尼特罗基存储常见问题

由于Nitrokey Storage 2本质上是一个包括非易失性(加密)存储的Nitrokey Pro 2,所以:doc:`Nitrokey Pro 2 FAQ <./pro/faq>`也部分适用。

Q: Which Operating Systems are supported?

Windows、Linux和macOS。

Q: What can I use the Nitrokey for?

See the overview of supported use cases.

Q: What are the default PINs?

  • 用户密码:"123456"。

  • 管理员密码: "12345678"。

  • 固件密码:"12345678"。

我们强烈建议在使用 Nitrokey 之前将这些 PIN 码/密码更改为用户选择的值。

Q: How large is the storage capacity?

Nitrokey Storage可以存储和加密8、32或64GB的数据(取决于特定的型号)。

Q: Why can't I access the encrypted storage on a new Nitrokey Storage?

在一个新的Nitrokey存储设备上,在访问加密卷之前,请确保你首先在Nitrokey应用程序中"销毁加密的数据"。

Q: What is the maximum length of the PIN?

Nitrokey使用PIN码而不是密码。主要区别在于,硬件将尝试的次数限制为三次,而密码则不存在限制。正因为如此,一个简短的PIN码仍然是安全的,没有必要选择一个长而复杂的PIN码。

Nitrokey Storage的PIN码可长达20位,可由数字、字符和特殊字符组成。注意:当使用GnuPG或OpenSC时,可以使用32个字符的PIN码,但不被Nitrokey App支持。

Q: What is the User PIN for?

用户PIN码至少有6位数,用于进入Nitrokey的保护范围。这是你在日常使用中经常用到的密码,例如解密信息、解锁加密的存储空间(仅限NK存储)等。

The user PIN can have up to 20 digits and other characters (e.g. alphabetic and special characters). But as the user PIN is blocked as soon three wrong PIN attempts were done, it is sufficiently secure to only have a 6 digits PIN. The default PIN is 123456.

Q: What is the Admin PIN for?

管理密码至少有8位数,用于改变硝基钥匙的内容/设置。也就是说,在初始化Nitrokey后,你可能不会经常需要这个PIN码(例如,如果你想在Nitrokey Pro或Nitrokey Storage的密码箱中添加另一个密码)。

The admin PIN can have up to 20 digits and other characters (e.g. alphabetic and special characters). But as the admin PIN is blocked as soon three wrong PIN attempts were done, it is sufficiently secure to only have 8 digits PIN. The default PIN is 12345678.

Q: Why does my Nitrokey Storage hang when switching between nitrokey-app and GnuPG?

GnuPG和nitrokey-app有时会互相牵制。这是一个已知的问题,它可以通过将硝基钥匙重新插入USB插槽来解决。

Q: What is the firmware PIN for?

固件密码应符合一般的密码建议(例如,使用字母、数字和特殊字符或使用足够长的密码)。更新Nitrokey存储器的固件时需要固件密码。请参阅更新过程的进一步说明。

固件密码永远不会被封锁。攻击者可以尝试猜测密码,而且会有无限次的尝试。因此,你必须选择一个强大的密码。默认的密码是12345678。

Q: How many keys can I store?

Nitrokey存储器可以存储三个RSA密钥对。所有的钥匙都使用相同的身份,但用于不同的目的:认证、加密和签名。

Q: How fast is encryption and signing?

对50kiB的数据进行加密。

  • 256位AES,每条命令2048字节 -> 每秒880字节

  • 128位AES,每条命令2048字节 -> 每秒893字节

  • 256位AES,每个命令240字节 -> 每秒910字节

  • 128位AES,每条命令240字节 -> 每秒930字节

Q: Which algorithms and maximum key length are supported?

见下表。

Storage

Storage 2

RSA 1024

RSA 2048

RSA 3072

RSA 4096

Curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

脑池192

脑库 256-320

脑库 384-521

secp192k1

secp256k1

secp521k1
Q: Does the Nitrokey Storage contain a secure chip or just a normal microcontroller?

Nitrokey存储器包含一个防篡改的智能卡。

Q: Is the Nitrokey Storage Common Criteria or FIPS certified?

安全控制器(恩智浦智能卡控制器 P5CD081V1A 及其主要配置 P5CC081V1A、P5CN081V1A、P5CD041V1A、P5CD021V1A 和 P5CD016V1A,每个配置均配有 IC 专用软件)已通过通用标准 EAL 5+ 认证,最高可达操作系统级别。

此外,`Cure53<https://cure53.de>`__对硬件、固件和硝基应用程序进行了`独立安全审计<https://www.nitrokey.com/news/2015/nitrokey-storage-got-great-results-3rd-party-security-audit>`__

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey Storage for my applications?

这两种设备都与OpenPGP卡兼容,因此,scdrand`_应该可以工作。`这个脚本`_可能有用。用户comio `创建了一个systemd文件`_来使用scdrand,从而更普遍地使用TRNG。他还为Gentoo创建了一个`ebuild

Q: How good is the Random Number Generator?

Nitrokey Pro和Nitrokey Storage使用真随机数发生器(TRNG)来生成设备上的密钥。TRNG产生的熵被用于整个密钥长度。因此,TRNG符合`BSI TR-03116`_的规定。

TRNG提供约40 kbit/s。

Q: How can I use the encrypted mobile Storage?

在使用加密的移动存储之前,你需要安装和初始化Nitrokey存储并下载最新的Nitrokey应用程序。

  • 启动Nitrokey应用程序。

  • 按其托盘图标,在菜单中选择"解锁加密卷"。

  • 在出现的弹出窗口中输入你的用户密码。

  • 如果这是第一次,您可能需要在加密的卷上创建一个分区。Windows会打开一个适当的窗口并要求你这样做。在Linux和Mac上,您可能需要打开一个分区管理器并手动创建一个分区。您可以根据您的需要创建任意多的分区。如果你想从不同的操作系统访问该分区,我们建议使用FAT(32)。

  • 现在你可以像使用其他普通USB驱动器一样使用加密的卷。但是,存储在上面的所有数据都将在Nitrokey硬件中自动加密。

  • 要删除或锁定加密的卷,你应该先卸载/弹出它。

  • 之后,你可以断开Nitrokey的连接,或从Nitrokey应用程序菜单中选择"锁定加密卷"。

Nitrokey Storage也能够创建隐藏卷。请看一下隐藏卷的相应说明。

Q: How can I use the hidden volume?

隐藏卷允许在加密卷中隐藏数据。这些数据受到额外密码的保护。没有密码,数据的存在就不能被证明。默认情况下,隐藏卷不会被设置,因此它们的存在可以被合理地否认。这个概念类似于VeraCrypt/TrueCrypt的隐藏卷,但在Nitrokey Storage中,隐藏卷的整个功能是在硬件中实现的。

你最多可以配置四个隐藏卷。一旦解锁,隐藏卷的行为与普通存储一样,你可以创建各种分区、文件系统,并按你的意愿存储文件。

如果您决定配置隐藏卷,您就不能再使用加密的存储。因为隐藏卷位于加密存储的自由空间上,有可能会覆盖隐藏卷中的数据。你可以说,即使是加密存储也不知道有一个隐藏卷。一般的结构如下图所示。因此,在创建了隐藏卷之后,请不要在加密存储中写入任何东西(虽然你必须先解锁它)。

隐藏卷就像一个容器中的容器,即加密卷。