尼特罗基存储常见问题¶

由于Nitrokey Storage 2本质上是一个包括非易失性（加密）存储的Nitrokey Pro 2，所以:doc:`Nitrokey Pro 2 FAQ <./pro/faq>`也部分适用。

我们强烈建议在使用 Nitrokey 之前将这些 PIN 码/密码更改为用户选择的值。

Q: How large is the storage capacity?: Nitrokey Storage可以存储和加密8、32或64GB的数据（取决于特定的型号）。

Q: Why can't I access the encrypted storage on a new Nitrokey Storage?: 在一个新的Nitrokey存储设备上，在访问加密卷之前，请确保你首先在Nitrokey应用程序中"销毁加密的数据"。

Nitrokey使用PIN码而不是密码。主要区别在于，硬件将尝试的次数限制为三次，而密码则不存在限制。正因为如此，一个简短的PIN码仍然是安全的，没有必要选择一个长而复杂的PIN码。

Nitrokey Storage的PIN码可长达20位，可由数字、字符和特殊字符组成。注意：当使用GnuPG或OpenSC时，可以使用32个字符的PIN码，但不被Nitrokey App支持。

用户PIN码至少有6位数，用于进入Nitrokey的保护范围。这是你在日常使用中经常用到的密码，例如解密信息、解锁加密的存储空间（仅限NK存储）等。

用户密码最多可以有 20 位数字和其他字符（如字母和特殊字符）。但是，由于用户密码在三次输入错误后就会被封锁，因此只输入 6 位数的密码就足够安全了。默认 PIN 码为 123456。

管理密码至少有8位数，用于改变硝基钥匙的内容/设置。也就是说，在初始化Nitrokey后，你可能不会经常需要这个PIN码（例如，如果你想在Nitrokey Pro或Nitrokey Storage的密码箱中添加另一个密码）。

管理密码最多可以有20位数字和其他字符（如字母和特殊字符）。但是，由于只要有三次错误的PIN尝试，管理PIN就会被阻止，所以只有8位数的PIN就足够安全了。默认的PIN码是12345678。

Q: Why does my Nitrokey Storage hang when switching between nitrokey-app and GnuPG?: GnuPG和nitrokey-app有时会互相牵制。这是一个已知的问题，它可以通过将硝基钥匙重新插入USB插槽来解决。

固件密码应符合一般的密码建议（例如，使用字母、数字和特殊字符或使用足够长的密码）。更新Nitrokey存储器的固件时需要固件密码。请参阅更新过程的进一步说明。

固件密码永远不会被封锁。攻击者可以尝试猜测密码，而且会有无限次的尝试。因此，你必须选择一个强大的密码。默认的密码是12345678。

Q: How many keys can I store?: Nitrokey存储器可以存储三个RSA密钥对。所有的钥匙都使用相同的身份，但用于不同的目的：认证、加密和签名。

对50kiB的数据进行加密。

Q: Does the Nitrokey Storage contain a secure chip or just a normal microcontroller?: Nitrokey存储器包含一个防篡改的智能卡。

Q: Is the Nitrokey Storage Common Criteria or FIPS certified?: 安全控制器（恩智浦智能卡控制器 P5CD081V1A 及其主要配置 P5CC081V1A、P5CN081V1A、P5CD041V1A、P5CD021V1A 和 P5CD016V1A 均带有 IC 专用软件）已通过通用标准 EAL 5+ 认证，最高达到操作系统级别 (`Certification Report<https://commoncriteriaportal.org/files/epfiles/0555a_pdf.pdf>`__,`Security Target<https://commoncriteriaportal.org/files/epfiles/0555b_pdf.pdf>`__,`Maintenance Report<https://commoncriteriaportal.org/files/epfiles/0555_ma1a_pdf.pdf>`__,`Maintenance ST<https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__`)。此外，`Cure53<https://cure53.de>`__ 对硬件、固件和 Nitrokey App 进行了`独立安全审计<https://www.nitrokey.com/news/2015/nitrokey-storage-got-great-results-3rd-party-security-audit>`__ 。

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey Storage for my applications?: 这两种设备都与OpenPGP卡兼容，因此，scdrand`_应该可以工作。`这个脚本`_可能有用。用户comio `创建了一个systemd文件`_来使用scdrand，从而更普遍地使用TRNG。他还为Gentoo创建了一个`ebuild。

Nitrokey Pro和Nitrokey Storage使用真随机数发生器（TRNG）来生成设备上的密钥。TRNG产生的熵被用于整个密钥长度。因此，TRNG符合`BSI TR-03116`_的规定。

TRNG提供约40 kbit/s。

在使用加密的移动存储之前，你需要安装和初始化Nitrokey存储并下载最新的Nitrokey应用程序。

启动Nitrokey应用程序。
按其托盘图标，在菜单中选择"解锁加密卷"。
在出现的弹出窗口中输入你的用户密码。
如果这是第一次，您可能需要在加密的卷上创建一个分区。Windows会打开一个适当的窗口并要求你这样做。在Linux和Mac上，您可能需要打开一个分区管理器并手动创建一个分区。您可以根据您的需要创建任意多的分区。如果你想从不同的操作系统访问该分区，我们建议使用FAT(32)。
现在你可以像使用其他普通USB驱动器一样使用加密的卷。但是，存储在上面的所有数据都将在Nitrokey硬件中自动加密。
要删除或锁定加密的卷，你应该先卸载/弹出它。
之后，你可以断开Nitrokey的连接，或从Nitrokey应用程序菜单中选择"锁定加密卷"。

Nitrokey Storage也能够创建隐藏卷。请看一下隐藏卷的相应说明。

隐藏卷允许在加密卷中隐藏数据。这些数据受到额外密码的保护。没有密码，数据的存在就不能被证明。默认情况下，隐藏卷不会被设置，因此它们的存在可以被合理地否认。这个概念类似于VeraCrypt/TrueCrypt的隐藏卷，但在Nitrokey Storage中，隐藏卷的整个功能是在硬件中实现的。

你最多可以配置四个隐藏卷。一旦解锁，隐藏卷的行为与普通存储一样，你可以创建各种分区、文件系统，并按你的意愿存储文件。

如果您决定配置隐藏卷，您就不能再使用加密的存储。因为隐藏卷位于加密存储的自由空间上，有可能会覆盖隐藏卷中的数据。你可以说，即使是加密存储也不知道有一个隐藏卷。一般的结构如下图所示。因此，在创建了隐藏卷之后，请不要在加密存储中写入任何东西（虽然你必须先解锁它）。

隐藏卷就像一个容器中的容器，即加密卷。