Шифрование жесткого диска¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
VeraCrypt (ранее TrueCrypt)¶
VeraCrypt - это бесплатное программное обеспечение для шифрования дисков с открытым исходным кодом для Windows, macOS и GNU/Linux. Она является преемником TrueCrypt и поэтому рекомендуется к использованию, хотя следующие инструкции применимы и к TrueCrypt.
Follow these steps to use the program with Nitrokey Storage 2 or Nitrokey Pro 2:
Установите последний выпуск OpenSC, или загрузите библиотеку PKCS#11.
Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g.
/usr/lib/opensc).Сгенерируйте 64-байтовый ключевой файл с помощью Tools>Keyfile Generator.
Now you should be able to import the generated key file via Tools>Manage Security Token Keyfiles. You should choose the first Slot (
[0] User PIN). The keyfile is then stored on the Nitrokey as Private Data Object 1 (PrivDO1).После этого вы должны надежно стереть оригинальный ключевой файл на вашем компьютере!
Теперь вы можете использовать VeraCrypt с Nitrokey: создайте контейнер, выберите ключевой файл на устройстве в качестве альтернативы паролю.
Предупреждение
Рассмотрение вопросов безопасности
Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.
Шифрование жесткого диска в Linux с помощью LUKS/dm-crypt¶
Для настройки LUKS Disk Encryption следуйте нашему руководству:
Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).
Этот проект направлен на облегчение использования LUKS с Nitrokey Pro или хранилищем на основе Password Safe (пока не протестировано Nitrokey). Описание того, как использовать его на Gentoo, можно найти здесь.
Для Arch Linux смотрите initramfs-scencrypt.
Шифрование хранилища в GNU+Linux с помощью EncFS¶
Совет
Пререквизиты
Убедитесь, что вы установили драйвер устройства, изменили PIN-коды по умолчанию и сгенерировали или импортировали ключи с помощью GnuPG.
EncFS is an easy to utlity for encrypted file systems and it is based on FUSE. You may follow these steps to use it with very long passwords and Nitrokey Pro 2.
Инициализация¶
Создайте ключевой файл со случайными данными:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Зашифруйте файл ключей и используйте идентификатор пользователя вашего Nitrokey
$ gpg --encrypt keyfile
Извлеките файл ключа открытым текстом:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Создайте точку монтирования:
$ mkdir ~/.cryptdir ~/cryptdir
Создайте фактическую папку шифрования
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Размонтируйте новую файловую систему:
$ fusermount -u ~/cryptdir
Использование¶
Смонтируйте зашифрованную файловую систему и введите PIN-код Nitrokey:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
После использования размонтируйте файловую систему:
$ fusermount -u ~/cryptdir
Шифрование хранилища в Linux с помощью ECryptFS¶
eCryptfs - это файловая система прозрачного шифрования на основе файлов для Linux, которая может использоваться с Nitrokey через драйвер PKCS#11.
Смотрите эти инструкции:
Импортируйте сертификат и ключ в Nitrokey
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Создайте файл ~/.ecryptfsrc.pkcs11:
$ editor ~/.ecryptfsrc.pkcs11
Введите это содержание:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Скопируйте сериализованный идентификатор для последующего использования:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
В качестве альтернативы попробуйте ESOSI или выполните следующие шаги, используя OpenSC и OpenVPN.
Источник справочника: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption