Einleitung

Der Nitrokey ist ein USB-Stick mit integrierter Chipkarte zur hoch-sicheren Verschlüsselung von E-Mails und Daten, zur Benutzerauthentifikation in Netzwerken und zur Zugangskontrolle. Anders als bei Softwarelösungen werden die Schlüssel immer sicher im Nitrokey gespeichert. Es ist unmöglich diese auszulesen, so dass der Nitrokey immun gegen Computerviren und sog. "Trojaner" ist. Die durch den Benutzer gewählte PIN und das manipulationssichere Design schützen im Falle von Verlust und Diebstahl. Die Hardware und Software sind beide als Open Source verfügbar, um die Überprüfung der Sicherheit und die Integration in eigene Anwendungen zu ermöglichen.

Anwendungsfälle

  • Sicheres Login im Web mittels Einmalpasswörtern (OTP) (z. B. Google, Dropbox, weitere)
  • Hardware-verschlüsselter 64 GB Massenspeicher mit versteckten Volumen um glaubhafte Abstreitbarkeit zu ermöglichen.
  • E-Mail-Verschlüsselung basierend auf X.509 / S/MIME und OpenPGP (z. B. Outlook, Thunderbird,  Evolution).
  • Verschlüsselung von Daten auf separaten Speichermedien (z. B. TrueCrypt).
  • Benutzer-Authentifikation an lokalen Computern (z. B. Windows, Linux) und an Netzwerk-Diensten (z. B. Firefox, OpenSSL, OpenVPN, IPSec, OpenID).

Vorteile gegenüber gewöhnlichen Softwarelösungen

  • Geheime Schlüssel sind immer sicher im Crypto Stick gespeichert. Ihr Auslesen ist unmöglich. Alle sensiblen kryptografischen Operationen werden im Crypto Stick berechnet.
  • Benutzer-gewählte PIN schützt im Falle von Verlust und Diebstahl gegen Brute-Force-Angriffe.
  • Immun gegen Computer-Viren, Trojaner, Phishing-Angriffe und andere schädliche Software.
  • Manipulationssicheres Design verhindert hochentwickelte physische Angriffe mit Laborgeräten.
  • Geheime Schlüssel werden sicher auf dem Crypto Stick erzeugt, um deren Auslesen durch Angreifer zu verhindern.

Vorteile gegenüber proprietären Sicherheitsgeräten

  • Sichere Implementierung kann vom Benutzer und unabhängigen Dritten überprüft werden, um sicherzustellen dass keine Hintertüren und Sicherheitslücken existieren.
  • Sie können geheime Schlüssel sicher selber generieren anstelle einem Hersteller vertrauen zu müssen.
  • Kompatibel zu einer Vielzahl von Software-Anwendungen wie zum Beispiel MS Outlook, GnuPG, Enigmail, Mozilla Thunderbird, OpenSSH.
  • Aufgrund offener Schnittstellen und offener Treiber sind eigene Anwen­dungen leicht integrierbar
  • Fehlender Hersteller Lock-in erhöht die Sicherheit ihrer Investition.
  • Es werden keine Geheimnisse beim Hersteller gespeichert, von denen die Sicherheit abhängt. (Siehe RSA SecurID Hack)
  • Wachsende Akzeptanz und Nutzerbasis unterstützt die kontinuierliche Verbesserung und sorgt für eine hohe Sicherheit durch Peer-Reviews.
  • Transparenter und offener Entwicklungsprozess im Rahmen eines Open-Source-Projekts.

Weitere Vorteile

  • Kompatibel zu Windows, Linux und MacOS X.
  • Zusätzliche Administrator-PIN ermöglicht hierarchisches Sicherheitsmanagement.
  • Drei unabhängige RSA-Schlüssel, maximale Länge 4096 Bit.
  • Das Importieren vorhandener Schlüssel und Backup von Schlüsseln ist möglich.
  • Hohe Sicherheit durch integrierte Chipkarte, die auf Common Criteria 5-hoch Zertifizierung basiert.

Proprietäre "Sicherheit" ist nicht sicher

  • Die NSA fängt Festplatten und andere Geräte während des Transports vom Hersteller zum Kunden ab, um Hintertüren einzubauen. Nitrokey ermöglicht es die installierte Firmware zu exportieren um deren Integrität zu überprüfen (sowie Ihre eigene Firmware zu programmieren).
  • Im Jahr 2011 wurde RSA Inc gehackt und geheime Informationen über RSAs SecurID Token wurden gestohlen, so dass diese nicht mehr als sicher gelten können
  • 2010 wurde bekannt, dass auf die mit AES-256 verschlüsselte und FIPS 140-2 Level 2 zertifizierte USB-Speichergeräte der folgenden Hersteller einfach durch die Verwendung eines Standard-Passwort zugegriffen werden kann: Kingston, SanDisk, Verbatim, MXI, PICO

Kritische Sicherheitslücken wurden auch in den folgenden Produkten gefunden:

Vertrauen Sie keinen proprietären Herstellern. Sicherheit muss Open Source sein.