Nitrokey Storage FAQ#

Ponieważ Nitrokey Storage 2 jest zasadniczo Nitrokey Pro 2 z nieulotną (szyfrowaną) pamięcią, Nitrokey Pro 2 FAQ również częściowo ma zastosowanie.

Q: Jakie systemy operacyjne są obsługiwane?

Windows, Linux i macOS.

Q: Do czego mogę użyć Nitrokey?

Zobacz overview obsługiwanych przypadków użycia.

Q: Jakie są domyślne PINy?
  • PIN użytkownika: „123456”

  • Administrator PIN: „12345678”

  • Firmware Password: „12345678”

Zalecamy zmianę tych PINów/haseł na wartości wybrane przez użytkownika przed użyciem Nitrokey.

Q: Jak duża jest pojemność pamięci masowej?

Nitrokey Storage może przechowywać i szyfrować 8, 32 lub 64 GB danych (w zależności od modelu).

Q: Dlaczego nie mogę uzyskać dostępu do zaszyfrowanej pamięci masowej na nowym Nitrokey Storage?

Na nowym urządzeniu pamięci masowej Nitrokey, zanim uzyskasz dostęp do zaszyfrowanego woluminu, upewnij się, że najpierw „Zniszcz zaszyfrowane dane” w aplikacji Nitrokey App.

Q: Jaka jest maksymalna długość kodu PIN?

Nitrokey używa PINów zamiast haseł. Główna różnica polega na tym, że sprzęt ogranicza ilość prób do trzech, podczas gdy w przypadku haseł nie ma takiego ograniczenia. Z tego powodu krótki PIN jest nadal bezpieczny i nie ma potrzeby wybierania długiego i skomplikowanego kodu PIN.

PINy Nitrokey Storage’s mogą mieć długość do 20 cyfr i mogą składać się z cyfr, znaków i znaków specjalnych. Uwaga: W przypadku używania GnuPG lub OpenSC można używać PINów o długości 32 znaków, ale nie są one obsługiwane przez Nitrokey App.

Q: Do czego służy kod PIN użytkownika?

PIN użytkownika składa się z co najmniej 6 cyfr i jest używany w celu uzyskania dostępu do zawartości Nitrokey. Jest to PIN, którego będziesz często używać w codziennym użytkowaniu, np. do odszyfrowywania wiadomości, odblokowywania zaszyfrowanej pamięci (tylko NK Storage) itp.

Kod PIN użytkownika może składać się z maksymalnie 20 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN użytkownika jest blokowany po trzech błędnych próbach wpisania, wystarczająco bezpieczny jest tylko 6-cyfrowy kod PIN. Domyślny kod PIN to 123456.

Q: Do czego służy Admin PIN?

Admin PIN ma długość co najmniej 8 cyfr i jest używany do zmiany zawartości/ustawień Nitrokey. Oznacza to, że po inicjalizacji Nitrokey prawdopodobnie nie będziesz potrzebował tego PINu zbyt często (np. jeśli chcesz dodać kolejne hasło do sejfu haseł Nitrokey Pro lub Nitrokey Storage).

Kod PIN administratora może składać się z maksymalnie 20 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN administratora jest blokowany po trzech błędnych próbach wpisania kodu, wystarczającym zabezpieczeniem jest wprowadzenie tylko 8-cyfrowego kodu PIN. Domyślny kod PIN to 12345678.

Q: Dlaczego mój Nitrokey Storage zawiesza się podczas przełączania pomiędzy nitrokey-app a GnuPG?

GnuPG i nitrokey-app czasami mają tendencję do wzajemnego wyręczania się. Jest to znany problem i można go naprawić poprzez ponowne włożenie Nitrokey do gniazda USB.

Q: Do czego służy firmware PIN?

Hasło oprogramowania sprzętowego powinno odpowiadać ogólnym zaleceniom dotyczącym haseł (np. należy używać znaków alfabetycznych, cyfr i znaków specjalnych lub używać wystarczająco długiego hasła). Hasło oprogramowania sprzętowego jest potrzebne do aktualizacji oprogramowania sprzętowego Nitrokey Storage. Zobacz dalsze instrukcje dotyczące procesu aktualizacji tutaj.

Hasło firmware’u nigdy nie jest blokowane. Napastnik mógłby próbować odgadnąć hasło i miałby nieograniczoną liczbę prób. Dlatego należy wybrać silne hasło. Domyślne hasło to 12345678.

Q: Ile kluczy mogę przechowywać?

Nitrokey Storage może przechowywać trzy pary kluczy RSA. Wszystkie klucze używają tej samej tożsamości, ale są używane do różnych celów: uwierzytelniania, szyfrowania i podpisywania.

Q: Jak szybkie jest szyfrowanie i podpisywanie?

Szyfrowanie 50kiB danych:

  • 256 bitowy AES, 2048 bajtów na polecenie -> 880 bajtów na sekundę

  • 128 bitowy AES, 2048 bajtów na polecenie -> 893 bajtów na sekundę

  • 256 bitowy AES, 240 bajtów na polecenie -> 910 bajtów na sekundę

  • 128 bitów AES, 240 bajtów na polecenie -> 930 bajtów na sekundę

Q: Jakie algorytmy i maksymalna długość klucza są obsługiwane?

Patrz poniższa tabela:

Start

Pro + Magazynowanie

Pro 2 + Magazyn 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

krzywa25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

sekp256

sekp521

Q: Czy Nitrokey Storage zawiera bezpieczny chip, czy tylko zwykły mikrokontroler?

Pamięć masowa Nitrokey zawiera kartę inteligentną odporną na manipulacje.

Q: Czy Nitrokey Storage posiada certyfikat Common Criteria lub FIPS?

Kontroler bezpieczeństwa (NXP Smart Card Controller P5CD081V1A i jego główne konfiguracje P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A i P5CD016V1A, każda z dedykowanym oprogramowaniem IC) posiada certyfikat Common Criteria EAL 5+ do poziomu systemu operacyjnego (Certification Report, Security Target, Maintenance Report, Maintenance ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Dodatkowo firma Cure53 przeprowadziła niezależny audyt bezpieczeństwa sprzętu, oprogramowania układowego i aplikacji Nitrokey.

Q: Jak mogę wykorzystać Generator Prawdziwych Numerów Losowych (TRNG) z Nitrokey Storage w moich aplikacjach?

Oba urządzenia są zgodne z kartą OpenPGP, więc scdrand powinien działać. Ten skrypt może być przydatny. Użytkownik comio stworzył plik systemd, aby używać scdrand, a tym samym bardziej ogólnie TRNG. Stworzył on również ebuild dla Gentoo.

Q: Jak dobry jest Generator Liczb Losowych?

Nitrokey Pro i Nitrokey Storage używają generatora liczb losowych (TRNG) do generowania kluczy na urządzeniu. Entropia generowana przez TRNG jest używana dla całej długości klucza. Dlatego TRNG jest zgodny z BSI TR-03116.

TRNG zapewnia około 40 kbit/s.

Q: Jak mogę korzystać z szyfrowanego mobilnego Magazynu?

Przed rozpoczęciem korzystania z szyfrowanego mobilnego magazynu musisz zainstalować i zainicjować Nitrokey Storage i pobrać najnowszą aplikację Nitrokey App.

  • Uruchom aplikację Nitrokey.

  • Naciśnij jego ikonę w zasobniku i wybierz „unlock encrypted volume” w menu.

  • Wprowadź swój kod PIN użytkownika w pojawiającym się oknie popup.

  • Jeśli jest to pierwszy raz, może być konieczne utworzenie partycji na zaszyfrowanym woluminie. Windows otworzy odpowiednie okno i poprosi Cię o wykonanie tej czynności. W systemach Linux i Mac może być konieczne otwarcie menedżera partycji i ręczne utworzenie partycji. Możesz utworzyć tyle partycji, ile chcesz. Zalecamy FAT(32), jeśli chcesz mieć dostęp do partycji z różnych systemów operacyjnych.

  • Teraz możesz korzystać z zaszyfrowanego woluminu tak jak z każdego innego zwykłego dysku USB. Jednak wszystkie dane przechowywane na nim zostaną automatycznie zaszyfrowane w sprzęcie Nitrokey.

  • Aby usunąć lub zablokować zaszyfrowany wolumin, powinieneś go najpierw odmontować/odrzucić.

  • Następnie możesz odłączyć Nitrokey lub wybrać „lock encrypted volume” z menu Nitrokey App.

Nitrokey Storage jest w stanie tworzyć również woluminy ukryte. Proszę spojrzeć na odpowiednie instrukcje dotyczące ukrytych woluminów.

Q: Jak mogę używać ukrytego woluminu?

Wolumeny ukryte pozwalają na ukrycie danych w zaszyfrowanym wolumenie. Dane są chronione dodatkowym hasłem. Bez tego hasła nie można udowodnić istnienia danych. Ukryte woluminy nie są domyślnie ustawione tak, aby można było wiarygodnie zaprzeczyć ich istnieniu. Koncepcja jest podobna do ukrytych woluminów VeraCrypt/TrueCrypt, ale w Nitrokey Storage cała funkcjonalność ukrytych woluminów jest zaimplementowana sprzętowo.

Możesz skonfigurować do czterech woluminów ukrytych. Po odblokowaniu woluminy ukryte zachowują się jak zwykła pamięć masowa, w której można tworzyć różne partycje, systemy plików i przechowywać pliki według własnego uznania.

Jeśli zdecydujesz się na skonfigurowanie Hidden Volumes, nie będziesz mógł już używać zaszyfrowanej pamięci masowej. Ponieważ wolumen ukryty znajduje się na wolnej przestrzeni zaszyfrowanego magazynu, istnieje możliwość nadpisania danych na wolumenie ukrytym. Można powiedzieć, że nawet zaszyfrowany magazyn „nie wie”, że istnieje wolumin ukryty. Ogólna struktura jest pokazana na poniższym diagramie. Dlatego proszę nie zapisywać niczego w zaszyfrowanym magazynie po utworzeniu woluminu ukrytego (trzeba go jednak najpierw odblokować).

Wolumeny ukryte są jak kontenery wewnątrz kontenera - wolumenu zaszyfrowanego.