Šifrovanie pevného disku

VeraCrypt (predtým TrueCrypt)

VeraCrypt je bezplatný softvér s otvoreným zdrojovým kódom na šifrovanie diskov pre systémy Windows, macOS a GNU+Linux. Je nástupcom TrueCryptu, a preto sa odporúča, hoci nasledujúce pokyny by mali platiť aj pre TrueCrypt.

Ak chcete používať program s Nitrokey Storage 2 alebo Nitrokey Pro 2, postupujte podľa týchto krokov:

1. Nainštalujte najnovšiu verziu OpenSC alebo si stiahnite Knižnicu PKCS#11.

2. Vyberte knižnicu v programe VeraCrypt v časti Settings>Preferences>Security Token (umiestnenie závisí od systému, napr. /usr/lib/opensc).

3. Vygenerujte 64-bajtový súbor s kľúčom pomocou nástroja Tools>Keyfile Generator.

4. Teraz by ste mali byť schopní importovať vygenerovaný súbor s kľúčom prostredníctvom nástroja Tools>Manage Security Token Keyfiles. Mali by ste vybrať prvý Slot ([0] User PIN). Súbor kľúča sa potom uloží na Nitrokey ako „Objekt súkromných údajov 1“ (PrivDO1).

5. Potom by ste mali bezpečne vymazať pôvodný súbor s kľúčom v počítači!

6. Teraz môžete používať VeraCrypt s Nitrokey: Vytvorte kontajner, vyberte súbor s kľúčom v zariadení ako alternatívu k heslu.

Varovanie

Bezpečnostné hľadisko

Upozorňujeme, že VeraCrypt nevyužíva úplné zabezpečenie, ktoré ponúka Nitrokey (a čipové karty všeobecne). Namiesto toho ukladá na kartu Nitrokey súbor s kľúčom, ktorý by teoreticky mohol byť odcudzený počítačovým vírusom po zadaní kódu PIN používateľom.

Poznámka: Aloaha Crypt je založený na TrueCrypt/VeraCrypt, ale bez opísaného bezpečnostného obmedzenia.

Šifrovanie pevného disku v systéme GNU+Linux pomocou LUKS/dm-crypt

Tu je výborný návod, ako používať Nitrokey na šifrovanie pevného disku pod GNU+Linuxom pomocou LUKS/dm-crypt. Ďalšie návody.

Purism vytvoril jednoduchý skript na pridanie kľúča Nitrokey/LibremKey ako spôsobu odomykania oddielov LUKS (zatiaľ nie je testovaný Nitrokey).

Tento projekt má za cieľ uľahčiť používanie LUKS s Nitrokey Pro alebo úložiskom založeným na Password Safe (zatiaľ netestované Nitrokey). Popis používania v systéme Gentoo nájdete tu.

Pre Arch Linux pozri initramfs-scencrypt.

Šifrovanie úložiska v systéme GNU+Linux pomocou systému EncFS

Tip

Predpoklad

Uistite sa, že ste nainštalovali ovládač zariadenia, zmenili predvolené kódy PIN a vygenerovali alebo importovali kľúče pomocou GnuPG.

EncFS je ľahko použiteľný nástroj pre šifrované súborové systémy a je založený na FUSE. Môžete postupovať podľa týchto krokov a používať ho s veľmi dlhými heslami a Nitrokey Pro 2:

Inicializácia

1. Vytvorenie súboru s kľúčom s náhodnými údajmi:

   $ dd bs=64 count=1 if=/dev/urandom of=keyfile
   

2. Zašifrujte súbor s kľúčom a použite identifikátor používateľa vášho kľúča Nitrokey

   $ gpg --encrypt keyfile
   

3. Odstráňte súbor s kľúčom v čistom texte:

   $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
   

4. Vytvorenie prípojného bodu:

   $ mkdir ~/.cryptdir ~/cryptdir
   

5. Vytvorenie skutočného priečinka na šifrovanie

   $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
   # There may appears an error message about missing permission of fusermount
   # This message can be ignored
   

6. Odpojte nový systém súborov:

   $ fusermount -u ~/cryptdir
   

Používanie

1. Pripojte zašifrovaný súborový systém a zadajte PIN kód Nitrokey:

   $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
   

2. Po použití odpojte systém súborov:

   $ fusermount -u ~/cryptdir
   

Šifrovanie úložiska v systéme GNU+Linux pomocou systému ECryptFS

eCryptfs je súborový transparentný šifrovací systém pre GNU+Linux, ktorý možno používať s Nitrokey prostredníctvom ovládača PKCS#11.

Pozrite si tieto pokyny:

1. Import certifikátu a kľúča do aplikácie Nitrokey

   # Warning: This will delete existing keys on your Nitrokey!
   $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
   

2. Vytvorte súbor ~/.ecryptfsrc.pkcs11:

   $ editor ~/.ecryptfsrc.pkcs11
   

3. Zadajte tento obsah:

   $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
   $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
   Certificate
       DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
       Serial: 066E04
       Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
   

4. Skopírujte serializované id na neskoršie použitie:

   $ ecryptfs-manager
   # This will show list option. Choose option "Add public key to keyring"
   # Choose pkcs11-helper
   # Enter the serialized ID of step 3 to PKCS#11 ID.
   

Prípadne skúste ESOSI alebo postupujte podľa týchto krokov pomocou OpenSC a OpenVPN.

Zdroj príručky: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption