Nitrokey Storage FAQ#

Ponieważ Nitrokey Storage 2 jest zasadniczo Nitrokey Pro 2 z nieulotną (szyfrowaną) pamięcią masową, częściowo zastosowanie ma również Nitrokey Pro 2 FAQ.

Q: Jakie systemy operacyjne są obsługiwane?

Windows, Linux i macOS.

Q: Do czego można wykorzystać Nitrokey?

Przegląd obsługiwanych przypadków użycia można znaleźć na stronie frontpage.

Q: Jakie są domyślne numery PIN?
  • Kod PIN użytkownika: „123456”

  • Administrator PIN: „12345678”

  • Firmware Password: „12345678”

Zdecydowanie zalecamy zmianę tych kodów PIN/haseł na wartości wybrane przez użytkownika przed użyciem Nitrokey.

Q: Jak duża jest pojemność pamięci masowej?

Pamięć masowa Nitrokey może przechowywać i szyfrować 8, 32 lub 64 GB danych (w zależności od modelu).

Q: Dlaczego nie mogę uzyskać dostępu do zaszyfrowanej pamięci masowej na nowym Nitrokey Storage?

Na nowym urządzeniu pamięci masowej Nitrokey, zanim uzyskasz dostęp do zaszyfrowanego woluminu, upewnij się, że najpierw „Zniszcz zaszyfrowane dane” w aplikacji Nitrokey App.

Q: Jaka jest maksymalna długość kodu PIN?

Nitrokey używa kodów PIN zamiast haseł. Główna różnica polega na tym, że sprzęt ogranicza liczbę prób do trzech, podczas gdy w przypadku haseł taki limit nie istnieje. Z tego powodu krótki PIN jest nadal bezpieczny i nie ma potrzeby wybierania długiego i skomplikowanego kodu PIN.

PINy Nitrokey Storage’s mogą mieć długość do 20 cyfr i mogą składać się z cyfr, znaków i znaków specjalnych. Uwaga: W przypadku używania GnuPG lub OpenSC można używać PIN-ów o długości 32 znaków, ale nie są one obsługiwane przez Nitrokey App.

Q: Do czego służy kod PIN użytkownika?

Kod PIN użytkownika składa się z co najmniej 6 cyfr i jest używany w celu uzyskania dostępu do zawartości Nitrokey. Jest to kod PIN, którego będziesz często używać w codziennym użytkowaniu, np. do odszyfrowywania wiadomości, odblokowywania zaszyfrowanej pamięci (tylko NK Storage) itp.

Kod PIN użytkownika może składać się z maksymalnie 20 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN użytkownika jest blokowany po trzykrotnej próbie wprowadzenia błędnego kodu, wystarczającym zabezpieczeniem jest wprowadzenie tylko 6-cyfrowego kodu PIN. Domyślny kod PIN to 123456.

Q: Do czego służy kod PIN administratora?

Admin PIN ma długość co najmniej 8 cyfr i jest używany do zmiany zawartości/ustawień Nitrokey. Oznacza to, że po inicjalizacji Nitrokey prawdopodobnie nie będziesz potrzebował tego kodu PIN zbyt często (np. jeśli chcesz dodać inne hasło do sejfu haseł Nitrokey Pro lub Nitrokey Storage).

Kod PIN administratora może składać się z maksymalnie 20 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN administratora jest blokowany po trzykrotnej próbie wprowadzenia błędnego kodu, wystarczającym zabezpieczeniem jest wprowadzenie tylko 8-cyfrowego kodu PIN. Domyślny kod PIN to 12345678.

Q: Dlaczego mój magazyn Nitrokey zawiesza się, gdy przełączam się między nitrokey-app a GnuPG?

GnuPG i nitrokey-app czasami mają tendencję do wzajemnego wyręczania się. Jest to znany problem i można go naprawić poprzez ponowne włożenie Nitrokey do gniazda USB.

Q: Do czego służy oprogramowanie sprzętowe PIN?

Hasło do oprogramowania sprzętowego powinno spełniać ogólne zalecenia dotyczące haseł (np. należy używać znaków alfabetycznych, cyfr i znaków specjalnych lub używać wystarczająco długiego hasła). Hasło oprogramowania sprzętowego jest potrzebne do aktualizacji oprogramowania sprzętowego Nitrokey Storage. Zobacz dalsze instrukcje dotyczące procesu aktualizacji tutaj.

Hasło oprogramowania układowego nigdy nie jest blokowane. Osoba atakująca może próbować odgadnąć hasło i będzie miała nieograniczoną liczbę prób. Dlatego należy wybrać silne hasło. Domyślne hasło to 12345678.

Q: Ile kluczy można przechowywać?

Nitrokey Storage może przechowywać trzy pary kluczy RSA. Wszystkie klucze używają tej samej tożsamości, ale są używane do różnych celów: uwierzytelniania, szyfrowania i podpisywania.

Q: Jak szybkie jest szyfrowanie i podpisywanie?

Szyfrowanie 50kiB danych:

  • 256 bitów AES, 2048 bajtów na polecenie -> 880 bajtów na sekundę

  • 128 bitów AES, 2048 bajtów na polecenie -> 893 bajty na sekundę

  • 256 bitów AES, 240 bajtów na polecenie -> 910 bajtów na sekundę

  • 128 bitów AES, 240 bajtów na polecenie -> 930 bajtów na sekundę

Q: Jakie algorytmy i maksymalna długość klucza są obsługiwane?

Patrz poniższa tabela:

Start

Pro + Magazynowanie

Pro 2 + Magazyn 2

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

krzywa25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

sekp256

sekp521

Q: Czy Nitrokey Storage zawiera bezpieczny chip, czy tylko zwykły mikrokontroler?

Pamięć masowa Nitrokey zawiera kartę inteligentną odporną na manipulacje.

Q: Czy Nitrokey Storage posiada certyfikat Common Criteria lub FIPS?

Cure53 przeprowadziło niezależny audyt bezpieczeństwa sprzętu, oprogramowania sprzętowego i aplikacji Nitrokey. Sprzęt kontrolera bezpieczeństwa’posiada certyfikat Common Criteria (Raport; Zobacz tutaj, kliknij „ICs, Smart Cards and Smart Card-Related Devices and Systems” i wyszukaj „Kontroler kart inteligentnych NXP P5CD081V1A i jego główne konfiguracje P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A i P5CD016V1A, każda z dedykowanym oprogramowaniem”).

Q: Jak mogę wykorzystać Generator Prawdziwych Numerów Losowych (TRNG) z Nitrokey Storage w moich aplikacjach?

Oba urządzenia są zgodne z kartą OpenPGP, więc scdrand powinien działać. Ten skrypt może być przydatny. Użytkownik comio stworzył plik systemd, aby używać scdrand, a tym samym bardziej ogólnie TRNG. Stworzył on również ebuild dla Gentoo.

Q: Jak dobry jest Generator Liczb Losowych?

Nitrokey Pro i Nitrokey Storage używają Generatora Prawdziwie Losowych Liczb (TRNG) do generowania kluczy w urządzeniu. Entropia generowana przez TRNG jest używana dla całej długości klucza. Dlatego TRNG jest zgodny z normą BSI TR-03116.

TRNG zapewnia przepustowość około 40 kbit/s.

Q: Jak mogę korzystać z szyfrowanego Magazynu mobilnego?

Przed rozpoczęciem korzystania z szyfrowanego mobilnego magazynu musisz zainstalować i zainicjować Nitrokey Storage oraz pobrać najnowszą aplikację Nitrokey App.

  • Uruchom aplikację Nitrokey.

  • Naciśnij jego ikonę w zasobniku i wybierz w menu opcję „Odblokuj zaszyfrowany wolumin”.

  • W wyświetlonym oknie dialogowym wprowadź kod PIN użytkownika.

  • Jeśli jest to pierwszy raz, może być konieczne utworzenie partycji na zaszyfrowanym woluminie. System Windows otworzy odpowiednie okno i poprosi Cię o wykonanie tej czynności. W systemach Linux i Mac może być konieczne otwarcie menedżera partycji i ręczne utworzenie partycji. Możesz utworzyć tyle partycji, ile chcesz. Zalecamy FAT(32), jeśli chcesz mieć dostęp do partycji z różnych systemów operacyjnych.

  • Teraz możesz korzystać z zaszyfrowanego woluminu tak samo, jak z każdego innego zwykłego dysku USB. Wszystkie zapisane na nim dane zostaną automatycznie zaszyfrowane w sprzęcie Nitrokey.

  • Aby usunąć lub zablokować zaszyfrowany wolumin, należy go najpierw odmontować/odrzucić.

  • Następnie możesz odłączyć Nitrokey lub wybrać „Zablokuj zaszyfrowany wolumin” z menu aplikacji Nitrokey.

Pamięć masowa Nitrokey może również tworzyć woluminy ukryte. Zapoznaj się z odpowiednimi instrukcjami dotyczącymi woluminów ukrytych.

Q: Jak korzystać z woluminu ukrytego?

Woluminy ukryte umożliwiają ukrycie danych w woluminie zaszyfrowanym. Dane te są chronione dodatkowym hasłem. Bez tego hasła nie można udowodnić istnienia danych. Domyślnie woluminy ukryte nie są skonfigurowane w taki sposób, aby można było wiarygodnie zaprzeczyć ich istnieniu. Koncepcja jest podobna do ukrytych woluminów VeraCrypt’s/TrueCrypt’s, ale w Nitrokey Storage cała funkcjonalność ukrytych woluminów jest zaimplementowana sprzętowo.

Można skonfigurować maksymalnie cztery woluminy ukryte. Po odblokowaniu woluminy ukryte zachowują się jak zwykła pamięć masowa, w której można tworzyć różne partycje, systemy plików i przechowywać pliki według własnego uznania.

Jeśli zdecydujesz się skonfigurować woluminy ukryte, nie będziesz mógł już używać zaszyfrowanej pamięci masowej. Ponieważ wolumen ukryty znajduje się w wolnej przestrzeni zaszyfrowanej pamięci masowej, istnieje możliwość nadpisania danych na wolumenie ukrytym. Można powiedzieć, że nawet zaszyfrowana pamięć masowa „nie wie”, że istnieje wolumin ukryty. Ogólna struktura jest przedstawiona na poniższym diagramie. Dlatego nie należy zapisywać niczego w zaszyfrowanej pamięci masowej po utworzeniu woluminu ukrytego (trzeba go jednak najpierw odblokować).

Woluminy ukryte są jak pojemniki wewnątrz pojemnika - woluminu zaszyfrowanego.