NitroPad met Qubes OS

Met de NitroPad kunnen kwaadwillige wijzigingen in het BIOS, het besturingssysteem en de software gemakkelijk worden opgespoord. Als u uw NitroPad bijvoorbeeld in een hotelkamer hebt achtergelaten, kunt u de Nitrokey gebruiken om te controleren of er tijdens uw afwezigheid met het apparaat is geknoeid. Als een aanvaller de firmware of het besturingssysteem van de NitroPad wijzigt, zal de Nitrokey dit detecteren (instructies hieronder).

Verificatie van verzegelde hardware

Als u het toestel besteld hebt met de optie “verzegelde schroeven en verzegelde zak”, controleer dan `de verzegeling <sealed-hardware.html>`_voor u het toestel uitpakt. Als u niet weet wat dit betekent, sla dit gedeelte dan over.

Veilige startprocedure

Met de NitroPad kunnen kwaadwillige wijzigingen in het BIOS, het besturingssysteem en de software gemakkelijk worden opgespoord. Als u uw NitroPad bijvoorbeeld in een hotelkamer hebt achtergelaten, kunt u de Nitrokey gebruiken om te controleren of er tijdens uw afwezigheid met het apparaat is geknoeid. Als een aanvaller de firmware of het besturingssysteem van de NitroPad wijzigt, zal de Nitrokey dit detecteren (instructies hieronder).

Telkens als je de NitroPad opstart, moet je - indien mogelijk - je Nitrokey aansluiten. Als de Nitrokey is aangesloten en het systeem is niet gewijzigd, zal het volgende scherm verschijnen wanneer de NitroPad wordt aangezet.

img1

Het rood gemarkeerde vakje bevat de informatie dat het BIOS niet is gewijzigd en dat het gedeelde geheim van de NitroPad en de Nitrokey overeenkomen. Maar deze informatie is niet voldoende, omdat een aanvaller deze zou kunnen hebben vervalst. Als op hetzelfde moment de Nitrokey ook groen knippert, is alles in orde. Een aanvaller zou toegang tot de NitroPad en de Nitrokey moeten hebben gehad om dit resultaat te bereiken. Het is daarom belangrijk dat u beide apparaten niet onbeheerd achterlaat.

Als de informatie op de NitroPad niet overeenkomt met de informatie op de Nitrokey, wordt de achtergrond rood en verschijnt het bericht “Ongeldige Code”. Dit kan erop wijzen dat er manipulatie heeft plaatsgevonden.

img2

Hoe het opstartproces eruit kan zien als het systeem gewijzigd is (bijvoorbeeld na een update) en welke foutmeldingen er anders kunnen optreden, wordt hieronder verder beschreven.

Tip

De NitroPad kan ook zonder de Nitrokey worden opgestart. Als je de Nitrokey niet bij je hebt, maar er zeker van bent dat de hardware niet gemanipuleerd is, kun je je systeem opstarten zonder dit te controleren.

Aan de slag

Na aankoop zijn de wachtwoorden ingesteld op een standaardwaarde en moeten door u worden gewijzigd:

  1. Druk op Enter (“Default Boot”) nadat het systeem is opgestart, mits de NitroPad geen fouten heeft vertoond en de Nitrokey groen brandt (zie hierboven).

  2. Vervolgens vraagt het systeem je om de wachtwoordzin in te voeren om de harde schijf te ontsleutelen. De wachtwoordzin is aanvankelijk “12345678”. Dit is gewijzigd op 15.01.2024, dus als “12345678” niet werkt, probeer dan de oude standaard: “PleaseChangeMe”.

    img3
  3. Het systeem zal u dan door het proces van het aanmaken van een gebruikersaccount leiden. Daarna zou u het systeem met succes moeten hebben opgestart en zou u het al normaal kunnen gebruiken.

  4. Open de vooraf geïnstalleerde Nitrokey-app en wijzig de PIN-code van uw Nitrokey zoals hier beschreven.

  5. Verander de wachtwoordzin voor de codering van de harde schijf door in het Qubes Menu te zoeken naar “Change Disk Passwort”. Deze wachtwoordzin is anders dan de wachtwoordzin van uw gebruikersaccount.

    Wachtwoord wijzigen Qubes Afbeelding

Gedrag na een systeemupdate

De NitroPad firmware controleert bepaalde systeembestanden op wijzigingen. Als uw besturingssysteem belangrijke onderdelen heeft bijgewerkt, wordt u gewaarschuwd wanneer u de NitroPad de volgende keer opstart. Dit zou er bijvoorbeeld als volgt uit kunnen zien:

img4

Daarom is het belangrijk om uw NitroPad na een systeemupdate onder gecontroleerde omstandigheden opnieuw op te starten. Pas als de nieuwe status is bevestigd, kunt u het apparaat weer onbeheerd achterlaten. Anders zult u een mogelijke aanval niet kunnen onderscheiden van een systeemupdate. Gedetailleerde instructies voor een systeemupdate kunt u hier vinden.