Ubuntu

Verificatie van verzegelde hardware

If you have ordered the unit with the option “sealed screws and sealed bag”, please verify the sealing before unpacking. If you do not know what this means, skip this section.

Veilige startprocedure

With the NitroPad and NitroPC, malicious changes to the BIOS, operating system, and software can be easily detected. For example, if you left your NitroPad in a hotel room, you can use your Nitrokey to check if it has been tampered with while you were away. If an attacker modifies the NitroPad’s firmware or operating system, the Nitrokey will detect this (instructions below).

Each time you start the NitroPad or the NitroPC, you should - if possible - connect your Nitrokey. If the Nitrokey is plugged in and the system has not been modified, the following screen will appear when it is turned on.

img1

The box marked in red contains the information that the BIOS has not been changed and that the shared secret of the NitroPad or the NitroPC and the Nitrokey match. But this information is not sufficient, because an attacker could have faked it. If at the same time the Nitrokey also flashes green, everything is fine. An attacker would have to have had access to the NitroPad or NitroPC and Nitrokey to achieve this result. It is therefore important that you do not leave both devices unattended.

If the information on the NitroPad or NitroPC does not match the information on the Nitrokey, the background would turn red and the message “Invalid Code” would appear. This could indicate that manipulation has taken place.

img2

Hoe het opstartproces eruit kan zien als het systeem gewijzigd is (bijvoorbeeld na een update) en welke foutmeldingen er anders kunnen optreden, wordt hieronder verder beschreven.

Tip

The NitroPad and NitroPC can also be started without the Nitrokey. If you don’t have the Nitrokey with you, but are sure that the hardware has not been manipulated, you can boot your system without checking.

Workaround Ubuntu 24.04.

Er is een probleem (issue) dat voorkomt dat Ubuntu het luks decoderingsscherm toont als het wordt opgestart met heads. Het is er en je kunt je wachtwoord blind intypen, daarna start Ubuntu normaal op. Volg deze stappen:

  1. Hoofden starten. Als er niets gedaan hoeft te worden, start Ubuntu automatisch.

  2. Na een tijdje zie je een zwart scherm met witte letters op de laatste regels:

Locking TPM2 platform hierarchy...
Starting the new kernel

Deze regels geven aan dat Ubuntu wordt opgestart.

  1. Wacht 5 seconden en voer dan je wachtwoord in (“12345678” als je het voor de eerste keer start) gevolgd door Voer in.

  2. Nu zie je het normale Ubuntu-scherm. Wanneer je voor de eerste keer opstart, moet je de initiële configuratie voltooien.

Aan de slag

Na aankoop zijn de wachtwoorden ingesteld op een standaardwaarde en moeten door u worden gewijzigd:

  1. Druk op Enter (“Default Boot”) nadat het systeem is opgestart, mits de NitroPad geen fouten heeft vertoond en de Nitrokey groen brandt (zie hierboven).

  2. Vervolgens vraagt het systeem je om de wachtwoordzin in te voeren om de harde schijf te ontsleutelen. De wachtwoordzin is aanvankelijk “12345678”. Dit is gewijzigd op 10.04.2024, dus als “12345678” niet werkt, probeer dan de oude standaard: “PleaseChangeMe”.

    img3

  3. Het systeem zal u dan door het proces van het aanmaken van een gebruikersaccount leiden. Daarna zou u het systeem met succes moeten hebben opgestart en zou u het al normaal kunnen gebruiken.

  4. Open the pre-installed Nitrokey App and change the PINs of your Nitrokey. To learn more about how to change the PINs, please refer to chapter Change User and Admin PIN.

  5. Wijzig de wachtwoordzin voor schijfversleuteling. Meer informatie over het wijzigen van de wachtwoordzin voor schijfversleuteling vindt u in het hoofdstuk Wijzig wachtwoordzin voor schijfversleuteling. Deze wachtwoordzin is anders dan de wachtwoordzin van uw gebruikersaccount’s.

Gedrag na een systeemupdate

The NitroPad and NitroPC firmware checks certain system files for changes. If your operating system has updated important components, you will be warned the next time you boot the NitroPad or NitroPC. This could look like this, for example:

img4

That’s why it’s important to restart your NitroPad or your NitroPC under controlled conditions after a system update. Only when the new status has been confirmed can you leave the device unattended again. Otherwise, you will not be able to distinguish a possible attack from a system update. Detailed instructions for a system update can be found here.