KeePassXC¶

Deze instructies beschrijven hoe je een KeePassXC wachtwoord database kunt beschermen en versleutelen met Nitrokey 3.

Notitie

KeePassXC versie 2.7.6 of nieuwer is vereist.
Nitrokey App 2 versie 2.2.2 of nieuwer is vereist.

Eerste stap: Een HMAC-geheim genereren met de Nitrokey-app 2¶

Open Nitrokey App 2
Selecteer de Nitrokey 3
Selecteer het tabblad PASSWORDS.
Klik op ADD om een nieuwe referentie aan te maken.
Selecteer HMAC in het vervolgkeuzemenu voor algoritmen
Notitie
- De credential wordt automatisch benoemd in HmacSlot2.
- Er kunnen geen extra attributen worden opgeslagen voor de HMAC geloofsbrief.
- Het HMAC-geheim moet precies 20 bytes lang zijn en in Base32 formaat. Dat zijn precies 32 tekens.
- Het is mogelijk om precies één HMAC-geheim op een Nitrokey 3 op te slaan.
Om een geheim te genereren, is er een knop in het veld aan de rechterkant. Het is ook mogelijk om je eigen geheim in te voeren, zolang het maar aan de regels voldoet.

Waarschuwing

De database kan niet meer ontgrendeld worden als de Nitrokey 3 verloren of niet beschikbaar is! U kunt dus een tweede Nitrokey 3 met hetzelfde HMAC-geheim als back-up instellen.

Belangrijk

Het geheim kan alleen worden gezien voordat het wordt opgeslagen. Als de KeePassXC-database met een andere Nitrokey 3 gebruikt moet worden, moet het HMAC-geheim gekopieerd worden dat alleen mogelijk is voordat de referentie opgeslagen wordt.
Klik op SAVE om de inloggegevens op te slaan.

Eerste optie: Een bestaande KeePassXC-database beschermen met een Nitrokey 3¶

Open KeePassXC
Open de bestaande KeePassXC database die met een Nitrokey 3 beveiligd moet worden.
Selecteer Database -> Database Security... in de menubalk
Selecteer Security aan de linkerkant
Klik op de knop Add additional protection... in het tabblad Database Credentials.
Scroll naar beneden naar Challenge-Response en klik op Add Challenge-Response
Als de Nitrokey 3 nu is aangesloten en er eerder een HMAC is gegenereerd, zou Nitrokey 3 in het veld moeten worden weergegeven.

Klik op OK om de Nitrokey 3 toe te voegen aan de bestaande KeePassXC database.

Notitie

Standaard wordt de Nitrokey 3 gebruikt als tweede factor naast de wachtwoordzin. Om de database uitsluitend met de Nitrokey 3 te beveiligen, verwijder je de wachtwoordzin door op de knop Remove Password te klikken.

Tip

Als de Nirokey 3 niet wordt herkend, sluit KeePassXC dan volledig af. Sluit vervolgens de Nitrokey 3 aan op je computer voordat je KeePassXC opnieuw start.

Tweede optie: Een KeePassXC-database maken, beschermd door Nitrokey 3¶

Open KeePassXC
Selecteer Database -> New Database... in de menubalk om een nieuwe KeePassXC database aan te maken.
Vul de weergavenaam en een optionele beschrijving in voor je nieuwe database en klik op Continue.
Verdere instellingen voor database-encryptie kunnen nu hier worden geconfigureerd of de standaardinstellingen kunnen worden behouden. De instellingen kunnen ook later worden gewijzigd in de database-instellingen.

Klik op Continue om de instellingen te bevestigen
Databasegegevens

Hier kun je een wachtwoord invoeren als tweede factor om de database te ontgrendelen. Om de Nitrokey 3 (waarop het HMAC geheim is gegenereerd) te verbinden met de nieuwe KeePassXC database, klik je op Add additional protection....
Scroll naar beneden naar Challenge-Response en klik op Add Challenge-Response
Als nu de Nitrokey 3 is aangesloten en er eerder een HMAC is gegenereerd, zou Nitrokey 3 in het veld moeten worden weergegeven. Klik op Continue om het aanmaken van de nieuwe KeePassXC database te voltooien.

Notitie

Als de wachtwoordzin leeg wordt gelaten, wordt de database uitsluitend door de Nitrokey 3 beschermd. Als een wachtwoordzin wordt ingevoerd, wordt de database beschermd door de wachtwoordzin en de Nitrokey 3.

Tip

Als de Nitrokey 3 niet wordt herkend, sluit KeePassXC dan volledig af. Sluit de Nitrokey 3 vervolgens aan op je computer voordat je KeePassXC opnieuw start.

Problemen oplossen voor Linux¶

Als het Nirokey 3-apparaat niet wordt herkend door KeePassXC op een Linux-systeem:

Op voorwaarde dat de udev-regels zijn ingesteld zoals beschreven hier.
Op voorwaarde dat de pcscd service is gestart met:
```
sudo systemctl start pcscd.service
```
Installeer de nieuwste versie van KeePassXC met flatpak:
```
flatpak install flathub org.keepassxc.KeePassXC
```
Installeer ccid op Arch Linux gebaseerde systemen. Zie ook: Arch wiki: Nitrokey.

pcscd: Kaart niet gevonden¶

Probleem: Een toepassing die pcscd gebruikt, toont de Nitrokey 3 niet.

Oplossing: Controleer eerst of scdaemon niet draait (zie de vorige sectie):

$ gpg-connect-agent "SCD KILLSCD" /bye

Maak nu een lijst van de smartcards die worden herkend door pcscd met pcsc_scan -r. Je zou een vermelding als deze moeten zien:

$ pcsc_scan -r
Using reader plug'n play mechanism
Scanning present readers..
0: Nitrokey 3 [CCID/ICCD Interface] 00 00

Als de Nitrokey 3 wordt weergegeven, wordt deze correct herkend door pcscd en is er mogelijk een probleem met de applicatie die toegang probeert te krijgen. Als de Nitrokey niet wordt weergegeven, controleer dan of je libccid versie up-to-date is. Ondersteuning voor de Nitrokey 3 is toegevoegd in libccid 1.5.0.

De apparaatdatabase bijwerken¶

Als je libccid niet kunt bijwerken naar een ondersteunde versie, moet je de apparaatdatabase handmatig bijwerken. Het pad van de database hangt af van je distributie:

Arch, Debian, Ubuntu: /etc/libccid_Info.plist

Zorg ervoor dat je een back-up maakt van het bestand voordat je het overschrijft. Je kunt een bijgewerkt apparaatdatabasebestand downloaden van de nitrokey-3-firmware opslagplaats. Nadat je het bestand hebt bijgewerkt, start je pcscd opnieuw op en voer je pcsc_scan -r opnieuw uit. De Nitrokey 3 zou nu moeten verschijnen.