Kietojo disko šifravimas

Compatible Nitrokeys
3A/C/Mini	Passkey	HSM 2	Pro 2	FIDO2	Storage 2	Start	U2F
✓ active	⨯ inactive	✓ active	✓ active	⨯ inactive	✓ active	✓ active	⨯ inactive

„VeraCrypt“ (anksčiau „TrueCrypt“)

VeraCrypt yra nemokama atvirojo kodo disko šifravimo programinė įranga, skirta „Windows“, „MacOS“ ir „GNU+Linux“. Ji yra „TrueCrypt“ įpėdinė, todėl rekomenduojama, nors toliau pateikti nurodymai turėtų būti taikomi ir „TrueCrypt“.

Norėdami naudoti programą su „Nitrokey Storage 2“ arba „Nitrokey Pro 2“, atlikite šiuos veiksmus:

1. Įdiekite naujausią OpenSC versiją arba atsisiųskite PKCS#11 biblioteką.

2. Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g. /usr/lib/opensc).

3. Sugeneruokite 64 baitų rakto failą naudodami Įrankiai>Rakto failų generatorius.

4. Dabar turėtumėte turėti galimybę importuoti sugeneruotą rakto failą naudodami Tools>Manage Security Token Keyfiles. Turėtumėte pasirinkti pirmąjį lizdą ([0] User PIN). Tada rakto failas bus išsaugotas „Nitrokey“ kaip „Private Data Object 1“ (PrivDO1).

5. Po to turėtumėte saugiai nuvalyti originalų rakto failą savo kompiuteryje!

6. Dabar galite naudoti „VeraCrypt“ su „Nitrokey“: Sukurkite konteinerį, pasirinkite įrenginyje esantį rakto failą kaip alternatyvą slaptažodžiui.

Įspėjimas

Saugumo aspektas

Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.

Pastaba: Aloaha Crypt remiasi TrueCrypt/VeraCrypt, tačiau be aprašyto saugumo apribojimo.

Kietojo disko šifravimas GNU+Linux sistemoje naudojant LUKS/dm-crypt

Norėdami nustatyti „LUKS“ disko šifravimą, vadovaukitės mūsų vadovu:

• Viso disko šifravimas naudojant "cryptsetup/LUKS

Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).

Šiuo projektu siekiama palengvinti LUKS naudojimą su „Nitrokey Pro“ arba Storage, pagrįsta slaptažodžių seifu (dar neišbandyta „Nitrokey“). Aprašymą, kaip ją naudoti „Gentoo“ sistemoje, rasite čia.

Arch Linux atveju žr. initramfs-scencrypt.

Saugyklos šifravimas GNU+Linux sistemoje naudojant EncFS

Patarimas

Prielaida

Įsitikinkite, kad įdiegėte įrenginio tvarkyklę, pakeitėte numatytuosius PIN kodus ir sugeneravote arba importavote raktus su GnuPG.

EncFS - tai lengvai naudojama šifruotų failų sistema, pagrįsta FUSE. Galite atlikti šiuos veiksmus, kad galėtumėte jį naudoti su labai ilgais slaptažodžiais ir „Nitrokey Pro 2“:

Inicializacija

1. Sukurkite raktų failą su atsitiktiniais duomenimis:

   $ dd bs=64 count=1 if=/dev/urandom of=keyfile
   

2. Užšifruokite rakto failą ir naudokite „Nitrokey“ naudotojo ID

   $ gpg --encrypt keyfile
   

3. Pašalinkite rakto failą atviru tekstu:

   $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
   

4. Sukurti prijungimo tašką:

   $ mkdir ~/.cryptdir ~/cryptdir
   

5. Sukurkite faktinį šifravimo aplanką

   $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
   # There may appears an error message about missing permission of fusermount
   # This message can be ignored
   

6. Atjunkite naująją failų sistemą:

   $ fusermount -u ~/cryptdir
   

Naudojimas

1. Prijunkite užšifruotą failų sistemą ir įveskite „Nitrokey“ PIN kodą:

   $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
   

2. Po naudojimo atjunkite failų sistemą:

   $ fusermount -u ~/cryptdir
   

Saugyklos šifravimas GNU+Linux sistemoje naudojant ECryptFS

eCryptfs yra failų pagrindu sukurta skaidri šifravimo failų sistema, skirta GNU+Linux, kurią galima naudoti su „Nitrokey“ naudojant PKCS#11 tvarkyklę.

Žr. šiuos nurodymus:

1. Importuokite sertifikatą ir raktą į „Nitrokey

   # Warning: This will delete existing keys on your Nitrokey!
   $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
   

2. Sukurkite failą ~/.ecryptfsrc.pkcs11:

   $ editor ~/.ecryptfsrc.pkcs11
   

3. Įveskite šį turinį:

   $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
   $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
   Certificate
       DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
       Serial: 066E04
       Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
   

4. Nukopijuokite serializuotą ID vėlesniam naudojimui:

   $ ecryptfs-manager
   # This will show list option. Choose option "Add public key to keyring"
   # Choose pkcs11-helper
   # Enter the serialized ID of step 3 to PKCS#11 ID.
   

Arba išbandykite ESOSI arba atlikite šiuos veiksmus naudodami „OpenSC“ ir „OpenVPN“.

Vadovo šaltinis: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption