KeePassXC

Niniejsza instrukcja opisuje sposób ochrony i szyfrowania bazy danych haseł KeePassXC za pomocą Nitrokey 3.

Wymagania wstępne

  • Wymagany jest program KeePassXC w wersji 2.7.6 lub nowszej.

  • Nitrokey App 2 version 2.2.2 or newer is required.

Pierwszy krok: Wygenerowanie sekretu HMAC za pomocą aplikacji Nitrokey 2

  1. Open Nitrokey App 2

  2. Wybierz Nitrokey 3

  3. Wybierz zakładkę PASSWORDS

  4. Kliknij na ADD, aby utworzyć nowe dane uwierzytelniające.

  5. Wybierz HMAC z rozwijanego menu algorytmu.

    Informacja

    • Poświadczenie jest automatycznie nazywane w HmacSlot2.

    • Dla poświadczenia HMAC nie można zapisać żadnych dodatkowych atrybutów.

    • Sekret HMAC musi mieć dokładnie 20 bajtów długości i w formacie Base32. Oznacza to dokładnie 32 znaki.

    • Możliwe jest zapisanie dokładnie jednego klucza tajnego HMAC na Nitrokey 3.

  6. Aby wygenerować sekret, w polu po prawej stronie znajduje się przycisk. Możliwe jest również wprowadzenie własnego sekretu, o ile jest on zgodny z przepisami.

    Ostrzeżenie

    Baza danych nie może zostać odblokowana, jeśli Nitrokey 3 zostanie utracony lub będzie niedostępny! Dlatego warto skonfigurować drugi Nitrokey 3 z tym samym sekretem HMAC jako urządzenie zapasowe.

    Ważne

    Sekret można tylko zobaczyć przed zapisaniem. Jeśli baza danych KeePassXC ma być używana z innym Nitrokey 3, sekret HMAC musi zostać skopiowany, co jest tylko możliwe przed zapisaniem danych uwierzytelniających.

  7. Kliknij na SAVE, aby zapisać dane uwierzytelniające.

Pierwsza opcja: Ochrona istniejącej bazy danych KeePassXC za pomocą Nitrokey 3

  1. Otwórz KeePassXC

  2. Otwórz istniejącą bazę danych KeePassXC, która ma być chroniona za pomocą klucza Nitrokey 3.

  3. Wybierz Database -> Database Security... z paska menu.

  4. Wybierz Security po lewej stronie

  5. Kliknij przycisk Add additional protection... w zakładce Database Credentials

  6. Przewiń w dół do Challenge-Response i kliknij na Add Challenge-Response.

  7. Teraz, jeśli Nitrokey 3 jest podłączony i HMAC został wygenerowany wcześniej, Nitrokey 3 powinien być wyświetlany w polu.

    Kliknij na OK, aby dodać Nitrokey 3 do istniejącej bazy danych KeePassXC.

Informacja

Domyślnie Nitrokey 3 jest używany jako drugi czynnik oprócz hasła. Aby chronić bazę danych wyłącznie za pomocą Nitrokey 3, usuń hasło, klikając przycisk Remove Password.

Wskazówka

Jeśli Nirokey 3 nie zostanie rozpoznany, zamknij całkowicie KeePassXC. Następnie podłącz Nitrokey 3 do komputera przed ponownym uruchomieniem KeePassXC.

Druga opcja: Tworzenie bazy danych KeePassXC chronionej przez Nitrokey 3

  1. Otwórz KeePassXC

  2. Wybierz Database -> New Database... z paska menu, aby utworzyć nową bazę danych KeePassXC.

  3. Wpisz nazwę wyświetlaną i opcjonalny opis nowej bazy danych, a następnie kliknij na Continue.

  4. Dalsze ustawienia szyfrowania bazy danych można teraz skonfigurować tutaj lub zachować ustawienia domyślne. Ustawienia można również zmienić później w ustawieniach bazy danych.

    Kliknij na Continue, aby potwierdzić ustawienia.

  5. Poświadczenie bazy danych

    Tutaj można wprowadzić hasło jako drugi czynnik odblokowujący bazę danych. Aby połączyć Nitrokey 3 (na którym wygenerowano sekret HMAC) z nową bazą danych KeePassXC, kliknij Add additional protection...

  6. Przewiń w dół do Challenge-Response i kliknij na Add Challenge-Response.

  7. Teraz, jeśli Nitrokey 3 jest podłączony i HMAC został wygenerowany wcześniej, Nitrokey 3 powinien być wyświetlony w polu. Kliknij Continue, aby zakończyć tworzenie nowej bazy danych KeePassXC.

Informacja

Jeśli hasło pozostanie puste, baza danych będzie chroniona wyłącznie przez Nitrokey 3. Jeśli zostanie wprowadzone hasło, baza danych będzie chroniona hasłem i Nitrokey 3.

Wskazówka

Jeśli Nitrokey 3 nie zostanie rozpoznany, zamknij całkowicie KeePassXC. Następnie podłącz Nitrokey 3 do komputera przed ponownym uruchomieniem KeePassXC.

Rozwiązywanie problemów w systemie Linux

Jeśli urządzenie Nirokey 3 nie zostanie rozpoznane przez KeePassXC w systemie Linux:

  • Provided that the udev rules have been set as described here.

  • Pod warunkiem, że pcscd service zostały uruchomione:

    sudo systemctl start pcscd.service

  • Zainstaluj najnowszą wersję KeePassXC z flatpak:

    flatpak install flathub org.keepassxc.KeePassXC

  • Zainstaluj ccid na systemach opartych na Arch Linux. Zobacz także: Arch wiki: Nitrokey.

pcscd: Nie znaleziono karty

Problem: Aplikacja używająca pcscd nie pokazuje Nitrokey 3.

Rozwiązanie: Najpierw upewnij się, że scdaemon nie jest uruchomiony (patrz poprzednia sekcja):

$ gpg-connect-agent "SCD KILLSCD" /bye

Teraz wyświetl listę kart rozpoznanych przez pcscd z pcsc_scan -r. Powinieneś zobaczyć wpis taki jak ten:

$ pcsc_scan -r
Using reader plug'n play mechanism
Scanning present readers..
0: Nitrokey 3 [CCID/ICCD Interface] 00 00

Jeśli Nitrokey 3 pojawia się, jest poprawnie rozpoznawany przez pcscd i może być problem z aplikacją, która próbuje uzyskać do niego dostęp. Jeśli się nie pojawi, upewnij się, że wersja libccid jest aktualna. Wsparcie dla Nitrokey 3 zostało dodane w libccid 1.5.0.

Aktualizacja bazy danych urządzeń

Jeśli nie można zaktualizować libccid do obsługiwanej wersji, należy ręcznie zaktualizować bazę danych urządzeń. Ścieżka do bazy danych zależy od dystrybucji:

  • Arch, Debian, Ubuntu: /etc/libccid_Info.plist

Przed nadpisaniem pliku należy wykonać jego kopię zapasową. Możesz pobrać zaktualizowany plik bazy danych urządzeń ` <https://github.com/Nitrokey/nitrokey-3-firmware/blob/main/Info.plist>` __ z repozytorium nitrokey-3-firmware. Po zaktualizowaniu pliku, uruchom ponownie pcscd i uruchom ponownie pcsc_scan -r. Nitrokey 3 powinien się teraz pojawić.