Firmware bijwerken

Deze handleiding beschrijft hoe u de firmware van de Nitrokey 3 kunt updaten.

Belangrijk

Voor firmware v.1.0.0 en lager zal de update alle gebruikersgegevens wissen! Zorg ervoor dat u de juiste back-up login methoden heeft ingeschakeld en/of zorg ervoor dat de Nitrokey 3 niet de enige manier van authenticatie/2FA is voor uw applicaties/diensten.

Voor firmware v1.0.1 en hoger worden de gebruikersgegevens tijdens de update bewaard:. Zorg er in ieder geval voor dat u altijd een ander apparaat (of aanmeldingsmethode) bij uw dienst hebt geregistreerd, als uw gegevens om de een of andere reden niet worden bewaard.

Hoe bij te werken

Belangrijk

Koppel de Nitrokey 3 nooit los en breek het proces nooit af tijdens het updaten, hierdoor zal uw apparaat waarschijnlijk onbruikbaar worden!

  1. Zorg ervoor dat u de laatste pynitrokey versie heeft geinstalleerd, kijk hiervoor in de installatie instructies voor uw OS.

  2. Run nitropy nk3 update.

  3. Eenmaal geïnstrueerd door nitropy raak het apparaat aan om de bootloader te activeren.

  4. alleen voor MacOS: Indien geïnstrueerd door nitropy voer update commando opnieuw uit.

  5. Wacht tot het proces is voltooid. (Dit kan variëren afhankelijk van uw besturingssysteem)

  6. Optioneel: voer nitropy nk3 test uit om te controleren of het apparaat goed werkt na het flashen.

In geval van fouten, gelieve de logs van /tmp directory te nemen (/tmp/nitropy.log.*).

Firmwareversie types

Er zijn drie soorten firmwarereleases voor de Nitrokey 3:

Stabiele releases zijn het belangrijkst voor gebruikers. Ze zijn ontworpen om achterwaarts compatibel te zijn en alle gebruikersgegevens te behouden en zijn grondig getest. Op productieapparaten mogen alleen stabiele releases worden gebruikt.

Een release candidate is een preview van een komende stabiele release. Hij zou ook achterwaarts compatibel moeten zijn, maar wordt niet zo grondig getest als een stabiele release.

Testversies (voorheen: alpha releases) bevatten extra functies die nog niet klaar zijn voor productie. Gebruikersgegevens die met een testversie zijn aangemaakt, zijn mogelijk niet compatibel met andere releases. Deze releases worden nog getest en bevatten waarschijnlijk bugs.

Zie de release notes op GitHub voor meer informatie over de beschikbare functies in een release.

U kunt het type firmwareversie herkennen aan het versienummer:

Type

Versienummer

Voorbeeld

stabiele release

v<major>.<minor>.<patch>

v1.3.1

vrijgave kandidaat

v<major>.<minor>.<patch>-rc.<counter>

v1.3.1-rc.1

testvrijgave

v<major>.<minor>.<patch>-test.<date>

v1.3.1-test.20230414

Downgrade bescherming

De firmware van de Nitrokey 3 kan niet worden gedowngraded. U kunt alleen een firmware-update installeren met hetzelfde of een hoger major, minor en patch versienummer dan de firmware die momenteel op het apparaat is geïnstalleerd. Dit beschermt tegen downgrade-aanvallen waarbij een veilige firmwareversie zou worden vervangen door een oude, mogelijk onveilige versie.

Voorbeelden:

  • v1.3.1 kan worden bijgewerkt tot v1.3.1-test.20230414 en vice versa omdat zij hetzelfde major, minor en patch versienummer hebben.

  • v1.3.1 kan worden bijgewerkt tot v1.3.2 of v1.4.0 omdat het versienummer toeneemt.

  • v1.3.1 kan niet worden bijgewerkt tot v1.3.0-rc.1 omdat het versienummer dan zou dalen.

Dit is vooral relevant voor gebruikers die vertrouwen op een functie uit de testversies. Gebruikers van de stabiele firmware kunnen altijd updaten naar de laatst beschikbare firmwareversie.

Troubleshooting (Linux):

Issue: Ik krijg permission denied for /dev/hidrawX tijdens het updaten.

Dit betekent waarschijnlijk dat uw gebruiker niet de benodigde permissies heeft om het apparaat te lezen/schrijven. Zorg ervoor dat u de juiste udev-rules heeft ingesteld. Download deze udev-rules set en plaats het in uw udev rules directory (b.v., /etc/udev/rules.d). Verwijder vervolgens uw Nitrokey 3 uit de USB-sleuf en voer het volgende uit: udevadm control --reload-rules && udevadm trigger of start uw machine opnieuw op. Daarna zou de update moeten werken zonder het toestemmingsprobleem.