Nitrokey Pro 2 FAQ#

Q: Welche Betriebssysteme werden unterstützt?

Windows, Linux und macOS.

Q: Wofür kann ich den Nitrokey verwenden?

Siehe die Übersicht der unterstützten Anwendungsfälle.

Q: Wie lauten die Standard-PINs?
  • Benutzer-PIN: „123456“

  • Administrator-PIN: „12345678“

Wir empfehlen dringend, diese PINs/Passwörter vor der Verwendung des Nitrokeys in benutzerdefinierte Werte zu ändern.

Q: Wie lang darf die PIN maximal sein?

Nitrokey verwendet PINs anstelle von Passwörtern. Der Hauptunterschied besteht darin, dass die Hardware die Anzahl der Versuche auf drei begrenzt, während es bei Passwörtern kein Limit gibt. Aus diesem Grund ist eine kurze PIN immer noch sicher und es besteht keine Notwendigkeit, eine lange und komplexe PIN zu wählen.

Nitrokey Storage’s PINs können bis zu 20 Ziffern lang sein und können aus Zahlen, Buchstaben und Sonderzeichen bestehen. Hinweis: Bei Verwendung von GnuPG oder OpenSC können 32 Zeichen lange PINs verwendet werden, die jedoch von Nitrokey App nicht unterstützt werden.

Q: Wofür ist die Benutzer-PIN?

Die Benutzer-PIN ist mindestens 6-stellig und wird verwendet, um Zugriff auf den Inhalt des Nitrokeys zu erhalten. Dies ist die PIN, die Sie im täglichen Gebrauch häufig verwenden werden, z. B. zum Entschlüsseln von Nachrichten, zum Entsperren Ihres verschlüsselten Speichers (nur NK Storage) usw.

Die Benutzer-PIN kann bis zu 20 Ziffern und andere Zeichen (z. B. Buchstaben und Sonderzeichen) enthalten. Da die Benutzer-PIN jedoch gesperrt wird, sobald drei falsche PIN-Versuche unternommen wurden, ist eine 6-stellige PIN ausreichend sicher. Die Standard-PIN lautet 123456.

Q: Wofür ist die Admin-PIN gedacht?

Die Admin-PIN ist mindestens 8-stellig und wird verwendet, um Inhalte/Einstellungen des Nitrokey zu ändern. D.h. nach der Initialisierung des Nitrokey werden Sie diese PIN wahrscheinlich nicht allzu oft benötigen (z.B. wenn Sie ein weiteres Passwort in den Passwort-Safe des Nitrokey Pro oder Nitrokey Storage eintragen wollen).

Die Admin-PIN kann bis zu 20 Ziffern und weitere Zeichen (z.B. Buchstaben und Sonderzeichen) enthalten. Da die Admin-PIN jedoch gesperrt wird, sobald drei falsche PIN-Versuche unternommen wurden, ist es ausreichend sicher, nur eine 8-stellige PIN zu verwenden. Die Standard-PIN lautet 12345678.

Q: Warum bleibt mein Nitrokey Pro hängen, wenn ich zwischen nitrokey-app und GnuPG umschalte?

GnuPG und die Nitrokey-App neigen manchmal dazu, sich gegenseitig zu übergeben. Dies ist ein bekanntes Problem und kann durch erneutes Einstecken des Nitrokeys in den USB-Steckplatz behoben werden.

Q: Welche Treiber/Werkzeuge können verwendet werden?

GnuPG wird für viele Anwendungsfälle benötigt. Es ist ein Kommandozeilenwerkzeug, aber normalerweise müssen Sie es nicht direkt aufrufen, sondern eine andere Anwendung mit Benutzeroberfläche verwenden.

Verwenden Sie GnuPG nicht parallel zu OpenSC oder einem anderen PKCS#11-Treiber, da beide sich gegenseitig stören und es zu unerwarteten Problemen kommen kann.

Installieren Sie GPG4Win, das den Gnu Privacy Assistant (GPA) und GnuPG (GPG) enthält. Starten Sie den Gnu Privacy Assistant (GPA) oder eine andere Anwendung wie z.B. Ihr E-Mail-Programm, um GnuPG zu nutzen. Fortgeschrittene Benutzer können GnuPG auch direkt verwenden (Kommandozeile). Bitte beachten Sie: Die Fellowship-Chipkarte ähnelt dem Nitrokey Pro, so dass diese Anleitung auch mit Nitrokey funktioniert. Im Allgemeinen wird die offizielle Dokumentation empfohlen.

Q: Wie schnell sind Verschlüsselung und Signierung?

Verschlüsselung von 50kiB an Daten:

  • 256 Bit AES, 2048 Bytes pro Befehl -> 880 Bytes pro Sekunde

  • 128 Bit AES, 2048 Bytes pro Befehl -> 893 Bytes pro Sekunde

  • 256 Bit AES, 240 Bytes pro Befehl -> 910 Bytes pro Sekunde

  • 128 Bit AES, 240 Bytes pro Befehl -> 930 Bytes pro Sekunde

Q: Welche Algorithmen und maximale Schlüssellänge werden unterstützt?

Siehe die folgende Tabelle:

Start

Pro + Storage

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Enthält der Nitrokey Pro einen sicheren Chip oder nur einen normalen Mikrocontroller?

Nitrokey Pro enthält eine fälschungssichere Chipkarte.

Q: Ist der Nitrokey Pro nach Common Criteria oder FIPS zertifiziert?

Der Sicherheits-Controller (NXP Smart Card Controller P5CD081V1A und seine wichtigsten Konfigurationen P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A und P5CD016V1A, jeweils mit IC-spezifischer Software) ist Common Criteria EAL 5+ zertifiziert bis zur Betriebssystemebene (Zertifizierungsbericht, Sicherheitsvorgaben, Wartungsbericht, Wartungs-ST).

Q: Wie kann ich den True Random Number Generator (TRNG) des Nitrokey Pro für meine Anwendungen nutzen?

Beide Geräte sind mit der OpenPGP-Karte kompatibel, so dass scdrand funktionieren sollte. Dieses Skript könnte nützlich sein. Der Benutzer comio erstellte eine systemd-Datei, um scdrand und damit den TRNG allgemeiner zu nutzen. Er hat auch ein ebuild für Gentoo erstellt.

Q: Wie gut ist der Zufallszahlengenerator?

Nitrokey Pro und Nitrokey Storage verwenden einen True Random Number Generator (TRNG) zur Schlüsselerzeugung auf dem Gerät. Die vom TRNG erzeugte Entropie wird für die gesamte Schlüssellänge verwendet. Daher ist der TRNG konform mit BSI TR-03116.

Der TRNG bietet etwa 40 kbit/s.

Q: Wie groß ist die Speicherkapazität?

Der Nitrokey Pro enthält keine Speichermöglichkeit für normale Daten (er kann nur kryptographische Schlüssel und Zertifikate speichern).