Шифрование жесткого диска#
✓ |
⨯ |
⨯ |
⨯ |
✓ |
✓ |
✓ |
✓ |
VeraCrypt (ранее TrueCrypt)#
VeraCrypt - это бесплатное программное обеспечение для шифрования дисков с открытым исходным кодом для Windows, macOS и GNU/Linux. Она является преемником TrueCrypt и поэтому рекомендуется к использованию, хотя следующие инструкции применимы и к TrueCrypt.
Выполните следующие шаги, чтобы использовать программу с Nitrokey Storage 2 или Nitrokey Pro 2:
Установите последний выпуск OpenSC, или загрузите библиотеку PKCS#11.
Выберите библиотеку в VeraCrypt в разделе Settings>Preferences>Security Token (расположение зависит от системы, например,
/usr/lib/opensc
).Сгенерируйте 64-байтовый ключевой файл с помощью Tools>Keyfile Generator.
Теперь вы должны иметь возможность импортировать сгенерированный файл ключей через Tools>Manage Security Token Keyfiles. Вы должны выбрать первый слот (
[0] User PIN
). Затем ключевой файл будет сохранен на Nitrokey как „Private Data Object 1“ (PrivDO1
).После этого вы должны надежно стереть оригинальный ключевой файл на вашем компьютере!
Теперь вы можете использовать VeraCrypt с Nitrokey: создайте контейнер, выберите ключевой файл на устройстве в качестве альтернативы паролю.
Предупреждение
Рассмотрение вопросов безопасности
Обратите внимание, что VeraCrypt не использует всю защиту, которую предлагает Nitrokey (и смарт-карты в целом). Вместо этого он хранит ключевой файл на Nitrokey, который теоретически может быть украден компьютерным вирусом после того, как пользователь введет PIN-код.
Примечание: Aloaha Crypt основан на TrueCrypt/VeraCrypt, но без описанных ограничений безопасности.
Шифрование жесткого диска в Linux с помощью LUKS/dm-crypt#
Для настройки LUKS Disk Encryption следуйте нашему руководству:
Purism создал простой скрипт для добавления Nitrokey/LibremKey в качестве способа разблокировки разделов LUKS (пока не протестировано Nitrokey).
Этот проект направлен на облегчение использования LUKS с Nitrokey Pro или хранилищем на основе Password Safe (пока не протестировано Nitrokey). Описание того, как использовать его на Gentoo, можно найти здесь.
Для Arch Linux смотрите initramfs-scencrypt.
Шифрование хранилища в GNU+Linux с помощью EncFS#
Совет
Пререквизиты
Убедитесь, что вы установили драйвер устройства, изменили PIN-коды по умолчанию и сгенерировали или импортировали ключи с помощью GnuPG.
EncFS - это простая в использовании система для шифрованных файловых систем, основанная на FUSE. Вы можете выполнить следующие шаги, чтобы использовать его с очень длинными паролями и Nitrokey Pro 2:
Инициализация#
Создайте ключевой файл со случайными данными:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Зашифруйте файл ключей и используйте идентификатор пользователя вашего Nitrokey
$ gpg --encrypt keyfile
Извлеките файл ключа открытым текстом:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Создайте точку монтирования:
$ mkdir ~/.cryptdir ~/cryptdir
Создайте фактическую папку шифрования
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Размонтируйте новую файловую систему:
$ fusermount -u ~/cryptdir
Использование#
Смонтируйте зашифрованную файловую систему и введите PIN-код Nitrokey:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
После использования размонтируйте файловую систему:
$ fusermount -u ~/cryptdir
Шифрование хранилища в Linux с помощью ECryptFS#
eCryptfs - это файловая система прозрачного шифрования на основе файлов для Linux, которая может использоваться с Nitrokey через драйвер PKCS#11.
Смотрите эти инструкции:
Импортируйте сертификат и ключ в Nitrokey
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Создайте файл ~/.ecryptfsrc.pkcs11:
$ editor ~/.ecryptfsrc.pkcs11
Введите это содержание:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Скопируйте сериализованный идентификатор для последующего использования:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
В качестве альтернативы попробуйте ESOSI или выполните следующие шаги, используя OpenSC и OpenVPN.
Источник справочника: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption