Часто задаваемые вопросы о хранении в Нитрокей#

Поскольку Nitrokey Storage 2 по сути является Nitrokey Pro 2, включая энергонезависимое (зашифрованное) хранилище, к нему также частично применим Nitrokey Pro 2 FAQ.

В: Какие операционные системы поддерживаются?

Windows, Linux и macOS.

В: Для чего я могу использовать Nitrokey?

Обзор поддерживаемых вариантов использования см. на frontpage.

В: Какие PIN-коды используются по умолчанию?
  • ПИН-код пользователя: «123456»

  • ПИН-код администратора: «12345678»

  • Пароль прошивки: «12345678»

Перед использованием Nitrokey настоятельно рекомендуется изменить эти PIN-коды/пароли на значения, выбранные пользователем.

В: Насколько велика емкость хранилища?

Nitrokey Storage может хранить и шифровать 8, 32 или 64 ГБ данных (в зависимости от конкретной модели).

Вопрос: Почему я не могу получить доступ к зашифрованному хранилищу на новом хранилище Nitrokey Storage?

На новом устройстве хранения Nitrokey, прежде чем вы сможете получить доступ к зашифрованному тому, убедитесь, что вы сначала «Уничтожили зашифрованные данные» в приложении Nitrokey.

В: Какова максимальная длина PIN-кода?

Nitrokey использует PIN-коды вместо паролей. Основное отличие заключается в том, что аппаратное обеспечение ограничивает количество попыток тремя, в то время как для паролей такого ограничения не существует. Поэтому короткий PIN-код по-прежнему безопасен, и нет необходимости выбирать длинный и сложный PIN-код.

PIN-коды Nitrokey Storage“ могут быть длиной до 20 цифр и состоять из цифр, знаков и специальных символов. Примечание: При использовании GnuPG или OpenSC можно использовать PIN-коды длиной 32 символа, но они“ не поддерживаются приложением Nitrokey.

В: Для чего нужен PIN-код пользователя?

PIN-код пользователя состоит как минимум из 6 цифр и используется для получения доступа к содержимому Nitrokey. Это PIN-код, который вы будете часто использовать в повседневной жизни, например, для расшифровки сообщений, для разблокировки зашифрованного хранилища (только для NK Storage) и т.д.

PIN-код пользователя может содержать до 20 цифр и других символов (например, алфавитных и специальных). Но поскольку PIN-код пользователя блокируется сразу после трех неправильных попыток ввода PIN-кода, достаточно безопасно иметь PIN-код, состоящий только из 6 цифр. PIN-код по умолчанию - 123456.

В: Для чего нужен PIN-код администратора?

PIN-код администратора состоит как минимум из 8 цифр и используется для изменения содержимого/настроек Nitrokey. То есть после инициализации Nitrokey этот PIN-код, вероятно, не понадобится вам слишком часто (например, если вы захотите добавить еще один пароль в сейф паролей Nitrokey Pro или Nitrokey Storage).

PIN-код администратора может содержать до 20 цифр и других символов (например, буквенных и специальных). Но поскольку PIN-код администратора блокируется при трех неправильных попытках ввода PIN-кода, достаточно безопасно иметь только 8-значный PIN-код. PIN-код по умолчанию - 12345678.

В: Почему мое хранилище Nitrokey Storage зависает при переключении между nitrokey-app и GnuPG?

GnuPG и nitrokey-app иногда имеют тенденцию передавать друг друга. Это известная проблема, и ее можно устранить, повторно вставив Nitrokey в USB-разъем.

В: Для чего нужен PIN-код прошивки?

Пароль прошивки должен соответствовать общим рекомендациям по паролям (например, использовать буквенные символы, цифры и специальные символы или использовать достаточно длинный пароль). Пароль прошивки необходим для обновления прошивки Nitrokey Storage. Дополнительные инструкции по процессу обновления см. здесь.

Пароль прошивки никогда не блокируется. Злоумышленник может попытаться угадать пароль, и у него будет неограниченное количество попыток. Поэтому вы должны выбрать надежный пароль. По умолчанию используется пароль 12345678.

В: Сколько ключей я могу хранить?

Хранилище Nitrokey Storage может хранить три пары ключей RSA. Все ключи используют один и тот же идентификатор, но применяются для разных целей: аутентификации, шифрования и подписи.

В: Насколько быстро происходит шифрование и подписание?

Шифрование 50 килобайт данных:

  • 256-битный AES, 2048 байт на команду -> 880 байт в секунду

  • 128-битный AES, 2048 байт на команду -> 893 байт в секунду

  • 256-битный AES, 240 байт на команду -> 910 байт в секунду

  • 128-битный AES, 240 байт на команду -> 930 байт в секунду

В: Какие алгоритмы и максимальная длина ключа поддерживаются?

См. следующую таблицу:

Начало

Профи + хранение

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

кривая25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Мозговой пул 384-521

secp192

secp256

secp521

Вопрос: Содержит ли Nitrokey Storage защищенный чип или обычный микроконтроллер?

Хранилище Nitrokey содержит смарт-карту, устойчивую к взлому.

В: Сертифицировано ли хранилище Nitrokey по Common Criteria или FIPS?

Компания Cure53 провела независимый аудит безопасности аппаратной части, микропрограммного обеспечения и приложения Nitrokey. Аппаратная часть контроллера безопасности сертифицирована по стандарту Common Criteria (`Report; см. здесь, нажмите «ICs, Smart Cards and Smart Card-Related Devices and Systems» и найдите «Контроллер смарт-карт NXP P5CD081V1A и его основные конфигурации P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A и P5CD016V1A, каждая с программным обеспечением, выделенным в ИС»).

В: Как я могу использовать генератор истинных случайных чисел (TRNG) хранилища Nitrokey для своих приложений?

Оба устройства совместимы с OpenPGP Card, так что scdrand должен работать. Этот сценарий может быть полезен. Пользователь comio создал файл systemd для использования scdrand и, таким образом, TRNG в целом. Он также создал сборку для Gentoo.

Вопрос: Насколько хорош генератор случайных чисел?

Nitrokey Pro и Nitrokey Storage используют генератор истинных случайных чисел (TRNG) для генерации ключей на устройстве. Энтропия, генерируемая TRNG, используется для всей длины ключа. Поэтому TRNG соответствует BSI TR-03116.

TRNG обеспечивает около 40 кбит/с.

В: Как я могу использовать зашифрованное мобильное хранилище?

Перед использованием зашифрованного мобильного хранилища необходимо установить и инициализировать хранилище Nitrokey и загрузить последнюю версию приложения Nitrokey.

  • Запустите приложение Nitrokey.

  • Нажмите на его значок в трее и выберите в меню пункт «Разблокировать зашифрованный том».

  • Введите PIN-код пользователя в появившемся всплывающем окне.

  • Если это первый раз, вам может понадобиться создать раздел на зашифрованном томе. Windows откроет соответствующее окно и попросит вас сделать это. В Linux и Mac может потребоваться открыть менеджер разделов и создать раздел вручную. Вы можете создать столько разделов, сколько захотите. Мы рекомендуем FAT(32), если вы хотите получить доступ к разделу из различных операционных систем.

  • Теперь вы можете использовать зашифрованный том так же, как и любой другой обычный USB-накопитель. Но все данные, хранящиеся на нем, будут зашифрованы в аппаратном обеспечении Nitrokey автоматически.

  • Чтобы удалить или заблокировать зашифрованный том, его необходимо сначала размонтировать/извлечь.

  • После этого вы можете отключить Nitrokey или выбрать «заблокировать зашифрованный том» в меню приложения Nitrokey.

Nitrokey Storage также может создавать скрытые тома. Пожалуйста, ознакомьтесь с соответствующими инструкциями для скрытых томов.

В: Как я могу использовать скрытый том?

Скрытые тома позволяют скрыть данные в зашифрованном томе. Данные защищены дополнительным паролем. Без пароля существование данных не может быть доказано. По умолчанию скрытые тома не настроены так, чтобы их существование можно было правдоподобно отрицать. Концепция похожа на концепцию скрытых томов VeraCrypt’s/TrueCrypt’s, но в Nitrokey Storage вся функциональность скрытых томов реализована аппаратно.

Вы можете настроить до четырех скрытых томов. После разблокировки скрытые тома ведут себя как обычное хранилище, где можно создавать различные разделы, файловые системы и хранить файлы по своему усмотрению.

Если вы решите настроить Скрытые тома, вы больше не сможете использовать зашифрованное хранилище. Поскольку скрытый том расположен на свободном пространстве зашифрованного хранилища, существует вероятность перезаписи данных в скрытом томе. Можно сказать, что даже зашифрованное хранилище «не знает» о существовании скрытого тома. Общая структура показана на диаграмме ниже. Поэтому, пожалуйста, не записывайте ничего в зашифрованное хранилище после создания скрытого тома (сначала его нужно разблокировать).

Скрытые тома - это как контейнеры внутри контейнера, зашифрованного тома.