Часто задаваемые вопросы о хранении в Нитрокей¶
Поскольку Nitrokey Storage 2 по сути является Nitrokey Pro 2, включая энергонезависимое (зашифрованное) хранилище, к нему также частично применим Nitrokey Pro 2 FAQ.
- Q: Which Operating Systems are supported?
Windows, Linux и macOS.
- Q: What can I use the Nitrokey for?
См. обзор поддерживаемых сценариев использования.
- Q: What are the default PINs?
ПИН-код пользователя: «123456»
ПИН-код администратора: «12345678»
Пароль прошивки: «12345678»
Перед использованием Nitrokey настоятельно рекомендуется изменить эти PIN-коды/пароли на значения, выбранные пользователем.
- Q: How large is the storage capacity?
Nitrokey Storage может хранить и шифровать 8, 32 или 64 ГБ данных (в зависимости от конкретной модели).
- Q: Why can’t I access the encrypted storage on a new Nitrokey Storage?
На новом устройстве хранения Nitrokey, прежде чем вы сможете получить доступ к зашифрованному тому, убедитесь, что вы сначала «Уничтожили зашифрованные данные» в приложении Nitrokey.
- Q: What is the maximum length of the PIN?
Nitrokey использует PIN-коды вместо паролей. Основное отличие заключается в том, что аппаратное обеспечение ограничивает количество попыток тремя, в то время как для паролей такого ограничения не существует. Поэтому короткий PIN-код по-прежнему безопасен, и нет необходимости выбирать длинный и сложный PIN-код.
PIN-коды Nitrokey Storage“ могут быть длиной до 20 цифр и состоять из цифр, знаков и специальных символов. Примечание: При использовании GnuPG или OpenSC можно использовать PIN-коды длиной 32 символа, но они“ не поддерживаются приложением Nitrokey.
- Q: What is the User PIN for?
PIN-код пользователя состоит как минимум из 6 цифр и используется для получения доступа к контенту Nitrokey. Этот PIN-код вы будете часто использовать в повседневной жизни, например, для расшифровки сообщений, для разблокировки вашего зашифрованного хранилища (только для NK Storage) и т.д.
PIN-код пользователя может содержать до 20 цифр и других символов (например, алфавитных и специальных). Но поскольку PIN-код пользователя блокируется сразу после трех неправильных попыток ввода PIN-кода, достаточно безопасно иметь PIN-код, состоящий только из 6 цифр. PIN-код по умолчанию - 123456.
- Q: What is the Admin PIN for?
PIN-код администратора состоит как минимум из 8 цифр и используется для изменения содержимого/настроек Nitrokey. То есть после инициализации Nitrokey этот PIN-код, вероятно, не понадобится вам слишком часто (например, если вы захотите добавить еще один пароль в сейф паролей Nitrokey Pro или Nitrokey Storage).
PIN-код администратора может содержать до 20 цифр и других символов (например, буквенных и специальных). Но поскольку PIN-код администратора блокируется при трех неправильных попытках ввода PIN-кода, достаточно безопасно иметь только 8-значный PIN-код. PIN-код по умолчанию - 12345678.
- Q: Why does my Nitrokey Storage hang when switching between nitrokey-app and GnuPG?
GnuPG и nitrokey-app иногда имеют тенденцию передавать друг друга. Это известная проблема, и ее можно устранить, повторно вставив Nitrokey в USB-разъем.
- Q: What is the firmware PIN for?
Пароль прошивки должен соответствовать общим рекомендациям по паролям (например, использовать буквенные символы, цифры и специальные символы или использовать достаточно длинный пароль). Пароль прошивки необходим для обновления прошивки Nitrokey Storage. Дополнительные инструкции по процессу обновления см. здесь.
Пароль прошивки никогда не блокируется. Злоумышленник может попытаться угадать пароль, и у него будет неограниченное количество попыток. Поэтому вы должны выбрать надежный пароль. По умолчанию используется пароль 12345678.
- Q: How many keys can I store?
Хранилище Nitrokey Storage может хранить три пары ключей RSA. Все ключи используют один и тот же идентификатор, но применяются для разных целей: аутентификации, шифрования и подписи.
- Q: How fast is encryption and signing?
Шифрование 50 килобайт данных:
256-битный AES, 2048 байт на команду -> 880 байт в секунду
128-битный AES, 2048 байт на команду -> 893 байт в секунду
256-битный AES, 240 байт на команду -> 910 байт в секунду
128-битный AES, 240 байт на команду -> 930 байт в секунду
- Q: Which algorithms and maximum key length are supported?
См. следующую таблицу:
Начало |
Профи + хранение |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
кривая25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Мозговой пул 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Does the Nitrokey Storage contain a secure chip or just a normal microcontroller?
Хранилище Nitrokey содержит смарт-карту, устойчивую к взлому.
- Q: Is the Nitrokey Storage Common Criteria or FIPS certified?
Контроллер безопасности (NXP Smart Card Controller P5CD081V1A и его основные конфигурации P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A и P5CD016V1A, каждая из которых имеет специальное программное обеспечение IC) сертифицированы по Common Criteria EAL 5+ до уровня ОС (Certification Report, Security Target, Maintenance Report, Maintenance ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Кроме того, компания Cure53 провела независимый аудит безопасности оборудования, прошивки и приложения Nitrokey.
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey Storage for my applications?
Оба устройства совместимы с OpenPGP Card, так что scdrand должен работать. Этот сценарий может быть полезен. Пользователь comio создал файл systemd для использования scdrand и, таким образом, TRNG в целом. Он также создал сборку для Gentoo.
- Q: How good is the Random Number Generator?
Nitrokey Pro и Nitrokey Storage используют генератор истинных случайных чисел (TRNG) для генерации ключей на устройстве. Энтропия, генерируемая TRNG, используется для всей длины ключа. Поэтому TRNG соответствует BSI TR-03116.
TRNG обеспечивает около 40 кбит/с.
- Q: How can I use the encrypted mobile Storage?
Перед использованием зашифрованного мобильного хранилища необходимо установить и инициализировать хранилище Nitrokey и загрузить последнюю версию приложения Nitrokey.
Запустите приложение Nitrokey.
Нажмите на его значок в трее и выберите в меню пункт «Разблокировать зашифрованный том».
Введите PIN-код пользователя в появившемся всплывающем окне.
Если это первый раз, вам может потребоваться создать раздел на зашифрованном томе. Windows откроет соответствующее окно и попросит вас сделать это. В Linux и Mac может потребоваться открыть менеджер разделов и создать раздел вручную. Вы можете создать столько разделов, сколько захотите. Мы рекомендуем FAT(32), если вы хотите получить доступ к разделу из различных операционных систем.
Теперь вы можете использовать зашифрованный том так же, как и любой другой обычный USB-накопитель. Но все данные, хранящиеся на нем, будут зашифрованы в аппаратном обеспечении Nitrokey автоматически.
Чтобы удалить или заблокировать зашифрованный том, его необходимо сначала размонтировать/извлечь.
После этого вы можете отключить Nitrokey или выбрать «заблокировать зашифрованный том» в меню приложения Nitrokey.
Nitrokey Storage также может создавать скрытые тома. Пожалуйста, ознакомьтесь с соответствующими инструкциями для скрытых томов.
Скрытые тома позволяют скрыть данные в зашифрованном томе. Данные защищены дополнительным паролем. Без пароля существование данных не может быть доказано. По умолчанию скрытые тома не настроены так, чтобы их существование можно было правдоподобно отрицать. Концепция похожа на концепцию скрытых томов VeraCrypt’s/TrueCrypt’s, но в Nitrokey Storage вся функциональность скрытых томов реализована аппаратно.
Вы можете настроить до четырех скрытых томов. После разблокировки скрытые тома ведут себя как обычное хранилище, где можно создавать различные разделы, файловые системы и хранить файлы по своему усмотрению.
Если вы решите настроить Скрытые тома, вы больше не сможете использовать зашифрованное хранилище. Поскольку скрытый том расположен на свободном пространстве зашифрованного хранилища, существует вероятность перезаписи данных в скрытом томе. Можно сказать, что даже зашифрованное хранилище «не знает» о существовании скрытого тома. Общая структура показана на диаграмме ниже. Поэтому, пожалуйста, не записывайте ничего в зашифрованное хранилище после создания скрытого тома (сначала его нужно разблокировать).
Скрытые тома - это как контейнеры внутри контейнера, зашифрованного тома.