Nitrokey Storage FAQ#
Aangezien de Nitrokey Storage 2 in wezen een Nitrokey Pro 2 is met een niet-vluchtige (gecodeerde) opslag, is de Nitrokey Pro 2 FAQ ook gedeeltelijk van toepassing.
- Q: Welke besturingssystemen worden ondersteund?
Windows, Linux en macOS.
- Q: Waar kan ik de Nitrokey voor gebruiken?
Zie de frontpage voor een overzicht van ondersteunde use-cases.
- Q: Wat zijn de standaard PIN’s?
Gebruikers PIN: “123456”
Administrateur PIN: “12345678”
Firmware wachtwoord: “12345678”
Wij raden ten sterkste aan om deze PIN/paswoord te wijzigen in door de gebruiker gekozen waarden voordat u de Nitrokey gebruikt.
- Q: Hoe groot is de opslagcapaciteit?
Nitrokey Storage kan 8, 32 of 64 GB aan gegevens opslaan en versleutelen (afhankelijk van het model).
- **Q:**Waarom heb ik geen toegang tot de versleutelde opslag op een nieuwe Nitrokey Opslag?
Op een nieuw Nitrokey Opslag apparaat moet u, voordat u toegang tot het versleutelde volume krijgt, eerst “Vernietig versleutelde gegevens” in de Nitrokey App doen.
- Q: Wat is de maximale lengte van de PIN-code?
Nitrokey gebruikt pincodes in plaats van wachtwoorden. Het belangrijkste verschil is dat de hardware het aantal pogingen beperkt tot drie, terwijl er voor wachtwoorden geen limiet bestaat. Hierdoor is een korte PIN nog steeds veilig en is het niet nodig een lange en complexe PIN te kiezen.
Nitrokey Storage’s PINs kunnen tot 20 cijfers lang zijn en kunnen bestaan uit cijfers, tekens en speciale tekens. Opmerking: Bij gebruik van GnuPG of OpenSC kunnen PIN’s van 32 tekens lang worden gebruikt, maar’worden niet ondersteund door Nitrokey App.
- Q: Waarvoor dient de gebruikers-PIN?
De gebruikers-PIN is minstens 6 cijfers lang en wordt gebruikt om toegang te krijgen tot de inhoud van de Nitrokey. Dit is de PIN die u vaak in het dagelijks gebruik zult gebruiken, bijv. voor het ontsleutelen van berichten, voor het ontgrendelen van uw versleutelde opslag (alleen NK Storage) enz.
De gebruikers-PIN kan tot 20 cijfers en andere tekens (bv. alfabetische en speciale tekens) omvatten. Maar aangezien de gebruikers-PIN wordt geblokkeerd zodra drie verkeerde PIN-pogingen zijn gedaan, is het voldoende veilig om slechts een PIN van 6 cijfers te hebben. De standaard PIN-code is 123456.
- Q: Waarvoor dient de Admin PIN?
De admin PIN is minstens 8 cijfers lang en wordt gebruikt om inhoud/instellingen van de Nitrokey te wijzigen. Dat wil zeggen dat u na het initialiseren van de Nitrokey deze PIN waarschijnlijk niet vaak nodig zult hebben (bijv. als u een ander wachtwoord wilt toevoegen aan de wachtwoordkluis van de Nitrokey Pro of Nitrokey Storage).
De admin PIN kan tot 20 cijfers en andere tekens (bv. alfabetische en speciale tekens) bevatten. Maar aangezien de admin-PIN wordt geblokkeerd zodra drie verkeerde PIN-pogingen zijn gedaan, is het voldoende veilig om slechts een PIN van 8 cijfers te hebben. De standaard PIN is 12345678.
- Q: Waarom blijft mijn Nitrokey-opslag hangen als ik wissel tussen nitrokey-app en GnuPG?
GnuPG en nitrokey-app hebben soms de neiging elkaar uit te schakelen. Dit is een bekend probleem en het kan worden verholpen door de Nitrokey opnieuw in de USB-sleuf te plaatsen.
- Q: Waar is de firmware PIN voor?
Het firmware wachtwoord moet voldoen aan de algemene wachtwoord aanbevelingen (bijv. gebruik alfabetische tekens, cijfers en speciale tekens of gebruik een wachtwoord dat lang genoeg is). Het firmware wachtwoord is nodig om de firmware van de Nitrokey Storage te updaten. Zie verdere instructies voor het updateproces hier.
Het wachtwoord van de firmware wordt nooit geblokkeerd. Een aanvaller kan proberen het wachtwoord te raden en zou onbeperkte pogingen hebben. Daarom moet u een sterk wachtwoord kiezen. Het standaardwachtwoord is 12345678.
- Q: Hoeveel sleutels kan ik opslaan?
De Nitrokey Storageruimte kan drie RSA sleutelparen opslaan. Alle sleutels hebben dezelfde identiteit, maar worden voor verschillende doeleinden gebruikt: verificatie, versleuteling en ondertekening.
- Q: Hoe snel is versleutelen en ondertekenen?
Encryptie van 50kiB aan gegevens:
256 bit AES, 2048 bytes per commando -> 880 bytes per seconde
128 bit AES, 2048 bytes per commando -> 893 bytes per seconde
256 bit AES, 240 bytes per commando -> 910 bytes per seconde
128 bit AES, 240 bytes per commando -> 930 bytes per seconde
- Q: Welke algoritmen en maximale sleutellengte worden ondersteund?
Zie de volgende tabel:
Start |
Pro + Storage |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
RSA1024 |
✓ |
✓ |
✓ |
✓ |
||
RSA2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
RSA4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Bevat de Nitrokey Storage een beveiligde chip of gewoon een normale microcontroller?
Nitrokey Storage bevat een fraudebestendige smartcard.
- V: Is de Nitrokey-opslag Common Criteria- of FIPS-gecertificeerd?
Cure53 heeft een onafhankelijke beveiligingsaudit van de hardware, firmware en Nitrokey App uitgevoerd. De hardware van de beveiligingscontroller is Common Criteria gecertificeerd (Rapport; Zie hier, klik op “IC’s, Smart Cards en Smart Card-gerelateerde apparaten en systemen” en zoek naar “NXP Smart Card Controller P5CD081V1A en zijn belangrijkste configuraties P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A en P5CD016V1A elk met IC-specifieke software”).
- Q: Hoe kan ik de True Random Number Generator (TRNG) van de Nitrokey Storage voor mijn toepassingen gebruiken?
Beide apparaten zijn compatibel met de OpenPGP-kaart, zodat scdrand zou moeten werken. Dit script kan nuttig zijn. De gebruiker comio creëerde een systemd bestand om scdrand te gebruiken en daarmee de TRNG meer in het algemeen. Hij heeft ook een ebuild voor Gentoo aangemaakt.
- Q: Hoe goed is de Random Number Generator?
Nitrokey Pro en Nitrokey Storage gebruiken een True Random Number Generator (TRNG) voor het genereren van sleutels op het apparaat. De entropie die door de TRNG wordt gegenereerd, wordt gebruikt voor de volledige sleutellengte. Daarom voldoet de TRNG aan BSI TR-03116.
De TRNG levert ongeveer 40 kbit/s.
- Q: Hoe kan ik de gecodeerde mobiele opslag gebruiken?
Voordat u de versleutelde mobiele opslagruimte gebruikt, moet u de Nitrokey Storageruimte installeren en initialiseren en de nieuwste Nitrokey-app downloaden.
Start de Nitrokey App.
Druk op het tray icoon en selecteer “unlock encrypted volume” in het menu.
Voer uw gebruikers-PIN in het popup-venster in dat verschijnt.
Als dit de eerste keer is, moet u wellicht een partitie aanmaken op het versleutelde volume. Windows zal een geschikt venster openen en u vragen dit te doen. Op Linux en Mac moet u wellicht een partitiemanager openen en handmatig een partitie aanmaken. U kunt zoveel partities maken als u wilt. Wij raden FAT(32) aan als u vanuit verschillende besturingssystemen toegang wilt hebben tot de partitie.
Nu kunt u het versleutelde volume gebruiken zoals u elke andere gewone USB-schijf zou gebruiken. Maar alle gegevens die erop zijn opgeslagen, worden automatisch versleuteld in de Nitrokey-hardware.
Om het versleutelde volume te verwijderen of te vergrendelen, moet u het eerst ontkoppelen/uitwerpen.
Daarna kunt u de Nitrokey loskoppelen of “vergrendel gecodeerd volume” selecteren in het Nitrokey App menu.
Nitrokey Storage kan ook verborgen volumes aanmaken. Kijk a.u.b. naar de bijbehorende instructies voor verborgen volumes.
- Q: Hoe kan ik het verborgen volume gebruiken?
Verborgen volumes maken het mogelijk gegevens in het versleutelde volume te verbergen. De gegevens worden beschermd met een extra wachtwoord. Zonder het wachtwoord kan het bestaan’s van de gegevens niet worden bewezen. Verborgen volumes zijn niet standaard ingesteld, zodat hun bestaan aannemelijk kan worden ontkend. Het concept is vergelijkbaar met VeraCrypt’s/TrueCrypt’s verborgen volume, maar bij Nitrokey Storage is de volledige functionaliteit van verborgen volumes in hardware geïmplementeerd.
U kunt maximaal vier verborgen volumes configureren. Eenmaal ontgrendeld, gedragen verborgen volumes zich als gewone opslagruimte waar u verschillende partities en bestandssystemen kunt aanmaken en bestanden kunt opslaan zoals u dat wilt.
Als u besluit verborgen volumes te configureren, kunt u de versleutelde opslag niet meer gebruiken. Omdat het verborgen volume zich op de vrije ruimte van de versleutelde opslag bevindt, bestaat de mogelijkheid dat gegevens in het verborgen volume worden overschreven. U kunt zeggen dat zelfs de versleutelde opslag “niet weet” dat er een verborgen volume is. De algemene structuur is weergegeven in het onderstaande diagram. Schrijf daarom niets in het versleutelde geheugen nadat u een verborgen volume hebt gemaakt (u moet het wel eerst ontgrendelen).
Verborgen volumes zijn als containers binnen een container, het versleutelde volume.