„Nitrokey“ Storage DUK#

Kadangi „Nitrokey Storage 2“ iš esmės yra „Nitrokey Pro 2“ su nelanksčiąja (užšifruota) Storage, iš dalies taikomas ir DUK apie „Nitrokey Pro 2“.

Q: Kokios operacinės sistemos palaikomos?

„Windows“, „Linux“ ir „MacOS“.

Q: Kam galiu naudoti „Nitrokey“?

See the overview of supported use cases.

Q: Kokie yra numatytieji PIN kodai?
  • Vartotojo PIN kodas: „123456“

  • Administratoriaus PIN kodas: „12345678“

  • Firmware slaptažodis: „12345678“

Primygtinai rekomenduojame prieš naudojant „Nitrokey“ pakeisti šiuos PIN kodus ir slaptažodžius į naudotojo pasirinktas vertes.

Q: Kokios talpos yra Storage?

„Nitrokey“ saugykloje galima saugoti ir užšifruoti 8, 32 arba 64 GB duomenų (priklausomai nuo konkretaus modelio).

Q: Kodėl negaliu pasiekti užšifruotos saugyklos naujoje „Nitrokey“ saugykloje?

Naujame „Nitrokey“ saugyklos įrenginyje, prieš pasiekdami užšifruotą tomą, pirmiausia įsitikinkite, kad „Nitrokey“ programėlėje sunaikinote užšifruotus duomenis.

Q: Koks yra didžiausias PIN kodo ilgis?

„Nitrokey“ vietoj slaptažodžių naudoja PIN kodus. Pagrindinis skirtumas yra tas, kad techninė įranga riboja bandymų skaičių iki trijų, o slaptažodžiams tokio apribojimo nėra. Dėl šios priežasties trumpas PIN kodas vis tiek yra saugus ir nereikia rinktis ilgo ir sudėtingo PIN kodo.

„Nitrokey Storage‘ PIN kodai gali būti iki 20 skaitmenų ilgio, juos gali sudaryti skaičiai, simboliai ir specialieji ženklai. Pastaba: naudojant „GnuPG“ arba „OpenSC“, galima naudoti 32 simbolių ilgio PIN kodus, tačiau „Nitrokey App“ jų nepalaiko.

Q: Kam skirtas naudotojo PIN kodas?

Naudotojo PIN kodas yra ne trumpesnis kaip 6 skaitmenų ir naudojamas prieigai prie „Nitrokey“ kontakto gauti. Šį PIN kodą dažnai naudosite kasdien, pvz., dešifruodami pranešimus, atrakindami užšifruotą saugyklą (tik NK saugykloje) ir t. t.

Vartotojo PIN kodą gali sudaryti iki 20 skaitmenų ir kitų simbolių (pvz., raidžių ir specialiųjų simbolių). Tačiau kadangi naudotojo PIN užblokuojamas, kai tik atliekami trys neteisingi PIN bandymai, pakankamai saugu turėti tik 6 skaitmenų PIN. Numatytasis PIN kodas yra 123456.

Q: Kam skirtas administratoriaus PIN kodas?

Administratoriaus PIN kodas yra bent 8 skaitmenų ilgio ir naudojamas norint pakeisti „Nitrokey“ turinį ir nustatymus. Tai reiškia, kad po „Nitrokey“ inicializavimo šio PIN kodo tikriausiai neprireiks per dažnai (pvz., jei norėsite į „Nitrokey Pro“ arba „Nitrokey Storage“ slaptažodžių seifą įtraukti kitą slaptažodį).

Administratoriaus PIN kodą gali sudaryti iki 20 skaitmenų ir kitų simbolių (pvz., raidžių ir specialiųjų simbolių). Tačiau, kadangi administratoriaus PIN užblokuojamas, kai tik tris kartus neteisingai bandoma įvesti PIN, pakankamai saugu turėti tik 8 skaitmenų PIN. Numatytasis PIN kodas yra 12345678.

Q: Kodėl mano „Nitrokey“ Storage pakimba perjungiant nitrokey-app ir GnuPG?

„GnuPG“ ir „nitrokey-app“ kartais yra linkusios viena kitą pažeisti. Tai žinoma problema, kurią galima išspręsti iš naujo įdėjus „Nitrokey“ į USB lizdą.

Q: Kam skirtas programinės įrangos PIN kodas?

Programinės įrangos slaptažodis turėtų atitikti bendrąsias slaptažodžių rekomendacijas (pvz., naudoti abėcėlės simbolius, skaitmenis ir specialiuosius ženklus arba pakankamai ilgą slaptažodį). Programinės įrangos slaptažodis reikalingas norint atnaujinti „Nitrokey Storage“ programinę įrangą. Išsamesnes atnaujinimo proceso instrukcijas rasite čia.

Programinės įrangos slaptažodis niekada neužblokuojamas. Užpuolikas galėtų bandyti atspėti slaptažodį ir turėtų neribotą skaičių bandymų. Todėl turite pasirinkti stiprų slaptažodį. Numatytasis slaptažodis yra 12345678.

Q: Kiek raktų galima saugoti?

„Nitrokey“ saugykloje galima saugoti tris RSA raktų poras. Visi raktai naudoja tą pačią tapatybę, tačiau naudojami skirtingais tikslais: autentiškumo nustatymui, šifravimui ir pasirašymui.

Q: Kaip greitai šifruojama ir pasirašoma?

50kiB duomenų šifravimas:

  • 256 bitų AES, 2048 baitai vienai komandai -> 880 baitų per sekundę

  • 128 bitų AES, 2048 baitai vienai komandai -> 893 baitai per sekundę

  • 256 bitų AES, 240 baitų vienai komandai -> 910 baitų per sekundę

  • 128 bitų AES, 240 baitų vienai komandai -> 930 baitų per sekundę

Q: Kokie algoritmai ir didžiausias rakto ilgis yra palaikomi?

Žr. šią lentelę:

Pradžia

„Pro + Storage

„Pro 2“ + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

kreivė25519

NIST-P 192

NIST-P 256

NIST-P 384-521

„Brainpool“ 192

„Brainpool“ 256-320

„Brainpool“ 384-521

Secp192

Secp256

Secp521

Klausimas: Ar „Nitrokey“ saugykloje yra saugi mikroschema, ar tik įprastas mikrovaldiklis?

„Nitrokey“ saugykloje yra nuo klastojimo atspari išmanioji kortelė.

Q: Ar „Nitrokey“ Storage yra sertifikuota pagal Bendruosius kriterijus arba FIPS?

Apsaugos valdiklis (NXP išmaniųjų kortelių valdiklis P5CD081V1A ir jo pagrindinės konfigūracijos P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A ir P5CD016V1A, kiekviena su IC skirta programine įranga) yra sertifikuota pagal „Common Criteria EAL 5+“ iki OS lygio (Sertifikavimo ataskaita, Saugumo tikslas, Techninės priežiūros ataskaita, Techninės priežiūros ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Be to, Cure53 atliko nepriklausomą techninės įrangos, programinės įrangos ir „Nitrokey App“ __ saugumo auditą.

Q: Kaip galiu naudoti „Nitrokey“ saugyklos atsitiktinių skaičių generatorių (TRNG) savo programoms?

Abu įrenginiai suderinami su „OpenPGP“ kortele, todėl scdrand turėtų veikti. Šis skriptas gali būti naudingas. Vartotojas comio sukūrė systemd failą, kad galėtų naudoti scdrand, taigi ir TRNG apskritai. Jis taip pat sukūrė „Gentoo“ skirtą failą.

Q: Kaip gerai veikia atsitiktinių skaičių generatorius?

„Nitrokey Pro“ ir „Nitrokey Storage“ raktams generuoti įrenginyje naudojamas tikrų atsitiktinių skaičių generatorius (TRNG). TRNG generuojama entropija naudojama visam rakto ilgiui. Todėl TRNG atitinka BSI TR-03116.

TRNG užtikrina apie 40 kbit/s spartą.

Q: Kaip galiu naudotis užšifruota mobiliąja Storage?

Prieš pradėdami naudoti šifruotą mobiliąją saugyklą, turite įdiegti ir inicijuoti „Nitrokey“ saugyklą ir atsisiųsti naujausią „Nitrokey“ programėlę.

  • Paleiskite programėlę „Nitrokey“.

  • Paspauskite jo dėklo piktogramą ir meniu pasirinkite „atrakinti užšifruotą tomą“.

  • Pasirodžiusiame iššokančiame lange įveskite naudotojo PIN kodą.

  • Jei tai pirmas kartas, užšifruotame tome gali tekti sukurti skirsnį. Sistema „Windows“ atidarys atitinkamą langą ir paprašys tai padaryti. Naudojant „Linux“ ir „Mac“ gali tekti atidaryti skirsnių tvarkyklę ir sukurti skirsnį rankiniu būdu. Galite sukurti tiek skirsnių, kiek norite. Rekomenduojame naudoti FAT(32), jei norite pasiekti skaidinį iš įvairių operacinių sistemų.

  • Dabar užšifruotą tomą galite naudoti kaip ir bet kurį kitą įprastą USB diską. Tačiau visi jame saugomi duomenys bus automatiškai užšifruoti „Nitrokey“ aparatinėje įrangoje.

  • Norėdami pašalinti arba užrakinti užšifruotą tomą, pirmiausia turėtumėte jį atjungti arba išstumti.

  • Po to galite atjungti „Nitrokey“ arba „Nitrokey“ programėlės meniu pasirinkti „užrakinti užšifruotą tomą“.

„Nitrokey“ Storage taip pat gali kurti paslėptus tomus. Peržiūrėkite atitinkamas instrukcijas apie paslėptus tomus.

Q: Kaip naudoti paslėptą garsą?

Paslėpti tomai leidžia paslėpti duomenis užšifruotame tome. Duomenys apsaugomi papildomu slaptažodžiu. Be slaptažodžio negalima įrodyti, kad duomenys egzistuoja. Paslėpti tomai pagal nutylėjimą nėra nustatyti taip, kad būtų galima įtikinamai paneigti jų egzistavimą. Koncepcija panaši į „VeraCrypt’s/TrueCrypt’s“ paslėpto tomo koncepciją, tačiau „Nitrokey Storage“ sistemoje visas paslėptų tomų funkcionalumas įgyvendintas aparatinėje įrangoje.

Galite sukonfigūruoti iki keturių paslėptų tomų. Atrakinti paslėpti tomai veikia kaip įprasta Storage, kurioje galite kurti įvairius skirsnius, failų sistemas ir saugoti failus, kaip tik norite.

Jei nuspręsite sukonfigūruoti paslėptus tomus, nebegalėsite naudoti užšifruotos saugyklos. Kadangi paslėptasis tomas yra laisvoje užšifruotos saugyklos vietoje, gali būti, kad paslėptajame tūryje esantys duomenys bus perrašyti. Galima sakyti, net užšifruota Storage „nežino“, kad yra paslėptas tomas. Bendra struktūra parodyta toliau pateiktoje schemoje. Todėl, sukūrę paslėptąjį tomą, į užšifruotąją saugyklą nieko neįrašykite (vis dėlto pirmiausia turite ją atrakinti).

Paslėpti tomai yra tarsi konteineriai konteinerio viduje - užšifruotame tome.