Kryptering av hårddiskar

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

active

active

inactive

active

active

inactive

VeraCrypt (tidigare TrueCrypt)

VeraCrypt är en gratis programvara för diskkryptering med öppen källkod för Windows, macOS och GNU+Linux. Det är efterföljaren till TrueCrypt och rekommenderas därför, även om följande instruktioner bör gälla även för TrueCrypt.

Follow these steps to use the program with Nitrokey Storage 2 or Nitrokey Pro 2:

  1. Installera den senaste versionen av OpenSC, eller ladda ner PKCS#11-biblioteket.

  2. Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g. /usr/lib/opensc).

  3. Generera en 64 Byte nyckelfil via Tools>Keyfile Generator.

  4. Now you should be able to import the generated key file via Tools>Manage Security Token Keyfiles. You should choose the first Slot ([0] User PIN). The keyfile is then stored on the Nitrokey as Private Data Object 1 (PrivDO1).

  5. Efter detta bör du radera den ursprungliga nyckelfilen på din dator på ett säkert sätt!

  6. Nu kan du använda VeraCrypt med Nitrokey: Skapa en behållare, välj nyckelfilen på enheten som ett alternativ till ett lösenord.

Varning

Överväganden om säkerhet

Please note that VeraCrypt doesn’t make use of the full security which Nitrokey (and smart cards in general) offer. Instead it stores a keyfile on the Nitrokey which theoretically could be stolen by a compromised host, since the Private Data Object 1 is not protected by the Nitrokey’s PIN.

Kryptering av hårddiskar på GNU+Linux med LUKS/dm-crypt

Följ vår guide för att konfigurera LUKS Disk Encryption:

Purism has created a simple script to add the Nitrokey/LibremKey as a way to unlock LUKS partitions (not tested by Nitrokey yet).

Detta projekt syftar till att underlätta användningen av LUKS med Nitrokey Pro eller Lagring baserat på Password Safe (ej testat av Nitrokey ännu). En beskrivning av hur man använder den på Gentoo finns här.

För Arch Linux, se initramfs-scencrypt.

Lagringskryptering på GNU+Linux med EncFS

EncFS is an easy to utlity for encrypted file systems and it is based on FUSE. You may follow these steps to use it with very long passwords and Nitrokey Pro 2.

Initialisering

  1. Skapa en nyckelfil med slumpmässiga data:

    $ dd bs=64 count=1 if=/dev/urandom of=keyfile
    
  2. Kryptera nyckelfilen och använd ditt användar-ID för Nitrokey.

    $ gpg --encrypt keyfile
    
  3. Ta bort nyckelfilen i klartext:

    $ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
    
  4. Skapa en monteringspunkt:

    $ mkdir ~/.cryptdir ~/cryptdir
    
  5. Skapa den egentliga krypteringsmappen

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    # There may appears an error message about missing permission of fusermount
    # This message can be ignored
    
  6. Ta bort det nya filsystemet:

    $ fusermount -u ~/cryptdir
    

Användning

  1. Montera det krypterade filsystemet och ange PIN-koden för Nitrokey:

    $ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
    
  2. Efter användning avmonterar du filsystemet:

    $ fusermount -u ~/cryptdir
    

Lagringskryptering på GNU+Linux med ECryptFS

eCryptfs är ett filbaserat transparent krypteringssystem för GNU+Linux som kan användas med Nitrokey via en PKCS#11-drivrutin.

Se ` dessa <http://tkxuyen.com/blog/?p=293>`__ instruktioner:

  1. Importera certifikatet och nyckeln till Nitrokey

    # Warning: This will delete existing keys on your Nitrokey!
    $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
    
  2. Skapa filen ~/.ecryptfsrc.pkcs11:

    $ editor ~/.ecryptfsrc.pkcs11
    
  3. Ange detta innehåll:

    $ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
    $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
    Certificate
        DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
        Serial: 066E04
        Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
    
  4. Kopiera det serialiserade id:t för senare användning:

    $ ecryptfs-manager
    # This will show list option. Choose option "Add public key to keyring"
    # Choose pkcs11-helper
    # Enter the serialized ID of step 3 to PKCS#11 ID.
    

Alternativt kan du prova ESOSI eller följa dessa steg med OpenSC och OpenVPN.

Källa till guiden: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption