Criptarea hard disk-ului#

(Nitrokey HSM 2 - Linux)

VeraCrypt (fostul TrueCrypt)#

VeraCrypt este un software gratuit și Open Source de criptare a discurilor pentru Windows, macOS și GNU+Linux. Este succesorul lui TrueCrypt și, prin urmare, este recomandat, deși următoarele instrucțiuni ar trebui să se aplice și la TrueCrypt.

Urmați acești pași pentru a utiliza programul cu Nitrokey Storage 2 sau Nitrokey Pro 2:

  1. Instalați cea mai recentă versiune a OpenSC, sau descărcați biblioteca PKCS#11.

  2. Alegeți biblioteca în VeraCrypt la Settings>Preferences>Security Token (locația depinde de sistem, de exemplu /usr/lib/opensc).

  3. Generați un fișier cheie de 64 de octeți prin intermediul Tools>Keyfile Generator.

  4. Acum ar trebui să puteți importa fișierul de chei generat prin Tools>Manage Security Token Keyfiles. Ar trebui să alegeți primul Slot ([0] User PIN). Fișierul cheie este apoi stocat pe Nitrokey ca „Private Data Object 1” (PrivDO1).

  5. După aceasta, ar trebui să ștergeți fișierul cheie original de pe computerul dumneavoastră în siguranță!

  6. Acum puteți utiliza VeraCrypt cu Nitrokey: Creați un container, alegeți fișierul cheie de pe dispozitiv ca o alternativă la o parolă.

Atenționare

Considerații privind securitatea

Vă rugăm să rețineți că VeraCrypt nu utilizează întreaga securitate oferită de Nitrokey (și de cardurile inteligente în general). În schimb, acesta stochează un fișier cheie pe Nitrokey care, teoretic, ar putea fi furat de un virus informatic după ce utilizatorul introduce PIN-ul.

Notă: Aloaha Crypt se bazează pe TrueCrypt/VeraCrypt, dar fără limitarea de securitate descrisă.

Criptarea discului dur pe GNU+Linux cu LUKS/dm-crypt#

Iată instrucțiuni excelente cum să folosiți Nitrokey pentru a vă cripta hard disk-ul sub GNU+Linux cu LUKS/dm-crypt. Alte instrucțiuni.

Purism a creat un simplu script pentru a adăuga Nitrokey/LibremKey ca modalitate de deblocare a partițiilor LUKS (nu a fost testat de Nitrokey încă).

Acest proiect are ca scop facilitarea utilizării LUKS cu Nitrokey Pro sau Storage bazat pe Password Safe (nu a fost încă testat de Nitrokey). O descriere a modului de utilizare pe Gentoo poate fi găsită ` aici <https://amedeos.github.io/gentoo/nitrokey/2019/01/21/gentoo-nitrokey-luks.html>`__.

Pentru Arch Linux, consultați initramfs-scencrypt.

Criptarea stocării pe GNU+Linux cu EncFS#

EncFS este o utilitate ușor de utilizat pentru sisteme de fișiere criptate și se bazează pe FUSE. Puteți urma acești pași pentru a-l utiliza cu parole foarte lungi și Nitrokey Pro 2:

Inițializare#

  1. Creați un fișier cheie cu date aleatorii:

$ dd bs=64 count=1 if=/dev/urandom of=keyfile
  1. Criptați fișierul cheie și folosiți ID-ul de utilizator al Nitrokey-ului dvs.

$ gpg --encrypt keyfile
  1. Eliminați fișierul cheie în text clar:

$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
  1. Creați punctul de montare:

$ mkdir ~/.cryptdir ~/cryptdir
  1. Creați dosarul de criptare propriu-zis

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
# There may appears an error message about missing permission of fusermount
# This message can be ignored
  1. Demontați noul sistem de fișiere:

$ fusermount -u ~/cryptdir

Utilizare#

  1. Montați sistemul de fișiere criptate și introduceți PIN-ul Nitrokey:

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
  1. După utilizare, demontați sistemul de fișiere:

$ fusermount -u ~/cryptdir

Criptarea stocării pe GNU+Linux cu ECryptFS#

eCryptfs este un sistem de fișiere cu criptare transparentă bazat pe fișiere pentru GNU+Linux, care poate fi utilizat cu Nitrokey prin intermediul unui driver PKCS#11.

Consultați aceste instrucțiuni:

  1. Importați certificatul și cheia în Nitrokey

# Warning: This will delete existing keys on your Nitrokey!
$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
  1. Creați fișierul ~/.ecryptfsrc.pkcs11:

$ editor ~/.ecryptfsrc.pkcs11
  1. Introduceți acest conținut:

$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
$ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
Certificate
    DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
    Serial: 066E04
    Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
  1. Copiați id-ul serializat pentru utilizare ulterioară:

$ ecryptfs-manager
# This will show list option. Choose option "Add public key to keyring"
# Choose pkcs11-helper
# Enter the serialized ID of step 3 to PKCS#11 ID.

Alternativ, încercați ESOSI sau urmați acești pași folosind OpenSC și OpenVPN.

Sursa ghidului: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption