Kietojo disko šifravimas#

(Nitrokey Pro 2 - Linux)

„VeraCrypt“ (anksčiau „TrueCrypt“)#

VeraCrypt yra nemokama atvirojo kodo disko šifravimo programinė įranga, skirta „Windows“, „MacOS“ ir „GNU+Linux“. Ji yra „TrueCrypt“ įpėdinė, todėl rekomenduojama, nors toliau pateikti nurodymai turėtų būti taikomi ir „TrueCrypt“.

Norėdami naudoti programą su „Nitrokey Storage 2“ arba „Nitrokey Pro 2“, atlikite šiuos veiksmus:

  1. Įdiekite naujausią OpenSC versiją arba atsisiųskite PKCS#11 biblioteką.

  2. Pasirinkite biblioteką „VeraCrypt“ dalyje Nustatymai>Nuostatos>Saugumo žetonas (vieta priklauso nuo sistemos, pvz., /usr/lib/opensc).

  3. Sugeneruokite 64 baitų rakto failą naudodami Įrankiai>Rakto failų generatorius.

  4. Dabar turėtumėte turėti galimybę importuoti sugeneruotą rakto failą naudodami Tools>Manage Security Token Keyfiles. Turėtumėte pasirinkti pirmąjį lizdą ([0] User PIN). Tada rakto failas bus išsaugotas „Nitrokey“ kaip „Private Data Object 1“ (PrivDO1).

  5. Po to turėtumėte saugiai nuvalyti originalų rakto failą savo kompiuteryje!

  6. Dabar galite naudoti „VeraCrypt“ su „Nitrokey“: Sukurkite konteinerį, pasirinkite įrenginyje esantį rakto failą kaip alternatyvą slaptažodžiui.

Įspėjimas

Saugumo aspektas

Atkreipkite dėmesį, kad „VeraCrypt“ neišnaudoja visų „Nitrokey“ (ir apskritai lustinių kortelių) teikiamų saugumo priemonių. Vietoj to „Nitrokey“ kortelėje saugomas rakto failas, kurį teoriškai gali pavogti kompiuterinis virusas, naudotojui įvedus PIN kodą.

Pastaba: Aloaha Crypt remiasi TrueCrypt/VeraCrypt, tačiau be aprašyto saugumo apribojimo.

Kietojo disko šifravimas GNU+Linux sistemoje naudojant LUKS/dm-crypt#

Štai nuostabios instrukcijos, kaip naudoti „Nitrokey“ kietajam diskui šifruoti GNU+Linux sistemoje naudojant LUKS/dm-crypt. Kitos instrukcijos.

Purism sukūrė paprastą scenarijų, kad pridėtų „Nitrokey/LibremKey“ raktą kaip būdą atrakinti LUKS skaidinius (dar neišbandyta „Nitrokey“).

Šiuo projektu siekiama palengvinti LUKS naudojimą su „Nitrokey Pro“ arba Storage, pagrįsta slaptažodžių seifu (dar neišbandyta „Nitrokey“). Aprašymą, kaip ją naudoti „Gentoo“ sistemoje, rasite čia.

Arch Linux atveju žr. initramfs-scencrypt.

Saugyklos šifravimas GNU+Linux sistemoje naudojant EncFS#

EncFS - tai lengvai naudojama šifruotų failų sistema, pagrįsta FUSE. Galite atlikti šiuos veiksmus, kad galėtumėte jį naudoti su labai ilgais slaptažodžiais ir „Nitrokey Pro 2“:

Inicializacija#

  1. Sukurkite raktų failą su atsitiktiniais duomenimis:

$ dd bs=64 count=1 if=/dev/urandom of=keyfile
  1. Užšifruokite rakto failą ir naudokite „Nitrokey“ naudotojo ID

$ gpg --encrypt keyfile
  1. Pašalinkite rakto failą atviru tekstu:

$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
  1. Sukurti prijungimo tašką:

$ mkdir ~/.cryptdir ~/cryptdir
  1. Sukurkite faktinį šifravimo aplanką

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
# There may appears an error message about missing permission of fusermount
# This message can be ignored
  1. Atjunkite naująją failų sistemą:

$ fusermount -u ~/cryptdir

Naudojimas#

  1. Prijunkite užšifruotą failų sistemą ir įveskite „Nitrokey“ PIN kodą:

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
  1. Po naudojimo atjunkite failų sistemą:

$ fusermount -u ~/cryptdir

Saugyklos šifravimas GNU+Linux sistemoje naudojant ECryptFS#

eCryptfs yra failų pagrindu sukurta skaidri šifravimo failų sistema, skirta GNU+Linux, kurią galima naudoti su „Nitrokey“ naudojant PKCS#11 tvarkyklę.

Žr. šiuos nurodymus:

  1. Importuokite sertifikatą ir raktą į „Nitrokey

# Warning: This will delete existing keys on your Nitrokey!
$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
  1. Sukurkite failą ~/.ecryptfsrc.pkcs11:

$ editor ~/.ecryptfsrc.pkcs11
  1. Įveskite šį turinį:

$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
$ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
Certificate
    DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
    Serial: 066E04
    Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
  1. Nukopijuokite serializuotą ID vėlesniam naudojimui:

$ ecryptfs-manager
# This will show list option. Choose option "Add public key to keyring"
# Choose pkcs11-helper
# Enter the serialized ID of step 3 to PKCS#11 ID.

Arba išbandykite ESOSI arba atlikite šiuos veiksmus naudodami „OpenSC“ ir „OpenVPN“.

Vadovo šaltinis: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption