Le stockage Nitrokey a obtenu d'excellents résultats lors d'un audit de sécurité tierce partie
"Nitrokey est capable de fonctionner correctement et en toute sécurité"
"Nitrokey est capable de fonctionner correctement et en toute sécurité" - C'est l'une des conclusions finales d'une étude de sécurité intense réalisée par des experts en sécurité de la société d'audit Cure53. Une équipe d'experts en sécurité logicielle et matérielle, sous la direction de l'ingénieur Mario Heiderich, a analysé le matériel et le micrologiciel de Nitrokey Storage ainsi que l'application Nitrokey sur une période de 11 jours. L'audit de sécurité a été généreusement sponsorisé par l'Open Technology Fund que nous remercions beaucoup ! Le rapport final peut être téléchargé ici (firmware, hardware).
Mise à jour, 24.6.2016 : Contrairement à ce qui est indiqué dans le rapport, un bit de sécurité actif empêche toute mise à jour du firmware. En conséquence, le bit de sécurité est désactivé par défaut et peut être activé par l'utilisateur. Notez que cela empêche toute mise à jour future du firmware et ne peut pas être annulé ! Nous envisagerons d'activer le bit par défaut lorsque nous serons certains qu'aucune mise à jour ne sera plus nécessaire.
"Le Nitrokey a beaucoup de potentiel"
Cure53 a effectué un examen très détaillé du stockage Nitrokey et des états : "Nitrokey marque une idée intéressante parmi les approches qui se développent pour améliorer la protection de la vie privée des utilisateurs, la sécurité des données et la sécurité anti-fraude. Contrairement aux produits exclusivement logiciels, Nitrokey est capable de fonctionner correctement et en toute sécurité même si la machine sur laquelle le matériel est utilisé est infectée par des logiciels malveillants ou souffre de problèmes comparables."
Quand Nitrokey Storage sera-t-il disponible ?
Les bons résultats d'audit de Cure53 sont un feedback motivant pour toute notre équipe et marquent une étape importante dans le processus de développement. Désormais, le développement se concentrera sur des domaines non sécurisés tels que la stabilité de l'interface USB, la convivialité de l'application et le développement d'un nouveau boîtier. Nous avons toujours besoin de votre soutien pour développer notre fantastique communauté Nitrokey et être en mesure de publier le Nitrokey Storage.
Vous pourriez également être intéressé à savoir quand le stockage Nitrokey sera disponible ?
Comments
When will i be able to buy one online?
See https://www.nitrokey.com/news/2015/when-will-nitrokey-storage-be-available
The devices can be purchased in our online shop.
Hello, can you please clarify the situation with the 3 critical (and perhaps also the 2 high) vulnerabilities listed in the Cure53 pentest report dated 8.2015? Have these been addressed already and if yes - in which models/versions? If not - what is the plan and how is the risk associated to these be managed? Thanks
Most issues contain a note at the end such as: "Note: This issue was fixed by the Nitrokey maintainers, the fix was verified by Cure53." Please check.
Yes, I checked, it is indeed the case. Thanks for a quick reply and it is good and reassuring to see that Nitrokey has managed to fix these issues. Regards
Hi, the report says that the vulnerabilities were fixed but it doesn't specify how. Can you specify how each vulnerability was fixed?
This would be a report of its own which we can't do just now. But you should be able to find related fixes in our source code repository. If you have specific questions to a particular issue, you can ask here.
Add new comment