Nitrokey Storage FAQ¶
Ponieważ Nitrokey Storage 2 jest zasadniczo Nitrokey Pro 2 z nieulotną (szyfrowaną) pamięcią, Nitrokey Pro 2 FAQ również częściowo ma zastosowanie.
- Q: Which Operating Systems are supported?
Windows, Linux i macOS.
- Q: What can I use the Nitrokey for?
Zobacz overview obsługiwanych przypadków użycia.
- Q: What are the default PINs?
PIN użytkownika: „123456”
Administrator PIN: „12345678”
Firmware Password: „12345678”
Zalecamy zmianę tych PINów/haseł na wartości wybrane przez użytkownika przed użyciem Nitrokey.
- Q: How large is the storage capacity?
Nitrokey Storage może przechowywać i szyfrować 8, 32 lub 64 GB danych (w zależności od modelu).
- Q: Why can’t I access the encrypted storage on a new Nitrokey Storage?
Na nowym urządzeniu pamięci masowej Nitrokey, zanim uzyskasz dostęp do zaszyfrowanego woluminu, upewnij się, że najpierw „Zniszcz zaszyfrowane dane” w aplikacji Nitrokey App.
- Q: What is the maximum length of the PIN?
Nitrokey używa PINów zamiast haseł. Główna różnica polega na tym, że sprzęt ogranicza ilość prób do trzech, podczas gdy w przypadku haseł nie ma takiego ograniczenia. Z tego powodu krótki PIN jest nadal bezpieczny i nie ma potrzeby wybierania długiego i skomplikowanego kodu PIN.
PINy Nitrokey Storage’s mogą mieć długość do 20 cyfr i mogą składać się z cyfr, znaków i znaków specjalnych. Uwaga: W przypadku używania GnuPG lub OpenSC można używać PINów o długości 32 znaków, ale nie są one obsługiwane przez Nitrokey App.
- Q: What is the User PIN for?
PIN użytkownika składa się z co najmniej 6 cyfr i jest używany w celu uzyskania dostępu do zawartości Nitrokey. Jest to PIN, którego będziesz często używać w codziennym użytkowaniu, np. do odszyfrowywania wiadomości, odblokowywania zaszyfrowanej pamięci (tylko NK Storage) itp.
Kod PIN użytkownika może składać się z maksymalnie 20 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN użytkownika jest blokowany po trzech błędnych próbach wpisania, wystarczająco bezpieczny jest tylko 6-cyfrowy kod PIN. Domyślny kod PIN to 123456.
- Q: What is the Admin PIN for?
Admin PIN ma długość co najmniej 8 cyfr i jest używany do zmiany zawartości/ustawień Nitrokey. Oznacza to, że po inicjalizacji Nitrokey prawdopodobnie nie będziesz potrzebował tego PINu zbyt często (np. jeśli chcesz dodać kolejne hasło do sejfu haseł Nitrokey Pro lub Nitrokey Storage).
Kod PIN administratora może składać się z maksymalnie 20 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN administratora jest blokowany po trzech błędnych próbach wpisania kodu, wystarczającym zabezpieczeniem jest wprowadzenie tylko 8-cyfrowego kodu PIN. Domyślny kod PIN to 12345678.
- Q: Why does my Nitrokey Storage hang when switching between nitrokey-app and GnuPG?
GnuPG i nitrokey-app czasami mają tendencję do wzajemnego wyręczania się. Jest to znany problem i można go naprawić poprzez ponowne włożenie Nitrokey do gniazda USB.
- Q: What is the firmware PIN for?
Hasło oprogramowania sprzętowego powinno odpowiadać ogólnym zaleceniom dotyczącym haseł (np. należy używać znaków alfabetycznych, cyfr i znaków specjalnych lub używać wystarczająco długiego hasła). Hasło oprogramowania sprzętowego jest potrzebne do aktualizacji oprogramowania sprzętowego Nitrokey Storage. Zobacz dalsze instrukcje dotyczące procesu aktualizacji tutaj.
Hasło firmware’u nigdy nie jest blokowane. Napastnik mógłby próbować odgadnąć hasło i miałby nieograniczoną liczbę prób. Dlatego należy wybrać silne hasło. Domyślne hasło to 12345678.
- Q: How many keys can I store?
Nitrokey Storage może przechowywać trzy pary kluczy RSA. Wszystkie klucze używają tej samej tożsamości, ale są używane do różnych celów: uwierzytelniania, szyfrowania i podpisywania.
- Q: How fast is encryption and signing?
Szyfrowanie 50kiB danych:
256 bitowy AES, 2048 bajtów na polecenie -> 880 bajtów na sekundę
128 bitowy AES, 2048 bajtów na polecenie -> 893 bajtów na sekundę
256 bitowy AES, 240 bajtów na polecenie -> 910 bajtów na sekundę
128 bitów AES, 240 bajtów na polecenie -> 930 bajtów na sekundę
- Q: Which algorithms and maximum key length are supported?
Patrz poniższa tabela:
Start |
Pro + Magazynowanie |
Pro 2 + Magazyn 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
krzywa25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
sekp256 |
✓ |
✓ |
✓ |
|||
sekp521 |
✓ |
- Q: Does the Nitrokey Storage contain a secure chip or just a normal microcontroller?
Pamięć masowa Nitrokey zawiera kartę inteligentną odporną na manipulacje.
- Q: Is the Nitrokey Storage Common Criteria or FIPS certified?
Kontroler bezpieczeństwa (NXP Smart Card Controller P5CD081V1A i jego główne konfiguracje P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A i P5CD016V1A, każda z dedykowanym oprogramowaniem IC) posiada certyfikat Common Criteria EAL 5+ do poziomu systemu operacyjnego (Certification Report, Security Target, Maintenance Report, Maintenance ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Dodatkowo firma Cure53 przeprowadziła niezależny audyt bezpieczeństwa sprzętu, oprogramowania układowego i aplikacji Nitrokey.
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey Storage for my applications?
Oba urządzenia są zgodne z kartą OpenPGP, więc scdrand powinien działać. Ten skrypt może być przydatny. Użytkownik comio stworzył plik systemd, aby używać scdrand, a tym samym bardziej ogólnie TRNG. Stworzył on również ebuild dla Gentoo.
- Q: How good is the Random Number Generator?
Nitrokey Pro i Nitrokey Storage używają generatora liczb losowych (TRNG) do generowania kluczy na urządzeniu. Entropia generowana przez TRNG jest używana dla całej długości klucza. Dlatego TRNG jest zgodny z BSI TR-03116.
TRNG zapewnia około 40 kbit/s.
- Q: How can I use the encrypted mobile Storage?
Przed rozpoczęciem korzystania z szyfrowanego mobilnego magazynu musisz zainstalować i zainicjować Nitrokey Storage i pobrać najnowszą aplikację Nitrokey App.
Uruchom aplikację Nitrokey.
Naciśnij jego ikonę w zasobniku i wybierz „unlock encrypted volume” w menu.
Wprowadź swój kod PIN użytkownika w pojawiającym się oknie popup.
Jeśli jest to pierwszy raz, może być konieczne utworzenie partycji na zaszyfrowanym woluminie. Windows otworzy odpowiednie okno i poprosi Cię o wykonanie tej czynności. W systemach Linux i Mac może być konieczne otwarcie menedżera partycji i ręczne utworzenie partycji. Możesz utworzyć tyle partycji, ile chcesz. Zalecamy FAT(32), jeśli chcesz mieć dostęp do partycji z różnych systemów operacyjnych.
Teraz możesz korzystać z zaszyfrowanego woluminu tak jak z każdego innego zwykłego dysku USB. Jednak wszystkie dane przechowywane na nim zostaną automatycznie zaszyfrowane w sprzęcie Nitrokey.
Aby usunąć lub zablokować zaszyfrowany wolumin, powinieneś go najpierw odmontować/odrzucić.
Następnie możesz odłączyć Nitrokey lub wybrać „lock encrypted volume” z menu Nitrokey App.
Nitrokey Storage jest w stanie tworzyć również woluminy ukryte. Proszę spojrzeć na odpowiednie instrukcje dotyczące ukrytych woluminów.
Wolumeny ukryte pozwalają na ukrycie danych w zaszyfrowanym wolumenie. Dane są chronione dodatkowym hasłem. Bez tego hasła nie można udowodnić istnienia danych. Ukryte woluminy nie są domyślnie ustawione tak, aby można było wiarygodnie zaprzeczyć ich istnieniu. Koncepcja jest podobna do ukrytych woluminów VeraCrypt/TrueCrypt, ale w Nitrokey Storage cała funkcjonalność ukrytych woluminów jest zaimplementowana sprzętowo.
Możesz skonfigurować do czterech woluminów ukrytych. Po odblokowaniu woluminy ukryte zachowują się jak zwykła pamięć masowa, w której można tworzyć różne partycje, systemy plików i przechowywać pliki według własnego uznania.
Jeśli zdecydujesz się na skonfigurowanie Hidden Volumes, nie będziesz mógł już używać zaszyfrowanej pamięci masowej. Ponieważ wolumen ukryty znajduje się na wolnej przestrzeni zaszyfrowanego magazynu, istnieje możliwość nadpisania danych na wolumenie ukrytym. Można powiedzieć, że nawet zaszyfrowany magazyn „nie wie”, że istnieje wolumin ukryty. Ogólna struktura jest pokazana na poniższym diagramie. Dlatego proszę nie zapisywać niczego w zaszyfrowanym magazynie po utworzeniu woluminu ukrytego (trzeba go jednak najpierw odblokować).
Wolumeny ukryte są jak kontenery wewnątrz kontenera - wolumenu zaszyfrowanego.