Často kladené otázky o ukladaní Nitrokey#
Keďže Nitrokey Storage 2 je v podstate Nitrokey Pro 2 vrátane nevolatilného (šifrovaného) úložiska, čiastočne sa naň vzťahuje aj Nitrokey Pro 2 FAQ.
- Q: Ktoré operačné systémy sú podporované?
Windows, Linux a macOS.
- Q: Na čo môžem použiť Nitrokey?
Prehľad podporovaných prípadov použitia nájdete na hlavnej stránke.
- Q: Aké sú predvolené kódy PIN?
Používateľský kód PIN: „123456“
Administrátorský PIN: „12345678“
Heslo k pevnému softvéru: „12345678“
Dôrazne odporúčame zmeniť tieto kódy PIN/heslá na hodnoty zvolené používateľom pred použitím zariadenia Nitrokey.
- Q: Aká veľká je kapacita pamäte?
Úložisko Nitrokey môže ukladať a šifrovať 8, 32 alebo 64 GB dát (v závislosti od konkrétneho modelu).
- Q: Prečo nemôžem získať prístup k zašifrovanému úložisku v novom úložisku Nitrokey?
Na novom zariadení Nitrokey Storage sa pred prístupom k zašifrovanému zväzku uistite, že ste najprv „Zničili zašifrované údaje“ v aplikácii Nitrokey.
- Q: Aká je maximálna dĺžka kódu PIN?
Nitrokey používa namiesto hesiel kódy PIN. Hlavným rozdielom je, že hardvér obmedzuje počet pokusov na tri, zatiaľ čo pri heslách tento limit neexistuje. Z tohto dôvodu je krátky kód PIN stále bezpečný a nie je potrebné voliť dlhý a zložitý kód PIN.
PIN kód úložiska Nitrokey Storage’môže mať až 20 číslic a môže pozostávať z číslic, znakov a špeciálnych znakov. Poznámka: Pri používaní GnuPG alebo OpenSC je možné používať 32 znakov dlhé kódy PIN, ktoré však aplikácia Nitrokey nepodporuje.
- Q: Na čo slúži používateľský kód PIN?
Používateľský kód PIN je najmenej 6-miestny a slúži na získanie prístupu ku kontaktu systému Nitrokey. Tento kód PIN budete často používať pri každodennom používaní, napr. na dešifrovanie správ, na odomknutie zašifrovaného úložiska (iba úložisko NK) atď.
Používateľský kód PIN môže mať maximálne 20 číslic a ďalších znakov (napr. abecedných a špeciálnych). Keďže sa však používateľský kód PIN zablokuje hneď po troch nesprávnych pokusoch o zadanie kódu PIN, je dostatočne bezpečné mať len 6-miestny kód PIN. Predvolený kód PIN je 123456.
- Q: Na čo slúži kód PIN administrátora?
Administrátorský PIN kód je najmenej 8-miestny a používa sa na zmenu obsahu/nastavenia zariadenia Nitrokey. To znamená, že po inicializácii kľúča Nitrokey tento PIN pravdepodobne nebudete’potrebovať príliš často (napr. ak chcete pridať ďalšie heslo do trezoru hesiel kľúča Nitrokey Pro alebo úložiska Nitrokey).
Kód PIN administrátora môže mať až 20 číslic a ďalších znakov (napr. abecedných a špeciálnych). Keďže sa však kód PIN administrátora zablokuje hneď po troch nesprávnych pokusoch o zadanie kódu PIN, je dostatočne bezpečné mať len 8-miestny kód PIN. Predvolený kód PIN je 12345678.
- Q: Prečo sa moje úložisko Nitrokey pri prepínaní medzi aplikáciami nitrokey a GnuPG zasekne?
GnuPG a nitrokey-app si niekedy navzájom odporujú. Ide o známy problém, ktorý sa dá odstrániť opätovným vložením kľúča Nitrokey do slotu USB.
- Q: Na čo slúži kód PIN firmvéru?
Heslo firmvéru by malo spĺňať všeobecné odporúčania pre heslá (napr. používať abecedné znaky, číslice a špeciálne znaky alebo používať dostatočne dlhé heslo). Heslo firmvéru je potrebné na aktualizáciu firmvéru zariadenia Nitrokey Storage. Ďalšie pokyny pre proces aktualizácie nájdete tu.
Heslo firmvéru nie je nikdy zablokované. Útočník by sa mohol pokúsiť uhádnuť heslo a mal by neobmedzený počet pokusov. Preto musíte zvoliť silné heslo. Predvolené heslo je 12345678.
- Q: Koľko kľúčov môžem uložiť?
Úložisko Nitrokey môže uložiť tri páry kľúčov RSA. Všetky kľúče používajú rovnakú identitu, ale používajú sa na rôzne účely: overovanie, šifrovanie a podpisovanie.
- Q: Ako rýchlo prebieha šifrovanie a podpisovanie?
Šifrovanie 50kiB údajov:
256 bitov AES, 2048 bajtov na príkaz -> 880 bajtov za sekundu
128 bitov AES, 2048 bajtov na príkaz -> 893 bajtov za sekundu
256 bitov AES, 240 bajtov na príkaz -> 910 bajtov za sekundu
128 bitov AES, 240 bajtov na príkaz -> 930 bajtov za sekundu
- Q: Ktoré algoritmy a maximálna dĺžka kľúča sú podporované?
Pozri nasledujúcu tabuľku:
Štart |
Pro + Storage |
Pro 2 + úložisko 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
krivka25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Mozgovňa 192 |
✓ |
✓ |
||||
Mozgovňa 256-320 |
✓ |
✓ |
✓ |
|||
Mozgovňa 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Obsahuje úložisko Nitrokey bezpečný čip alebo len bežný mikrokontrolér?
Úložisko Nitrokey obsahuje čipovú kartu odolnú voči neoprávnenej manipulácii.
- Q: Je úložisko Nitrokey Storage certifikované podľa Common Criteria alebo FIPS?
Spoločnosť Cure53 vykonala nezávislý bezpečnostný audit hardvéru, firmvéru a aplikácie Nitrokey. Hardvér bezpečnostného kontroléra je certifikovaný podľa Common Criteria (Report; pozri here, kliknite na „ICs, Smart Cards and Smart Card-Related Devices and Systems“ (Integrované obvody, čipové karty a zariadenia a systémy súvisiace s čipovými kartami). a vyhľadajte „NXP Smart Card Controller P5CD081V1A a jeho hlavné konfigurácie P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A a P5CD016V1A, každá s dedikovaným softvérom IC“).
- Q: Ako môžem použiť generátor pravých náhodných čísel (TRNG) úložiska Nitrokey pre svoje aplikácie?
Obe zariadenia sú kompatibilné s kartou OpenPGP, takže scdrand by mal fungovať. Tento skript môže byť užitočný. Používateľ comio vytvoril súbor systemd na používanie scdrand, a teda TRNG vo všeobecnosti. Vytvoril tiež súbor pre Gentoo.
- Q: Ako dobrý je generátor náhodných čísel?
Zariadenia Nitrokey Pro a Nitrokey Storage používajú na generovanie kľúčov v zariadení generátor náhodných čísel (TRNG). Entropia generovaná TRNG sa používa pre celú dĺžku kľúča. Preto je TRNG v súlade s BSI TR-03116.
TRNG poskytuje rýchlosť približne 40 kbit/s.
- Q: Ako môžem používať šifrované mobilné úložisko?
Pred použitím šifrovaného mobilného úložiska musíte nainštalovať a inicializovať úložisko Nitrokey a stiahnuť si najnovšiu aplikáciu Nitrokey.
Spustite aplikáciu Nitrokey.
Stlačte jeho ikonu na ploche a v ponuke vyberte položku „odomknúť zašifrovaný zväzok“.
Do zobrazeného vyskakovacieho okna zadajte svoj používateľský kód PIN.
Ak je to prvýkrát, možno budete musieť vytvoriť oddiel na zašifrovanom zväzku. Systém Windows otvorí príslušné okno a požiada vás o to. V systémoch Linux a Mac bude možno potrebné otvoriť správcu diskových oddielov a vytvoriť oddiel ručne. Môžete vytvoriť ľubovoľný počet oddielov. Odporúčame FAT(32), ak chcete mať k oddielu prístup z rôznych operačných systémov.
Teraz môžete zašifrovaný zväzok používať ako akýkoľvek iný bežný disk USB. Všetky údaje na ňom uložené však budú automaticky zašifrované v hardvéri Nitrokey.
Ak chcete odstrániť alebo uzamknúť zašifrovaný zväzok, mali by ste ho najprv odmontovať/odstrániť.
Potom môžete odpojiť kľúč Nitrokey alebo vybrať položku „uzamknúť zašifrovaný zväzok“ z ponuky aplikácie Nitrokey.
Úložisko Nitrokey dokáže vytvárať aj skryté zväzky. Pozrite si príslušné pokyny pre skryté zväzky.
- Q: Ako môžem používať skrytý objem?
Skryté zväzky umožňujú skryť údaje v zašifrovanom zväzku. Údaje sú chránené dodatočným heslom. Bez hesla nie je možné dokázať existenciu údajov. Skryté zväzky nie sú predvolene nastavené tak, aby sa ich existencia dala hodnoverne poprieť. Koncept je podobný skrytému zväzku VeraCrypt’s/TrueCrypt’s, ale v prípade úložiska Nitrokey Storage je celá funkčnosť skrytých zväzkov implementovaná hardvérovo.
Môžete nakonfigurovať až štyri skryté zväzky. Po odomknutí sa skryté zväzky správajú ako bežné úložisko, v ktorom môžete vytvárať rôzne oddiely, systémy súborov a ukladať súbory podľa vlastného uváženia.
Ak sa rozhodnete nakonfigurovať skryté zväzky, nemôžete už používať zašifrované úložisko. Keďže sa skrytý zväzok nachádza na voľnom mieste šifrovaného úložiska, existuje možnosť prepísania údajov v skrytom zväzku. Dá sa povedať, že ani šifrované úložisko „nevie“, že existuje skrytý zväzok. Všeobecná štruktúra je znázornená na nasledujúcej schéme. Preto po vytvorení skrytého zväzku do zašifrovaného úložiska nič nezapisujte (musíte ho však najprv odomknúť).
Skryté zväzky sú ako kontajnery v kontajneri, šifrovanom zväzku.