Nitrokey-Speicher FAQ#

Da es sich beim Nitrokey Storage 2 im Wesentlichen um einen Nitrokey Pro 2 mit einem nichtflüchtigen (verschlüsselten) Speicher handelt, gilt teilweise auch das Nitrokey Pro 2 FAQ.

Q: Welche Betriebssysteme werden unterstützt?

Windows, Linux und macOS.

Q: Wofür kann ich den Nitrokey verwenden?

Siehe die Übersicht der unterstützten Anwendungsfälle.

Q: Wie lauten die Standard-PINs?
  • Benutzer-PIN: „123456“

  • Administrator-PIN: „12345678“

  • Firmware-Kennwort: „12345678“

Wir empfehlen dringend, diese PINs/Passwörter vor der Verwendung des Nitrokeys in benutzerdefinierte Werte zu ändern.

Q: Wie groß ist die Speicherkapazität?

Nitrokey Storage kann 8, 32 oder 64 GB an Daten speichern und verschlüsseln (abhängig vom jeweiligen Modell).

Q: Warum kann ich nicht auf den verschlüsselten Speicher eines neuen Nitrokey Storage zugreifen?

Bevor Sie auf einem neuen Nitrokey-Speichergerät auf den verschlüsselten Datenträger zugreifen können, stellen Sie sicher, dass Sie zuerst „Verschlüsselte Daten zerstören“ in der Nitrokey-App eingeben.

Q: Wie lang darf die PIN maximal sein?

Nitrokey verwendet PINs anstelle von Passwörtern. Der Hauptunterschied besteht darin, dass die Hardware die Anzahl der Versuche auf drei begrenzt, während es bei Passwörtern kein Limit gibt. Aus diesem Grund ist eine kurze PIN immer noch sicher und es besteht keine Notwendigkeit, eine lange und komplexe PIN zu wählen.

Nitrokey Storage’s PINs können bis zu 20 Ziffern lang sein und können aus Zahlen, Buchstaben und Sonderzeichen bestehen. Hinweis: Bei Verwendung von GnuPG oder OpenSC können 32 Zeichen lange PINs verwendet werden, die jedoch von Nitrokey App nicht unterstützt werden.

Q: Wofür ist die Benutzer-PIN?

Die Benutzer-PIN ist mindestens 6-stellig und wird verwendet, um Zugriff auf den Inhalt des Nitrokeys zu erhalten. Dies ist die PIN, die Sie im täglichen Gebrauch häufig verwenden werden, z. B. zum Entschlüsseln von Nachrichten, zum Entsperren Ihres verschlüsselten Speichers (nur NK Storage) usw.

Die Benutzer-PIN kann bis zu 20 Ziffern und andere Zeichen (z. B. Buchstaben und Sonderzeichen) enthalten. Da die Benutzer-PIN jedoch gesperrt wird, sobald drei falsche PIN-Versuche unternommen wurden, ist eine 6-stellige PIN ausreichend sicher. Die Standard-PIN lautet 123456.

Q: Wofür ist die Admin-PIN gedacht?

Die Admin-PIN ist mindestens 8-stellig und wird verwendet, um Inhalte/Einstellungen des Nitrokey zu ändern. D.h. nach der Initialisierung des Nitrokey werden Sie diese PIN wahrscheinlich nicht allzu oft benötigen (z.B. wenn Sie ein weiteres Passwort in den Passwort-Safe des Nitrokey Pro oder Nitrokey Storage eintragen wollen).

Die Admin-PIN kann bis zu 20 Ziffern und weitere Zeichen (z.B. Buchstaben und Sonderzeichen) enthalten. Da die Admin-PIN jedoch gesperrt wird, sobald drei falsche PIN-Versuche unternommen wurden, ist es ausreichend sicher, nur eine 8-stellige PIN zu verwenden. Die Standard-PIN lautet 12345678.

Q: Warum bleibt mein Nitrokey-Speicher hängen, wenn ich zwischen nitrokey-app und GnuPG umschalte?

GnuPG und die Nitrokey-App neigen manchmal dazu, sich gegenseitig zu übergeben. Dies ist ein bekanntes Problem und kann durch erneutes Einstecken des Nitrokeys in den USB-Steckplatz behoben werden.

Q: Wofür ist die Firmware-PIN?

Das Firmware-Passwort sollte den allgemeinen Passwortempfehlungen entsprechen (z.B. Buchstaben, Ziffern und Sonderzeichen verwenden oder ein ausreichend langes Passwort verwenden). Das Firmware-Passwort wird benötigt, um die Firmware des Nitrokey Storage zu aktualisieren. Weitere Anweisungen zum Aktualisierungsprozess finden Sie hier.

Das Firmware-Passwort wird nie gesperrt. Ein Angreifer könnte versuchen, das Passwort zu erraten und hätte unbegrenzte Versuche. Daher müssen Sie ein sicheres Passwort wählen. Das Standardpasswort lautet 12345678.

Q: Wie viele Schlüssel kann ich speichern?

Der Nitrokey-Speicher kann drei RSA-Schlüsselpaare speichern. Alle Schlüssel verwenden die gleiche Identität, werden aber für unterschiedliche Zwecke verwendet: Authentifizierung, Verschlüsselung und Signierung.

Q: Wie schnell sind Verschlüsselung und Signierung?

Verschlüsselung von 50kiB an Daten:

  • 256 Bit AES, 2048 Bytes pro Befehl -> 880 Bytes pro Sekunde

  • 128 Bit AES, 2048 Bytes pro Befehl -> 893 Bytes pro Sekunde

  • 256 Bit AES, 240 Bytes pro Befehl -> 910 Bytes pro Sekunde

  • 128 Bit AES, 240 Bytes pro Befehl -> 930 Bytes pro Sekunde

Q: Welche Algorithmen und maximale Schlüssellänge werden unterstützt?

Siehe die folgende Tabelle:

Start

Pro + Storage

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Enthält der Nitrokey Storage einen sicheren Chip oder nur einen normalen Mikrocontroller?

Nitrokey Storage enthält eine fälschungssichere Smartcard.

Q: Ist der Nitrokey-Speicher nach Common Criteria oder FIPS zertifiziert?

Der Sicherheits-Controller (NXP Smart Card Controller P5CD081V1A und seine wichtigsten Konfigurationen P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A und P5CD016V1A, jeweils mit IC-spezifischer Software) ist Common Criteria EAL 5+ zertifiziert bis zur Betriebssystemebene (Zertifizierungsbericht, Sicherheitsvorgaben, Wartungsbericht, Wartungs-ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Zusätzlich hat Cure53 ein unabhängiges Sicherheitsaudit der Hardware, Firmware und Nitrokey App durchgeführt.

Q: Wie kann ich den True Random Number Generator (TRNG) des Nitrokey Storage für meine Anwendungen nutzen?

Beide Geräte sind mit der OpenPGP-Karte kompatibel, so dass scdrand funktionieren sollte. Dieses Skript könnte nützlich sein. Der Benutzer comio erstellte eine systemd-Datei, um scdrand und damit den TRNG allgemeiner zu nutzen. Er hat auch ein ebuild für Gentoo erstellt.

Q: Wie gut ist der Zufallszahlengenerator?

Nitrokey Pro und Nitrokey Storage verwenden einen True Random Number Generator (TRNG) zur Schlüsselerzeugung auf dem Gerät. Die vom TRNG erzeugte Entropie wird für die gesamte Schlüssellänge verwendet. Daher ist der TRNG konform mit BSI TR-03116.

Der TRNG bietet etwa 40 kbit/s.

Q: Wie kann ich den verschlüsselten mobilen Speicher nutzen?

Bevor Sie den verschlüsselten mobilen Speicher nutzen können, müssen Sie den Nitrokey-Speicher installieren und initialisieren sowie die neueste Nitrokey-App herunterladen.

  • Starten Sie die Nitrokey-App.

  • Drücken Sie auf das Tray-Symbol und wählen Sie „Verschlüsselten Datenträger entsperren“ im Menü.

  • Geben Sie Ihre Benutzer-PIN in das erscheinende Popup-Fenster ein.

  • Wenn dies das erste Mal ist, müssen Sie möglicherweise eine Partition auf dem verschlüsselten Datenträger erstellen. Windows öffnet ein entsprechendes Fenster und fordert Sie auf, dies zu tun. Unter Linux und Mac müssen Sie möglicherweise einen Partitionsmanager öffnen und manuell eine Partition erstellen. Sie können so viele Partitionen erstellen, wie Sie möchten. Wir empfehlen FAT(32), wenn Sie von verschiedenen Betriebssystemen aus auf die Partition zugreifen möchten.

  • Nun können Sie den verschlüsselten Datenträger wie jedes andere USB-Laufwerk verwenden. Aber alle darauf gespeicherten Daten werden automatisch in der Nitrokey-Hardware verschlüsselt.

  • Um das verschlüsselte Volume zu entfernen oder zu sperren, sollten Sie es zunächst aushängen/auswerfen.

  • Danach können Sie die Verbindung zum Nitrokey trennen oder im Menü der Nitrokey-App die Option „Verschlüsseltes Volume sperren“ wählen.

Der Nitrokey Storage kann auch versteckte Volumes erstellen. Bitte schauen Sie sich die entsprechende Anleitung für versteckte Volumes an.

Q: Wie kann ich das versteckte Volumen verwenden?

Versteckte Datenträger ermöglichen es, Daten im verschlüsselten Datenträger zu verstecken. Die Daten werden mit einem zusätzlichen Passwort geschützt. Ohne das Passwort kann die Existenz der Daten nicht nachgewiesen werden. Versteckte Volumes sind standardmäßig nicht so eingerichtet, dass ihre Existenz plausibel geleugnet werden kann. Das Konzept ist ähnlich wie bei VeraCrypt’s/TrueCrypt’s Hidden Volume, aber bei Nitrokey Storage ist die gesamte Funktionalität von Hidden Volumes in Hardware implementiert.

Sie können bis zu vier versteckte Volumes konfigurieren. Einmal freigeschaltet, verhalten sich versteckte Volumes wie normaler Speicherplatz, auf dem Sie verschiedene Partitionen und Dateisysteme erstellen und Dateien nach Belieben speichern können.

Wenn Sie sich entscheiden, Hidden Volumes zu konfigurieren, können Sie den verschlüsselten Speicher nicht mehr verwenden. Da sich das Hidden Volume auf dem freien Speicherplatz des verschlüsselten Speichers befindet, besteht die Möglichkeit, dass Daten im Hidden Volume überschrieben werden. Man kann sagen, dass auch der verschlüsselte Speicher nicht weiß, dass es ein verstecktes Volume gibt. Die allgemeine Struktur ist im folgenden Diagramm dargestellt. Schreiben Sie daher bitte nichts in den verschlüsselten Speicher, nachdem Sie ein verstecktes Volume erstellt haben (Sie müssen es allerdings erst entsperren).

Versteckte Volumes sind wie Container innerhalb eines Containers, dem verschlüsselten Volume.