrueCrypt“)¶
VeraCrypt yra nemokama atvirojo kodo disko šifravimo programinė įranga, skirta „Windows“, „MacOS“ ir „GNU+Linux“. Ji yra „TrueCrypt“ įpėdinė, todėl rekomenduojama, nors toliau pateikti nurodymai turėtų būti taikomi ir „TrueCrypt“.
Norėdami naudoti programą su „Nitrokey Storage 2“ arba „Nitrokey Pro 2“, atlikite šiuos veiksmus:
Įdiekite naujausią OpenSC versiją arba atsisiųskite PKCS#11 biblioteką.
Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g.
/usr/lib/opensc
).Sugeneruokite 64 baitų rakto failą naudodami Įrankiai>Rakto failų generatorius.
Dabar turėtumėte turėti galimybę importuoti sugeneruotą rakto failą naudodami Tools>Manage Security Token Keyfiles. Turėtumėte pasirinkti pirmąjį lizdą (
[0] User PIN
). Tada rakto failas bus išsaugotas „Nitrokey“ kaip „Private Data Object 1“ (PrivDO1
).Po to turėtumėte saugiai nuvalyti originalų rakto failą savo kompiuteryje!
Dabar galite naudoti „VeraCrypt“ su „Nitrokey“: Sukurkite konteinerį, pasirinkite įrenginyje esantį rakto failą kaip alternatyvą slaptažodžiui.
Įspėjimas
Saugumo aspektas
Atkreipkite dėmesį, kad „VeraCrypt“ neišnaudoja visų „Nitrokey“ (ir apskritai lustinių kortelių) teikiamų saugumo priemonių. Vietoj to „Nitrokey“ kortelėje saugomas rakto failas, kurį teoriškai gali pavogti kompiuterinis virusas, naudotojui įvedus PIN kodą.
Pastaba: Aloaha Crypt remiasi TrueCrypt/VeraCrypt, tačiau be aprašyto saugumo apribojimo.
Kietojo disko šifravimas GNU+Linux sistemoje naudojant LUKS/dm-crypt¶
Norėdami nustatyti „LUKS“ disko šifravimą, vadovaukitės mūsų vadovu:
Purism sukūrė paprastą scenarijų, kad pridėtų „Nitrokey/LibremKey“ raktą kaip būdą atrakinti LUKS skaidinius (dar neišbandyta „Nitrokey“).
Šiuo projektu siekiama palengvinti LUKS naudojimą su „Nitrokey Pro“ arba Storage, pagrįsta slaptažodžių seifu (dar neišbandyta „Nitrokey“). Aprašymą, kaip ją naudoti „Gentoo“ sistemoje, rasite čia.
Arch Linux atveju žr. initramfs-scencrypt.
Saugyklos šifravimas GNU+Linux sistemoje naudojant EncFS¶
Patarimas
Prielaida
Įsitikinkite, kad įdiegėte įrenginio tvarkyklę, pakeitėte numatytuosius PIN kodus ir sugeneravote arba importavote raktus su GnuPG.
EncFS - tai lengvai naudojama šifruotų failų sistema, pagrįsta FUSE. Galite atlikti šiuos veiksmus, kad galėtumėte jį naudoti su labai ilgais slaptažodžiais ir „Nitrokey Pro 2“:
Inicializacija¶
Sukurkite raktų failą su atsitiktiniais duomenimis:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Užšifruokite rakto failą ir naudokite „Nitrokey“ naudotojo ID
$ gpg --encrypt keyfile
Pašalinkite rakto failą atviru tekstu:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Sukurti prijungimo tašką:
$ mkdir ~/.cryptdir ~/cryptdir
Sukurkite faktinį šifravimo aplanką
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Atjunkite naująją failų sistemą:
$ fusermount -u ~/cryptdir
Naudojimas¶
Prijunkite užšifruotą failų sistemą ir įveskite „Nitrokey“ PIN kodą:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
Po naudojimo atjunkite failų sistemą:
$ fusermount -u ~/cryptdir
Saugyklos šifravimas GNU+Linux sistemoje naudojant ECryptFS¶
eCryptfs yra failų pagrindu sukurta skaidri šifravimo failų sistema, skirta GNU+Linux, kurią galima naudoti su „Nitrokey“ naudojant PKCS#11 tvarkyklę.
Žr. šiuos nurodymus:
Importuokite sertifikatą ir raktą į „Nitrokey
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Sukurkite failą ~/.ecryptfsrc.pkcs11:
$ editor ~/.ecryptfsrc.pkcs11
Įveskite šį turinį:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Nukopijuokite serializuotą ID vėlesniam naudojimui:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
Arba išbandykite ESOSI arba atlikite šiuos veiksmus naudodami „OpenSC“ ir „OpenVPN“.
Vadovo šaltinis: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption