| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| nitrokey:nitropadx230 [22.08.2020 09:14. ] – [NitroPad X230] django | nitrokey:nitropadx230 [06.10.2020 17:27. ] (aktuell) – [NitroPad X230] django |
|---|
| {{:nitrokey:nitrokey-logo.png?nolink&200|Bild: Nitrokey Logo}} \\ | {{:nitrokey:nitrokey-logo.png?nolink&200|Bild: Nitrokey Logo}} \\ |
| \\ In diesem Kapitel befassen wir uns eingehender mit dem **NitroPad X230** einem speziell modifizierten sicheren Laptop mit einzigartiger Manipulationserkennung. In der **[[https://www.nitrokey.com/de/news/2020/nitropad-sicherer-laptop-mit-einzigartiger-manipulationserkennung|Produktbeschreibung]]** wie auch dem zugehörigen **[[https://www.nitrokey.com/files/doc/NitroPad_X230_Infoblatt.pdf|Datenblatt]]** finden sich alle wichtigen Hintergrundinformationen die man bei der Beschaffung des Gerätes heranziehen sollte. \\ | \\ In diesem Kapitel befassen wir uns eingehender mit dem **NitroPad X230** einem speziell modifizierten sicheren Laptop mit einzigartiger Manipulationserkennung. In der **[[https://www.nitrokey.com/de/news/2020/nitropad-sicherer-laptop-mit-einzigartiger-manipulationserkennung|Produktbeschreibung]]** wie auch dem zugehörigen **[[https://www.nitrokey.com/files/doc/NitroPad_X230_Infoblatt.pdf|Datenblatt]]** finden sich alle wichtigen Hintergrundinformationen die man bei der Beschaffung des Gerätes heranziehen sollte. \\ |
| \\ | |
| | ~~codedoc:xref:anchor_boot~~ |
| | Ein besonderes Augenmerk beim **NitroPad X230** wurde auf das Thema Sicherheit gelegt. So wird das Betriebssysteme bereits pese via LUKS vollständig verschlüsselt ausgeliefert. Beim Starten des Rechners meldet sich statt des Lenovo-BIOS das quelloffene **[[https://de.wikipedia.org/wiki/Coreboot|Coreboot]]**. Somit muss man nicht darauf vertrauen dass der Gerätehersteller und Author des originalen BIOS keine Sicherheitslücken oder Backdoors eingeschleust hat. Bei Bedarf kann man also hier den Quellcode kontrollieren und bei Bedarf sogar selbst kompilieren. Darüber hinaus wurde auch die sicherheitstechnisch bedenkliche **IME**((**I**ntel **M**anagement **E**ngine => [[https://linuxnews.de/2017/11/minix-in-der-intel-management-engine/|MINIX in der Intel Management Engine]])) entfernt. |
| | |
| | Gestartet wird der Laptop per **[[https://de.wikipedia.org/wiki/Coreboot|Coreboot]]** mit Unterstützung der Sicherheits-Firmware **[[https://github.com/osresearch/heads|Heads]]**, die darauf abzielt die physische Sicherheit und den Schutz der Daten auf dem System zu verbessern. Heads ist quasi ein kleines abgekapseltes LINUX-OS, dessen Hauptaufgabe es ist, das sichere und vertrauenswürdige Booten des Laptops sicherzustellen. Da alle Bootkomponenten vom Nutzer signiert und somit auf Veränderunen hin überprüft werden können, ist der Nutzer so in der Lage Rootkits oder eine sog. **[[https://en.wikipedia.org/wiki/Evil_maid_attack|Evil-Maid-Attacke]]** zu erkennen. |
| | Bemerkt Heads eine falsche oder fehlerhafte Signatur, stoppt es unweigerlich den Systemstart und informiert den Nutzer mit einer entsprechenden Warnmeldung. In solch einem Fall muss der Anwender sofort hellhörig werden, denn dies zeigt unweigerlich an, dass die Software verändert bzw. der Rechner manipuliert wurde! |
| | |
| | Zur Erkennung solcher böswillige Änderungen am BIOS, am Betriebssystem und der Software, wird beim **NitroPad X230** der zugehörige **Nitrokey Pro** bzw. **Nitrokey Storage**, oder genauer gesagt mit dem darauf befindlichen Schlüsselmaterial, verwendet. |
| {{ :nitrokey:nitropad-x230.png?nolink&500 |Bild: Photo des NitroPad X230}} | {{ :nitrokey:nitropad-x230.png?nolink&500 |Bild: Photo des NitroPad X230}} |
| \\ | |
| Im **[[https://shop.nitrokey.com/de_DE/shop/product/nitropad-x230-67|Onlineshop von Nitrokey]]** kann man dann sehr leicht und einfach sein gewünschtes individuelles **NitroPad X230** zusammenstellen. Die Preise bewegen sich von der einfachsten Ausführung von ca. EUR 450,00 bis hin zur Highend-Variante mit **Qubes OS 4.0** bis hin zu EUR 1.480,00. | Im **[[https://shop.nitrokey.com/de_DE/shop/product/nitropad-x230-67|Onlineshop von Nitrokey]]** kann man dann sehr leicht und einfach sein gewünschtes individuelles **NitroPad X230** zusammenstellen. Die Preise bewegen sich von der einfachsten Ausführung von ca. EUR 450,00 bis hin zur Highend-Variante mit **Qubes OS 4.0** bis hin zu EUR 1.480,00. |
| |
| /* | Das **NitroPad X230** wird auf Wunsch hin getrennt vom zugehörigen **Nitrokey Pro** bzw. **Nitrokey Storage** angeliefert. Zum Lieferumfang gehört neben dem Laptop ein passendes Originalnetzteil. |
| Gestartet wird der Laptop per **[[https://de.wikipedia.org/wiki/Coreboot|Coreboot]]** mit Unterstützung der Sicherheits-Firmware **[[https://github.com/osresearch/heads|Heads]]**, die darauf abzielt die physische Sicherheit und den Schutz der Daten auf dem System zu verbessern. | |
| |
| | ===== Dokumentation ===== |
| | <WRAP center round alert 45%> |
| | Vor der ersten Inbetriebnahme ist es **__dringendst (!) angeraten__** \\ sich ausführlich mit der Systemdokumentation unter \\ **https://www.nitrokey.com/doc/nitropad** \\ zu befassen! |
| | </WRAP> |
| |
| Die berüchtigte Intel Management Engine ist deaktiviert | ===== Inbetriebnahme ===== |
| | ==== Grundsätzliches zum Bootvorgang ==== |
| | Wie [[#boot|eingangs]] bereits erwähnt liegt beim **NitroPad X230** der eigentliche Sicherheitsgewinn des NitroPad darin, dass beim Starten des Systems erkannt werden kann, ob das System seit der letzten Nutzung verändert oder manipuliert wurde. Erreicht wird dies durch einen, aus mehreren Teilen bestehender **Measured Boot**. Eine detaillierte Beschreibung rund um das Thema **Measured Boot** findet sich in dem detailliert beschriebenen Security-Artikel **[[https://forums.juniper.net/t5/Security/What-s-the-Difference-between-Secure-Boot-and-Measured-Boot/ba-p/281251|What’s the Difference between Secure Boot and Measured Boot?]]** von //[[https://forums.juniper.net/t5/user/viewprofilepage/user-id/140211|gfedorkow]]//. |
| |
| */ | |
| |
| Das **NitroPad X230** wird auf Wunsch hin getrennt vom zugehörigen **Nitrokey Pro** bzw. **Nitrokey Storage** angeliefert. Zum Lieferumfang gehört neben dem Laptop ein passendes Originalnetzteil. | ~~codedoc:xref:anchor_heads~~ |
| | Dieser **Measured Boot** wird beim NitroPad mit Hilfe von Coreboot und Heads, aber ohne der **IME** realisiert: |
| | - Die aus Sicherheitsaspekten durchaus fragwürdige **IME**((https://www.linux-abos.de/security/intel-warnt-vor-einer-luecke-in-der-management-engine/)) wurde deaktiviert. |
| | - Das sonst übliche **UEFI**((**U**nified **E**xtensible **F**irmware **I**nterface => https://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface)) wird durch **[[https://de.wikipedia.org/wiki/Coreboot|Coreboot]]** ersetzt. |
| | - Zusätzlicher Härtung des Systems wird durch die Einbindung und Nutzung der Security-Firmware **[[https://github.com/osresearch/heads|Heads]]** erreicht, mit deren Hilfe das sichere und vertrauenswürdige Booten des Laptops erreicht wird. Grundlage hierzu sind unter anderem dass alle Bootkomponenten vom Nutzer signiert und somit auf Veränderunen hin überprüft werden können. |
| |
| | Diese Härtungsmaßnahmen beeinflussen die grundsätzlichesn Sicherungseinstellungen des geladenen Betriebssystems **__nicht__**, lediglich beim Hochfahren oder beim Updaten des Systems wird vom Benutzer mehr Auchtsamkeit eingefordert. Durch das Entfernen der IME verliert der Laptop, wie eingangs bereits erwähnt, die standby-Funktion oder auch langläufig als Schlafmodus bezeichnete Funktion. |
| |
| | Es empfiehlt sich, bei jedem Neustart des Systems den zugehörigen Nitrokey Stick anzustecken. |
| |
| | {{ :nitrokey:nitropad_002.png?nolink&500 |Bild: Hinweis beim Starten des Systems ohne angestecktem Nitrokey}} |
| |
| ===== Dokumentation ===== | Grundsätzlich sei natürlich erwähnt, dass das Betriebssystem aber auch ohne angestecktem Nitrokey Stick gestartet werden kann. |
| <WRAP center round alert 45%> | |
| Vor der ersten Inbetriebnahme ist es **__dringendst (!) angeraten__** \\ sich ausführlich mit der Systemdokumentation unter \\ **https://www.nitrokey.com/doc/nitropad** \\ zu befassen! | {{ :nitrokey:nitropad_001.png?nolink&250 |Bild: NitroPad X230 mit angestecktem Nitrokey Pro Stick}} |
| | |
| | Wenn der Nitrokey angesteckt war oder nach dem Anstecken die **RETURN**-Taste gedrückt wurde, erscheint auf dem NitroPad folgender Bildschirm. |
| | |
| | {{ :nitrokey:nitropad_003.png?nolink&500 |Bild: Hinweis beim Starten des Systems mit angestecktem Nitrokey}} |
| | |
| | ~~codedoc:xref:anchor_hotp~~ |
| | Der Hinweis **[[https://de.wikipedia.org/wiki/HMAC-based_One-time_Password_Algorithmus|HOTP]]: Sucess**, in dem zuvor gezeigten Bildschirmphoto **grün** markiert, zeigt an, dass das gemeinsame Geheimnis des NitroPad und des Nitrokey übereinstimmen und somit das BIOS nicht manipuliert bzw. geändert wurde. Aber nur wenn die grüne LED in dem Nitrokey blinkt, kann mann davon ausgehen, dass der Laptop hier nach wie vor sicher ist, denn ein Angreifer hätte Zugriff auf das NitroPad und den Nitrokey haben müssen, um dieses Ergebnis zu erreichen. |
| | <WRAP center round important 90%> |
| | Daher ist unbedingt darauf zu achten, dass keinenfalls das NitroPad zusammen mit dem zugehörigen Nitrokey Stick, aufbewahrt oder noch schlimmer unbeaufsichtigt zurückgelassen wird! |
| </WRAP> | </WRAP> |
| |
| Beim **NitroPad X230** können in Verbindung mit dem zugehörigen **Nitrokey Pro** oder genauer gesagt mit dem darauf befindlichen Schlüsselmaterial böswillige Änderungen am BIOS, am Betriebssystem und der Software leicht erkannt werden. So ist man in der komfortablen Lage sich zu vergewissern, ob in der Abwesenheit das Gerät manipuliert wurde, denn man kann nun sehr einfach prüfen, ob ggf, ein Angreifer oder eine fremde Person versucht hatte, die Firmware oder das Betriebssystem des NitroPad zu modifizieren. | Sind die Informationen auf dem NitroPad nicht mit denen des Nitrokey in Einklang zu bekommen, wird dies entsprechend mit der Meldung "Ungültiger Code" quittiert - in nachfolgendem Beispiel rot markiert. |
| |
| /* | {{ :nitrokey:nitropad_004.png?nolink&500 |Bild: Hinweis beim Starten des Systems mit angestecktem Nitrokey, bei dem das HOTP nicht passt}} |
| Sicheres Startverfahren | |
| |
| Jedes Mal, wenn Sie das NitroPad starten, sollten Sie - wenn möglich - Ihren Nitrokey anschließen. Wenn der Nitrokey eingesteckt ist und das System nicht verändert wurde, erscheint beim Einschalten des NitroPad der folgende Bildschirm. | ==== Erster Start / first boot ==== |
| | <WRAP center round info 80%> |
| | Im Auslieferungsstand sind folgende Default-Einstellungen gesetzt: |
| | * **LUKS**-Festplattenverschlüsselung: **__PleaseChangeMe__** |
| | * **User-Pin** des Nitrokey-Sticks: **__123456__** |
| | * **Admin-PIN** des Nitrokey-Sticks: **__12345678__** |
| | Diese müssen später noch abgeändert werden! |
| | </WRAP> |
| |
| Das rot markierte Kästchen enthält die Information, dass das BIOS nicht geändert wurde und dass das gemeinsame Geheimnis des NitroPad und des Nitrokey übereinstimmen. Diese Informationen reichen jedoch nicht aus, denn ein Angreifer könnte sie gefälscht haben! Wenn aber gleichzeitig auch der Nitrokey grün blinkt, ist alles in Ordnung. Ein Angreifer hätte Zugriff auf das NitroPad und den Nitrokey haben müssen, um dieses Ergebnis zu erreichen. Es ist daher wichtig, dass Sie beide Geräte nicht unbeaufsichtigt lassen. | === Installation/Konfiguration Linux Mint === |
| | Nachfolgend wird exemplarisch die Installation/Konfiguration eines **[[https://linuxmint.com/|Linux Mint]]** basierenden NitroPad X230 beschrieben. |
| |
| Wenn die Informationen auf dem NitroPad nicht mit den Informationen auf dem Nitrokey übereinstimmen, würde der Hintergrund rot werden und die Meldung "Ungültiger Code" erscheinen. Dies könnte darauf hinweisen, dass eine Manipulation stattgefunden hat. | Nachdem wir uns, wie zuvor im Abschnitt **[[#hotp|Measured Boot]]** ausführlich beschrieben, vergewissern wir uns erst einmal, dass das gemeinsame Geheimnis des NitroPad und des Nitrokey übereinstimmen und somit das BIOS nicht manipuliert bzw. geändert wurde. |
| |
| Wie der Bootvorgang aussehen kann, wenn das System geändert wurde (z.B. nach einer Aktualisierung), und welche Fehlermeldungen sonst auftreten können, wird weiter unten beschrieben. | {{ :nitrokey:nitropad_003.png?nolink&500 |Bild: Hinweis beim Starten des Systems mit angestecktem Nitrokey}} |
| Übrigens: Das NitroPad X230 kann auch ohne den Nitrokey gestartet werden. Wenn Sie den Nitrokey nicht dabei haben, aber sicher sind, dass die Hardware nicht verändert wurde, können Sie Ihr System ohne Überprüfung starten. | |
| */ | |
| |
| ===== Inbetriebnahme ===== | Sofern hier keine Fehler angezeigt wurde und die grüne LED des Nitrokey Sticks grün mehrmals blinkte, wählen wir nach dem Hochfahren des Systems die Eingabetaste ("Standard-Boot") aus und drücken die **RETURN**-Taste. |
| /* | |
| Erste Schritte | Nach kurzer Zeit, erfolgt die Abfrage des Default-Sicherungspasswortes für die LUKS-Festplattenverschlüsselung. |
| | |
| | {{ :nitrokey:nitropad_005.png?nolink&140 |Bild: Installation Linux Mint - Abfrage LUKS Passwort}} |
| | |
| | Im Anschluss daran erfolgt dann die gewohnte Installation von **[[https://linuxmint.com/|Linux Mint]]**. |
| | |
| | {{ :nitrokey:nitropad_006.png?nolink&575 |Bild: Installation Linux Mint - menügeführte Installation}} |
| | |
| | Nach der Auswahl der Sprachoption, Tastaturlayout, (wireless) Netzwereinstellung, Zeitzone und der Erstellung des Benutzerkontos können wir uns nach dem automatischen Starten anmelden und es bereits normal benutzen. |
| | |
| | === Root Passwort setzen === |
| | Da der Benutzer **root** bei der Installation noch kein Passwort gesetzt bekommen hatte, werden wir als ersten wichtigen Konfigurationsschritt, dies nachholen. Hierzu öffnen wir ein Shell-Fenster und geben folgenden Befehl ein: |
| | $ sudo passwd root |
| | |
| | Hier geben wir nun zweimal das erforderliche Passwort ein und können somit künftig direkt root-Rechte erleangen in dem wir auf der Shell-Konsole den Befehl **''su -''** verwenden. |
| | $ su - |
| | |
| | # |
| | |
| | === LUKS-Passphrase ändern === |
| | Zum Ändern der Passphrase für die LUKS-Festplattenverschlüsselung klicken wir auf das Linx Mint Logo links unten und geben in dem Suchfeld **disk** ein und bestätigen die Eingabe mit der **ENTER**-Taste. |
| | |
| | {{ :nitrokey:nitropad_007.png?nolink&600 |Bild: Linux Mint - Auswahl Programm-/Startmenü}} |
| | |
| | In folgendem Fenster wählen wir dann die entsprechende Festplatte aus und klicken auf das Zahnradsymbol |
| | |
| | {{ :nitrokey:nitropad_008.png?nolink&600 |Bild: Linux Mint - Menü zum Verwalten der Massenspeicher}} |
| | |
| | Hier wählen wir dann aus dem Menü den Punkt **Change Passphrase** aus. |
| | |
| | {{ :nitrokey:nitropad_009.png?nolink&600 |Bild: Linux Mint - Menü zum Ändern der Optionen des gewälten Massenspeichers}} |
| | |
| | Nun geben wir einmal das Default Passphrase **PleaseChangeMe** ein sowie zweimal unsere neue Passphrase für die Festplattenversachlüsselung. |
| | |
| | {{ :nitrokey:nitropad_010.png?nolink&265 |Bild: Linux Mint - Dialog zum Ändern der LUKS-Passphrase}} |
| | |
| | Zum Schluss erfolgt noch einmal zum Aktvieren unserer Konfigurationsänderung die Abfrage des Passwortes unseres Users. |
| | |
| | {{ :nitrokey:nitropad_011.png?nolink&525 |Bild: Linux Mint -Abfragedialog des Benutzerpasswortes}} |
| | |
| | |
| | === User- und Admin PIN des Nitrokey Sticks ändern === |
| | Was nun noch fehlt ist die Änderung der beiden Default PINs für den Benutzer (**123456**) und für den Admin-Zugriff (**12345678**). Hierzu klicken wir auf das Linx Mint Logo links unten und geben in dem Suchfeld **nitro** ein und wählen anschließend die angezeigte Applikation **Nitrokey App** mit einem Mausklick aus. |
| | |
| | {{ :nitrokey:nitropad_012.png?nolink&600 |Bild: Linux Mint - Auswahl Programm-/Startmenü}} |
| | |
| | In der Statusleiste rechts taucht nun das Icon der Nitrokey App auf, welches wir nun mit meinem Mausklick aus-/anwählen. |
| | |
| | {{ :nitrokey:nitropad_013.png?nolink&425 |Bild: Linux Mint - Auswahl der Nitrokey App über die Statusleiste}} |
| | |
| | Als erstes ändern wir über den betreffenden Menüpunkt die Admin-PIN. |
| | |
| | {{ :nitrokey:nitropad_014.png?nolink&350 |Bild: Linux Mint - Nitrokey App Änderungsdialog Admin-PIN}} |
| | |
| | Nach Eingabe der default PIN **12345678** und unserer individuellen Admin-PIN klicken wir auf die Schaltfläche **[ OK ]**. |
| | |
| | {{ :nitrokey:nitropad_015.png?nolink&125 |Bild: Linux Mint - Nitrokey App Bestätigung der PIN-Änderung}} |
| | |
| | Anschließend machen wir das Gleiche mit der User-PIN. |
| | |
| | {{ :nitrokey:nitropad_016.png?nolink&350 |Bild: Linux Mint - Nitrokey App Änderungsdialog User-PIN}} |
| | |
| | Nach Eingabe der default PIN **123456** und unserer individuellen Admin-PIN klicken wir auf die Schaltfläche **[ OK ]**. |
| | |
| | {{ :nitrokey:nitropad_015.png?nolink&125 |Bild: Linux Mint - Nitrokey App Bestätigung der PIN-Änderung}} |
| | |
| | ==== Erster System-Neustart / first reboot ==== |
| | Nachdem wir nun unser System Grundversorgt und unseren individuellen Bedürfnissen angepasst haben werden wir unseren ersten Reboot/Neustart unseres Laptops vornehmen. |
| | |
| | Zunächst einmal werden wir von dem bereits bekannten **[[#hotp|Measured Boot]]** nach dem Einschalten begrüßt. |
| | |
| | {{ :nitrokey:nitropad_017.png?nolink&500 |Bild: Coreboot Prompt}} |
| | |
| | Wie gewohnt wählen wir den ersten Menüpunkt **Default boot** aus. Nur statt dem erhofften **[#heads@Heads]]** Systemmeldungen werden wir durch eine Fehlermeldung "gewarnt". |
| | |
| | {{ :nitrokey:nitropad_018.png?nolink&475 |Bild: Head Fehlermeldung}} |
| | |
| | Was war bzw. ist passiert? Das Bootimage wurde natürlich bei der Installation unseren Wünschen nach angepasst und das Boot-Image vom Installations-Image auf unsere Installation geändert. dies wurde natürlich von Heads erkannt uns wird nun angemahnt. Wir müssen nun also die Check-Summe des neuen Images erstellen und anschließend mit dem PGP-Key des Nitrokey sticks neu signieren. |
| | |
| | Wir bestätigen also die vorbelegte Auswahl **[ Yes ]** durch drücken der **Return**-Taste. |
| | |
| | {{ :nitrokey:nitropad_019.png?nolink&475 |Bild: Head Dialog zum Neugenerieren der Checksum/Signaturen}} |
| | |
| | Falls noch nicht geschehen stecken wir nun unseren Nitrokey Stick an einem der beiden USB-Ports und bestätigen die vorbelegte Auswahl **[ Yes ]** durch drücken der **Return**-Taste. |
| | |
| | Wir werden nun nochmals gefragt, ob der Stick auch wirklich angesteckt wurde: |
| | |
| | Please confirm that you PGP card is inserted [Y/n]: |
| | |
| | <WRAP center round alert 80%> |
| | **ACHTUNG**: \\ |
| | Bevor wir nun die Frage mit der eingabe von **y** bestätigen, erinnern wir uns besser daran, dass die Tastaturbelegung hier **__nicht__** die gewohnte Deutsche Tatsturbelegung ist, sondern die englische Tastaturbelegung, also **z** und **y** vertauscht sind! |
| | </WRAP> |
| | |
| | Wir drücken also entweder **RETURN** zur Übernahme des Defaultwertes "**Y**es" oder entsprechend die Taste **z** auf der Tastatur und bestätigen so mit **//yes//** dass der Nitrokey Stick angesteckt ist. |
| | |
| | <code>Verifying presence of GPG card... |
| | |
| | 42112666: 000e1412197100000009 |
| | Please unlock the card |
| | |
| | Number: 0005 000067E8 |
| | Holder: |
| | Counter: 6 |
| | PIN: |
| | </code> |
| | Hier geben wir nun unsere [[#user-_und_admin_pin_des_nitrokey_sticks_aendern|zuvor geänderte User-PIN]] ein. |
| | |
| | Im Anschluss daran befinden wir uns wieder beim bekannten **Coreboot**-Prompt. |
| | |
| | {{ :nitrokey:nitropad_020.png?nolink&500 |Bild: Coreboot Prompt}} |
| | |
| | Hier können wir nun den ersten Menüpunkt **Default boot** auswählen. |
| | |
| | {{ :nitrokey:nitropad_021.png?nolink&400 |Bild: Heads systemmeldungen beim Bootvorgang}} |
| | |
| | ==== Aktualisierung der Head-Daten nach einem System-/Kernel/-glibc-Update ==== |
| | Aktualisierungen der Head-Daten stehen in aller Regel nach einem System-/Kernel/-glibc-Update an, bzw. wenn direkt nach dem Updatevorgang ein Neustart des Systems gefordert wird. |
| | Wie auch schon beim [[#erster_system-neustart_first_reboot|Erster System-Neustart]] nach der Grundinstallation von bereits bekannten **[[#hotp|Measured Boot]]** nach dem Einschalten begrüßt. |
| | |
| | {{ :nitrokey:nitropad_022.png?nolink&500 |Bild: Coreboot Prompt}} |
| | |
| | Hier wählen wir den gewohnten Menüpunkt **Default boot** aus und sehen natürlich nach einem Systemstart eine entsprechende Warnmeldung statt der erhofften **[[#heads@Heads]]** Systemmeldungen, da sich ja wesentliche Änderungen durch den Systemupgrade unseres Linux Mint Systems ergeben hatten. |
| | |
| | {{ :nitrokey:nitropad_023.png?nolink&500 |Bild: Coreboot Fehlermeldung nach Systemupgrade}} |
| | |
| | Je nach Art und Umfang der Meldungen, kann es sein, dass die Meldung **''Would you update to update your checksumnow?''** nicht zu sehen sit wie im gezeigten Fall, da zu viele Meldungen ausgegeben wurden. Wir bestätigen also die vorbelegte Auswahl **[ Yes ]** durch drücken der **Return**-Taste. |
| | |
| | {{ :nitrokey:nitropad_024.png?nolink&475 |Bild: Head Dialog zum Neugenerieren der Checksum/Signaturen}} |
| | |
| | Falls noch nicht geschehen stecken wir nun unseren Nitrokey Stick an einem der beiden USB-Ports und bestätigen die vorbelegte Auswahl **[ Yes ]** durch drücken der **Return**-Taste. |
| | |
| | Wir werden nun nochmals gefragt, ob der Stick auch wirklich angesteckt wurde: |
| | |
| | Please confirm that you PGP card is inserted [Y/n]: |
| | |
| | <WRAP center round alert 80%> |
| | **ACHTUNG**: \\ |
| | Bevor wir nun die Frage mit der eingabe von **y** bestätigen, erinnern wir uns besser daran, dass die Tastaturbelegung hier **__nicht__** die gewohnte Deutsche Tatsturbelegung ist, sondern die englische Tastaturbelegung, also **z** und **y** vertauscht sind! |
| | </WRAP> |
| | |
| | Wir drücken also entweder **RETURN** zur Übernahme des Defaultwertes "**Y**es" oder entsprechend die Taste **z** auf der Tastatur und bestätigen so mit **//yes//** dass der Nitrokey Stick angesteckt ist. |
| | |
| | <code>Verifying presence of GPG card... |
| | |
| | 42112666: 000e1412197100000009 |
| | Please unlock the card |
| | |
| | Number: 0005 000067E8 |
| | Holder: |
| | Counter: 10 |
| | PIN: |
| | </code> |
| | Hier geben wir nun unsere [[#user-_und_admin_pin_des_nitrokey_sticks_aendern|zuvor geänderte User-PIN]] ein. |
| | |
| | Im Anschluss daran befinden wir uns wieder beim bekannten **Coreboot**-Prompt. |
| | |
| | {{ :nitrokey:nitropad_025.png?nolink&500 |Bild: Coreboot Prompt}} |
| | |
| | Hier können wir nun den ersten Menüpunkt **Default boot** auswählen und bekommen im Anschluss eine Fehlermeldung **''ERROR: Boot Entry Has Benn Changed''** |
| | |
| | {{ :nitrokey:nitropad_026.png?nolink&400 |Bild: Heads Systemmeldungen beim Bootvorgang}} |
| | |
| | Diese Meldung bestätigen wir durch Druck der Taste **RETURN**-Taste. |
| | |
| | {{ :nitrokey:nitropad_027.png?nolink&400 |Bild: Heads Systemmeldungen zum Auswahl des Defaultbootimages}} |
| | |
| | Hier wählen wir den gewünschten Boot-Eintrag, also den ersten Eintrag aus. |
| | |
| | {{ :nitrokey:nitropad_028.png?nolink&400 |Bild: Heads Systemmeldungen zur Bestätigung der Bootoption}} |
| | |
| | Auf der gezeigten Auswahl wählen wir den zweiten Eintrag durch einem Druck der **↓**-Taste aus und bestätigen die Auswahl mit der **ENTER**-Taste. |
| | |
| | Bei den folgenden drei Abfragen bestätigen wir die Defaultwerte jeweils mit der **ENTER**-Taste. |
| | |
| | <code>Saving a default will modify the disk. Proceed? (Y/n): |
| | |
| | Do you wish to add a disk encryption to the TPM? [y/N]: |
| | |
| | Please confirm that you PGP card is inserted [Y/n]:</code> |
| | |
| | Anschließend wir der am USB-Port angesteckte Nitrokey Stick geprüft. |
| | <code>Verifying presence of GPG card... |
| | |
| | 42112666: 000e1412197100000009 |
| | Please unlock the card |
| | |
| | Number: 0005 000067E8 |
| | Holder: |
| | Counter: 11 |
| | PIN: |
| | </code> |
| | |
| | Hier geben wir nun unsere [[#user-_und_admin_pin_des_nitrokey_sticks_aendern|zuvor geänderte User-PIN]] ein. |
| | |
| | Anschließend bottet das system und nach Eingabe der LUKS-Passphrase befinden wir uns beim Cinnamon Anmeldefenster. |
| | |
| | {{ :nitrokey:nitropad_029.png?nolink&700 |Bild: Cinnamon Anmeldefenster von Linux Mint}} |
| | |
| | Nach Eingabe der Anmeldeinformationen befinden wir uns auf der gewohnten aktualisierten Linux Mint Umgebung. |
| | |
| | {{ :nitrokey:nitropad_030.png?nolink&700 |Bild: Cinnamon Desktop Umgebung von Linux Mint 20.0}} |
| |
| Nach dem Kauf sind die Passwörter auf einen Standardwert gesetzt und müssen von Ihnen geändert werden: | |
| |
| - Drücken Sie nach dem Hochfahren des Systems die Eingabetaste ("Standard-Boot"), vorausgesetzt, der NitroPad hat keine Fehler angezeigt und der Nitrokey leuchtet grün (siehe oben). | ====== Links ====== |
| - Als Nächstes werden Sie vom System aufgefordert, die Passphrase zum Entschlüsseln der Festplatte einzugeben. Die Passphrase lautet zunächst "PleaseChangeMe". | * **[[wiki:start#sicherheit-_und_vertraulichkeit|Zurück zu Projekte und Themenkapitel]]** |
| - Das System wird Sie dann durch den Prozess der Erstellung eines Benutzerkontos führen. Danach sollten Sie das System erfolgreich gebootet haben und konnten es bereits normal benutzen. | * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** |
| - Klicken Sie auf das Nitrokey-Symbol auf der linken Seite des Bildschirms, um die vorinstallierte Nitrokey-Anwendung zu öffnen. | |
| - Ändern Sie die PINs Ihres Nitrokey wie hier beschrieben. | |
| - Ändern Sie die Passphrase für die Festplattenverschlüsselung wie hier beschrieben. | |
| |
| */ | |
django