Nitrokey 3A ist lieferbar; OpenPGP Card und Einmalpasswörter als Testversionen

Nitrokey 3A NFC, Nitrokey 3A Mini

Aufgrund der globalen Elekronikknappheit war der Nitrokey 3 bisher leider nur eingeschränkt lieferbar. Dies hat nun endlich ein Ende! In den letzten Monaten haben wir alle Vorbestellungen der Nitrokey 3A NFC und Nitrokey 3A Mini verschicken können und einen Lagerbestand dieser Modelle aufgebaut. Somit können diese Nitrokeys hier bestellt werden und werden sofort aus dem Lager verschickt.

Nitrokey 3C NFC

Das Gehäuse des Nitrokey 3C NFC, der mit dem USB-C Stecker, haben wir gegenüber der ersten ausgelieferten Charge deutlich verbessert. Daher hat sich dessen Produktion gegenüber den anderen Modellen weiter verzögert. Nun ist die Produktion des Nitrokey 3C NFC angelaufen und wir planen die Auslieferung Ende des Jahres zu beginnen. Voraussichtlich Anfang 2023 wird der Nitrokey 3C NFC im Lager vorrätig sein.

OpenPGP Card

Viele Nutzer warten sehnlichst auf die OpenPGP Card-Funktion für den Nitrokey 3. Dessen Entwicklung ist in den letzten Monaten gut vorangeschritten. Nun haben wir eine Test-Version der OpenPGP Card für den Nitrokey 3 veröffentlicht. Die OpenPGP Card wurde in der Speicher-sicheren Programmiersprache Rust entwickelt und liegt in einer Test-Firmwareversion für den Nitrokey 3 vor.

Was ist eine OpenPGP Card?

OpenPGP ist ein offener Standard zum Verschlüsseln, Entschlüsseln und Signieren von Dokumenten, Dateien und E-Mails, der hauptsächlich mit GnuPG verwendet wird. Die Speicherung von kryptographischen Schlüsseln auf einer Chipkarte wie der OpenPGP Card ermöglicht die sichere und bequeme Nutzung desselben Schlüssels auf mehreren Geräten. Bei Verlust des Geräts bleiben die kryptografischen Schlüssel sicher im Nitrokey gespeichert und können nicht extrahiert werden. Die OpenPGP Card kann für E-Mail-Verschlüsselung, SSH-Authentifizierung und viele andere kryptografische Anwendungsfälle genutzt werden.

Einmalpasswörter (OTP)

Einmalpasswörter (OTP) gehören zur ersten Generation der Zweifaktor-Authentisierung und sind sehr verbreitet. Unsere Test-Firmware unterstützt die beiden gängigen Verfahren HOTP (HMAC-Based One-Time Password, RFC4226) und TOTP (Time-Based One-Time Password, RFC6238). Es können derzeit mehrere dutzend OTP-Einträge gespeichert und verwendet werden. In einer späteren Version sollen über eintausend Einträge möglich werden. Zur Benutzung steht derzeit ausschließlich die Kommandozeilen-Software pynitrokey bereit. Zukünftig werden wir Einmalpasswörter in der grafischen Nitrokey App 2 unterstützen.

Ausblick

Alle wesentlichen Funktionen der OpenPGP Card und der Einmalpasswörter sind bereits implementiert. Es fehlen noch die Unterstützung für das Sicherheitselement und einige interne Verbesserungen und Refactorings. Wir planen dies in der ersten Hälfte 2023 umzusetzen und dann als stabile Firmware-Version zu veröffentlichen.

Blog

Seit kurzem betreiben wir einen Blog in dem wir kleinteiliger über unseren Entwicklungsfortschritt und technische Themen berichten. Im Blog werden Themen behandelt, die für die Leser des allgemeinen News-Bereich zu technisch oder zu nebensächlich sind. Falls Ihnen der News-Bereich nicht ausreicht und Sie mehr von uns lesen möchten, dann folgen Sie gerne unserem Blog.

23.12.2022

Comments

Maybe it's time to update the product overview?
Nearly, will do once the features make it into the stable firmware
Excuse german... Ich habe 2 Fragen: (1) Wird das neue Gehäuse wasserdicht sein? Weil ich bin manchmal mit dem Fahrrad im Regen unterwegs... (2) Ist es möglich den Nitrokey für SSH *ohne* OpenPGP zu verwenden? Die YKs sollen das wohl unter dem Namen "PIV" können, aber leider nur mit den NIST-Algorithmen...
zu (1) es wird keine IP Zertifizierung geben, also technisch gesehen ist der NK3 nicht wasserdicht. (2) Ja, das geht bereits heute mit Hilfe von FIDO2 mit Resident Keys und ssh. Siehe hier zB (das ist für den Nitrokey FIDO2, ist aber identisch für den NK3): https://www.nitrokey.com/solutions/ssh
Danke für die Antwort. Leider erfordert das ein recht modernes OpenSSH 8.1 :( Ich würde mir wünschen, wenn der NK für vorsintflutliche Systeme RSA beherrschen würde, und für nachsintflutliche Systeme ED25519 :)
Ich würde 8.1 nicht so wirklich als "modern" bezeichnen, aber wie so oft ist das bestimmt relativ. Generell sind RKs nicht für RSA spezifiziert (so wie ich das sehe wegen der vergleichsweise großen private keys) - da kann man also leider nichts machen, außer openssh updaten.
Hi, once requirements are met, are you considering applying for a FIDO Certified Authenticator Level? For now Nitrokey is unusable to access my state's e-gov facilities because of missing L1 certification.
Yes, this is the plan. Already looking into the options there.
Is the stable firmware going to give support for Heads hardware verification? Is there an ETA on this feature?
The current alpha OTP implementation already comes equipped with the needed feature (reverse hotp), but the HEADS firmware will also need an update to properly talk to the Nitrokey 3. Hard to predict a ETA, first step is to have the functionality inside the stable firmware, then we'll directly approach HEADS functionality.
Hi! Wann kommen die neuen Modelle der Nitropads zum Verkauf?
Hey Kai, dazu können wir leider noch nicht offizielles sagen. Aber es könnte gut sein, dass es dazu bald eine Ankündigung gibt...
wann kommt ungefähr die Ankündigung?
Guter Versuch :D Kann ich leider nicht sagen, sonst hätte ich das schon gemacht. Ein wenig Geduld bitte noch
Hallo, welche Güteklasse hat der RNG in den Nitrokey 3-Modellen? Danke
Hey, also der Mini enthält einen nrf52840, dessen RNG basiert auf thermal noise. Die NFC Varianten laufen auf einem LPC55s, der enthält ein TRNG Hardware Modul (siehe Datasheet 7.31.4 ). Darüber hinaus enthalten alle Modelle einen SE050, dieses Secure Element kommt mit einem TRNG nach NIST SP800-90B, welcher aber noch nicht in die Firmware integriert ist. Das wird im Zuge der SE050 integration passieren und die MCU (T)RNGs ersetzen, ausser für NFC, weil NFC nicht genügend Energie liefert um den SE050 zu benutzen.
On the plus-side, at least there seems to be some updates. However, it's sporadic and confusing - either update on the blog or News section, not on the blog one month and 3 months later post it in the News section. On the negative-side, and not counting CoVID-related issues, there seems to be a lack of a contingency plan. At a most basic business level, there should have been a plan at every stage of development - what if manufacturer can't meet demand (find another manufacturer, or add more machinery), what if there is a problem with the initial chip (what other chip will meet posted specs), what if shipping out exceeds 6 months (refund everyone and try again at a point that's manageable, or have faith of understanding customers), etc. This should have been a Kickstarter project - there are people selling small electronic devices out of their home that are able to meet demand within 1-3 months. Showing "Planned" on the product page seems like a company giving itself a "way out" should something fail. Who would buy a car if it showed "Planned" on the transmission or steering? Either it will or it won't. From the delays to manufacturing to minimal transparency/infrequent updates, there seems to be a lack of direction/focus and I'm surprised people aren't more upset.
Can you use Nitrokey 3A over NFC for FIDO2 authentication? I'm not sure what does it mean that SE050 isn't supported over NFC? Will keys for FIDO2 be stored securely?
From functionality point of view: yes, you can use the NK3 via NFC for FIDO2 (and U2F). The former has at least no proper support on Android, while U2F should work on all platforms. For more details you can check this blog post. Any FIDO2 (U2F) keys are stored securely on the MCU internal flash, which is to our best knowledge secure. The SE050 is a secure element (another microchip), which needs too much energy so that it can be started during an NFC operation, this is why the FIDO2 secrets have to stay inside the internal flash to be available through NFC.

Add new comment

Fill in the blank.