尼特罗基存储常见问题

由于Nitrokey Storage 2本质上是一个包括非易失性(加密)存储的Nitrokey Pro 2,所以:doc:`Nitrokey Pro 2 FAQ <./pro/faq>`也部分适用。

**问:**支持哪些操作系统?

Windows、Linux和macOS。

**问:**我可以用硝基钥匙做什么?

请参阅`overview`_ 受支持的用例。

**问:**默认的PIN码是什么?
  • 用户密码:"123456"。

  • 管理员密码: "12345678"。

  • 固件密码:"12345678"。

我们强烈建议在使用 Nitrokey 之前将这些 PIN 码/密码更改为用户选择的值。

**问:**存储容量有多大?

Nitrokey Storage可以存储和加密8、32或64GB的数据(取决于特定的型号)。

**问:**为什么我不能访问新的Nitrokey存储器上的加密存储?

在一个新的Nitrokey存储设备上,在访问加密卷之前,请确保你首先在Nitrokey应用程序中"销毁加密的数据"。

**问:**密码的最大长度是多少?

Nitrokey使用PIN码而不是密码。主要区别在于,硬件将尝试的次数限制为三次,而密码则不存在限制。正因为如此,一个简短的PIN码仍然是安全的,没有必要选择一个长而复杂的PIN码。

Nitrokey Storage的PIN码可长达20位,可由数字、字符和特殊字符组成。注意:当使用GnuPG或OpenSC时,可以使用32个字符的PIN码,但不被Nitrokey App支持。

**问:**用户密码是什么?

用户PIN码至少有6位数,用于进入Nitrokey的保护范围。这是你在日常使用中经常用到的密码,例如解密信息、解锁加密的存储空间(仅限NK存储)等。

用户密码最多可以有 20 位数字和其他字符(如字母和特殊字符)。但是,由于用户密码在三次输入错误后就会被封锁,因此只输入 6 位数的密码就足够安全了。默认 PIN 码为 123456。

**问:**管理密码是用来做什么的?

管理密码至少有8位数,用于改变硝基钥匙的内容/设置。也就是说,在初始化Nitrokey后,你可能不会经常需要这个PIN码(例如,如果你想在Nitrokey Pro或Nitrokey Storage的密码箱中添加另一个密码)。

管理密码最多可以有20位数字和其他字符(如字母和特殊字符)。但是,由于只要有三次错误的PIN尝试,管理PIN就会被阻止,所以只有8位数的PIN就足够安全了。默认的PIN码是12345678。

**问:**为什么在nitrokey-app和GnuPG之间切换时,我的Nitrokey存储会挂起?

GnuPG和nitrokey-app有时会互相牵制。这是一个已知的问题,它可以通过将硝基钥匙重新插入USB插槽来解决。

**问:**固件的PIN码是什么?

固件密码应符合一般的密码建议(例如,使用字母、数字和特殊字符或使用足够长的密码)。更新Nitrokey存储器的固件时需要固件密码。请参阅更新过程的进一步说明。

固件密码永远不会被封锁。攻击者可以尝试猜测密码,而且会有无限次的尝试。因此,你必须选择一个强大的密码。默认的密码是12345678。

**问:**我可以存储多少个钥匙?

Nitrokey存储器可以存储三个RSA密钥对。所有的钥匙都使用相同的身份,但用于不同的目的:认证、加密和签名。

**问:**加密和签名的速度如何?

对50kiB的数据进行加密。

  • 256位AES,每条命令2048字节 -> 每秒880字节

  • 128位AES,每条命令2048字节 -> 每秒893字节

  • 256位AES,每个命令240字节 -> 每秒910字节

  • 128位AES,每条命令240字节 -> 每秒930字节

**问:**支持哪些算法和最大密钥长度?

见下表。

开始

专业+存储

专业2+存储2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

曲线25519

NIST-P 192

NIST-P 256

NIST-P 384-521

脑池192

脑库 256-320

脑库 384-521

secp192

secp256

secp521

**问:**尼特罗基存储器是否包含安全芯片或只是一个普通的微控制器?

Nitrokey存储器包含一个防篡改的智能卡。

**问:**Nitrokey存储系统是否经过通用标准或FIPS认证?

安全控制器(恩智浦智能卡控制器 P5CD081V1A 及其主要配置 P5CC081V1A、P5CN081V1A、P5CD041V1A、P5CD021V1A 和 P5CD016V1A 均带有 IC 专用软件)已通过通用标准 EAL 5+ 认证,最高达到操作系统级别 (`Certification Report<https://commoncriteriaportal.org/files/epfiles/0555a_pdf.pdf>`__,`Security Target<https://commoncriteriaportal.org/files/epfiles/0555b_pdf.pdf>`__,`Maintenance Report<https://commoncriteriaportal.org/files/epfiles/0555_ma1a_pdf.pdf>`__,`Maintenance ST<https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__`)。此外,`Cure53<https://cure53.de>`__ 对硬件、固件和 Nitrokey App 进行了`独立安全审计<https://www.nitrokey.com/news/2015/nitrokey-storage-got-great-results-3rd-party-security-audit>`__ 。

**问:**如何在我的应用中使用Nitrokey存储的真随机数发生器(TRNG)?

这两种设备都与OpenPGP卡兼容,因此,scdrand`_应该可以工作。`这个脚本`_可能有用。用户comio `创建了一个systemd文件`_来使用scdrand,从而更普遍地使用TRNG。他还为Gentoo创建了一个`ebuild

**问:**随机数字发生器有多好?

Nitrokey Pro和Nitrokey Storage使用真随机数发生器(TRNG)来生成设备上的密钥。TRNG产生的熵被用于整个密钥长度。因此,TRNG符合`BSI TR-03116`_的规定。

TRNG提供约40 kbit/s。

**问:**我如何使用加密的移动存储?

在使用加密的移动存储之前,你需要安装和初始化Nitrokey存储并下载最新的Nitrokey应用程序。

  • 启动Nitrokey应用程序。

  • 按其托盘图标,在菜单中选择"解锁加密卷"。

  • 在出现的弹出窗口中输入你的用户密码。

  • 如果这是第一次,您可能需要在加密的卷上创建一个分区。Windows会打开一个适当的窗口并要求你这样做。在Linux和Mac上,您可能需要打开一个分区管理器并手动创建一个分区。您可以根据您的需要创建任意多的分区。如果你想从不同的操作系统访问该分区,我们建议使用FAT(32)。

  • 现在你可以像使用其他普通USB驱动器一样使用加密的卷。但是,存储在上面的所有数据都将在Nitrokey硬件中自动加密。

  • 要删除或锁定加密的卷,你应该先卸载/弹出它。

  • 之后,你可以断开Nitrokey的连接,或从Nitrokey应用程序菜单中选择"锁定加密卷"。

Nitrokey Storage也能够创建隐藏卷。请看一下隐藏卷的相应说明。

**问:**如何使用隐藏卷?

隐藏卷允许在加密卷中隐藏数据。这些数据受到额外密码的保护。没有密码,数据的存在就不能被证明。默认情况下,隐藏卷不会被设置,因此它们的存在可以被合理地否认。这个概念类似于VeraCrypt/TrueCrypt的隐藏卷,但在Nitrokey Storage中,隐藏卷的整个功能是在硬件中实现的。

你最多可以配置四个隐藏卷。一旦解锁,隐藏卷的行为与普通存储一样,你可以创建各种分区、文件系统,并按你的意愿存储文件。

如果您决定配置隐藏卷,您就不能再使用加密的存储。因为隐藏卷位于加密存储的自由空间上,有可能会覆盖隐藏卷中的数据。你可以说,即使是加密存储也不知道有一个隐藏卷。一般的结构如下图所示。因此,在创建了隐藏卷之后,请不要在加密存储中写入任何东西(虽然你必须先解锁它)。

隐藏卷就像一个容器中的容器,即加密卷。