The New Nitrokey 3 With NFC, USB-C, Rust, Common Criteria EAL 6+

The new Nitrokey 3 is the best Nitrokey we have ever developed. It offers NFC, USB-C and USB-A Mini (optional) for the first time. The Nitrokey 3 combines the features of previous Nitrokey models: FIDO2, one-time passwords, OpenPGP smart card, Curve25519, password manager, Common Criteria EAL 6+ certified secure element, firmware updates. This reliably protects your accounts against phishing and password theft, and encrypts your communications and data. With strong hardware encryption, trustworthy thanks to open source, quality made in Germany.

Pre order now!

Use Cases

For private and corporate use - protection against mass surveillance and hackers

  • Passwordless login: Forget your password to log in to Microsoft services (e.g. Office 365) and Nextcloud and use Nitrokey for passwordless login instead.
  • Protect online accounts using two-factor authentication (2FA): Nitrokey is your key to secure login to websites (e.g. Google, Facebook; overview at www.dongleauth.com). Using FIDO2, FIDO U2F, or one-time passwords (OTP), your accounts remain secure even if your password is stolen.
  • Phishing protection: When using FIDO, the respective domain is automatically checked and users are effectively protected against phishing attacks.
  • Mobile usage with smartphones: Using FIDO and NFC, you can also securely access your accounts on Android and iPhone smartphones.
  • Encrypt data and emails: Encrypt your emails with GnuPG, OpenPGP, S/MIME, Thunderbird or Outlook. Encrypt entire hard drives using TrueCrypt/VeraCrypt, LUKS or individual files using GnuPG. Your private keys are securely stored in Nitrokey and cannot be exported/stolen.

For companies - protection against hackers and industrial espionage

  • Passwordless logon to Windows 10 computers: Employees will be able to log in to their Windows 10 Pro computers managed by Azure Active Directory without passwords. All that is required is a Nitrokey 3.
  • Passwordless login to your own enterprise systems: Replace your password policy, unauthorized password slips and costly password resets with passwordless login with the Nitrokey 3. Security and acceptance through simplicity. We are happy to advise you on integration.

For IT administrators and security experts - protect critical infrastructure

  • Administering servers securely with SSH: Always have your SSH key securely with you in Nitrokey. Your key is PIN protected and cannot be exported/stolen from the Nitrokey. This eliminates the insecure and annoying synchronization of key files on client systems.
  • Protect Internet of Things (IoT) and own products: Protect your own hardware products by integrating Nitrokey. Ideal for remote maintenance and ensuring product authenticity.
  • Store cryptographic keys securely: Store cryptographic keys and certificates securely in Nitrokey, preventing their theft.
  • Protect computer BIOS integrity: Using the Nitrokey and Measured Boot, the integrity of the computer BIOS/firmware is verified. The colored LED of the Nitrokey signals whether the BIOS has integrity (green) or whether tampering has been detected (red). Compatible e.g. with NitroPads.

Functions

  • FIDO U2F, FIDO2 for passwordless login: FIDO sets new standards in easy usability and thus achieves high acceptance. FIDO reliably protects your accounts against password theft and phishing.
  • Disabled passwords to protect accounts against identity theft: Protect your accounts against identity theft. One-time passwords are generated in Nitrokey and serve as a second authentication factor for logins (in addition to your normal password). Thus, your accounts remain secure even if your password is stolen.
  • Secure cryptographic key storage: Store your private keys for encrypting emails, hard drives or individual files securely in Nitrokey. This way they are protected against loss, theft and computer viruses and are always with you. Key backups protect against loss.
  • Password Manager: Store your passwords securely encrypted in the integrated password manager. This way you always have your passwords with you and they remain protected even if you lose your Nitrokey.
  • Integrity Check / Tamper Detection: Verify the integrity from the computer BIOS using Verified Boot. The Nitrokey's colored LED indicates whether the BIOS has integrity (green) or tampering has been detected (red). Supported computers require a BIOS based on Coreboot and Heads such as the NitroPad.

Security Technology

The Nitrokey 3 is based on a novel security architecture:

  • All firmware is developed in the memory-safe programming language Rust. This avoids potentially security-critical memory errors.

  • The firmware is based on the framework Trussed developed in Rust, which is designed for security-critical embedded systems and developed in cooperation with our partner SoloKeys. Among other things, Trussed implements cryptographic operations. Of course, the code is published as open source.

    Trussed logo

  • The hardware is based on the LPC55S6x microprocessor, which has numerous security features, such as Secure Boot, ARM TrustZone, Physical Unclonable Functions (PUF). Update: The hardware is based on different microprocessors that support Secure Boot and other security features.
  • Additionally, a Secure Element, quasi a smart card, is used for the cryptographic memory. This has been security-certified up to the operating system level according to Common Criteria EAL 6+ and thus also meets high security requirements. Due to the power requirement, the secure element can only be used via USB but not via NFC.
  • As with all Nitrokey developments, Nitrokey 3 is open source, so the secure implementation can be reviewed by anyone.

Pre order now!

To receive the latest status updates on your Nitrokey 3 order by email, sign up for our newsletter. This is required so that we may contact you by email.

Status Update, 6/14/2022

From now on we will publish future status updates regarding Nitrokey 3 in our blog instead of here.

Status Update, 5/13/2022

The circuit boards of the Nitrokey 3A Mini could not be fully assembled yet, because a passive component is missing. This should arrive next week, which means that the first series production can begin, which we will then test.

The firmware development for the nRF52 or Nitrokey 3A Mini has reached alpha status, i.e. is functionally equivalent to the LPC55S variant (FIDO2). Now the primary focus is on debugging and stabilization.

The next production slot for the Nitrokey 3A NFC unfortunately could not be fixed yet; we are working on it and will keep you informed. However, since the critical component is already in stock (LPC55S), we are optimistic that it will start soon.

Status Update, 4/13/2022

Currently all Nitrokey 3 support FIDO2 functions only. We have released some firmware updates in the last months that fix most of the issues. To update your Nitrokey 3, please follow the instructions. An overview of available firmware updates can be found here.

The delivery of the Nitrokey 3A NFC and the Nitrokey 3C NFC of the first production batch has been completed. Unfortunately, we were not able to fix the technical problems on all devices according to our quality standards, which is why the first production batch turned out to be smaller than expected. Therefore, some orders are slipping into the second batch. Affected customers have been informed personally by e-mail.

We have received the PCBs for the Nitrokey 3A Mini. Now the assembly of the first PCBs will be done soon. After that, there are further steps to be done, such as checking compatibility with the package, flashing, assembly and extensive quality control. The Nitrokey 3A Mini can then be shipped, probably at the end of Q2 or beginning of Q3 2022.

We have received another 1000 pcs. LPC55S microprocessors. With this, we will produce another batch of Nitrokey 3A NFC. Production has been ordered and is expected to take 6-8 weeks. Minor improvements to the hardware layout have already been incorporated to simplify assembly and improve NFC performance.

Porting to the new microprocessor is not yet complete, so the Nitrokey 3A NFC is not expected to be available from stock in large quantities until Q3 2022.

For the Nitrokey 3C NFC, we have decided to develop a new casing. This will provide greater robustness and allow for faster production. The development time of the casing is currently difficult to estimate. Therefore, the production schedule for the Nitrokey 3C NFC has been postponed to Q4 2022. Pre-orderers of the Nitrokey 3C NFC who would like to change their order to the Nitrokey 3A NFC, please email us to "shop at nitrokey dot com".

As soon as there is a change in the current estimate, we will inform you here immediately.

Status Update, 2/5/2022

Unfortunately, some of the shipped Nitrokey 3A NFC (with USB-A connector) have a technical error that results in weak NFC performance. If you have problems using NFC with your Nitrokey 3A NFC, we offer you a free device exchange. Therefore, please send us your Nitrokey 3A NFC and state your order number. The Nitrokey 3C NFC (with USB-C connector) is not affected by this.
Accordingly, the complete delivery of the first production batch is unfortunately still delayed.
Porting to the new microprocessor is progressing and we plan to complete by the end of the month. Once porting is complete, we plan to produce additional Nitrokey 3A NFC and Nitrokey 3A Mini. These models are then expected to be available in Q2 in sufficient numbers to service all pre-orders and also to fulfill new orders immediately.
More Nitrokey 3C NFC (with USB-C connector) will be delivered in the next few weeks. A new production of this model is planned for the 3rd quarter.

Status Update, 11/25/2021

The delivery of the Nitrokey 3A NFC has started. Furthermore, the delivery of the Nitrokey 3C NFC is progressing. All customers who have subscribed to the newsletter have been informed about their expected delivery status or production batch. The production and delivery of the many pre-orders takes time and our team is working at full speed to ship as many orders as possible every day.

Status Update, 10/18/2021

The first Nitrokey 3C NFC were produced and shipped. Production and delivery of all pre-orders is expected to take several weeks. All pre-orderers will be informed via email as soon as their Nitrokeys have been shipped. Pre-orderers who will only be served from the next production batch will be informed via email in the next few weeks.

Status Update, 10/8/2021

Important: The batch of both NFC models now in production is already sold out. All new orders of a Nitrokey 3A NFC and Nitrokey 3C NFC will be served from the next production batch. Due to the electronics shortage, porting to the nRF52 must be completed for this. We expect delivery later this year and will post regular status updates here. Customers who ordered already will be informed in the next days and weeks from which production batch they will be served resp. when they will be delivered.

Nitrokey 3C NFC: The electronics are completely procured and produced. Also, the new cases have been produced and are now being printed. Next week we will begin flashing the firmware, installing Nitrokeys into the cases, testing and shipping. Production and delivery of all pre-orders is expected to take a few weeks.

  


Nitrokey 3A NFC: For the USB-A model, the PCBs, electronics and enclosures are fully sourced. However, we fortunately unexpectedly found a way to further improve the NFC performance. To do this, we had to do another electronics change and test cycle. Unfortunately, this will delay the delivery by probably 2-4 weeks.

Nitrokey 3A Mini: Electronics and case development is complete. Firmware porting (to the nRF52) is still in progress. We plan to produce and ship in the next few weeks. The quantity should be enough to serve all pre-orders and fill our warehouse for the next weeks and months.

Status Update, 8/25/2021

  • The development of the Nitrokey 3C NFC casing has been completed.
  • Planned delivery date for the PCBs is week 40. The subsequent assembly is planned with a few days.

Status Update, 8/11/2021

  • Development of the Nitrokey 3A Mini and Nitrokey 3C NFC enclosures has made significant progress. We plan to complete the enclosure development concurrently with the availability of the assembled electronics.
  • The required NFC chips have been delivered and tested successfully. Barring any further supply bottlenecks, the electronics will be assembled shortly.
  • In order to achieve the best possible availability despite the global electronics shortage, we will equip the Nitrokey 3 with different microprocessors. Users will not notice this internal difference, but for us it means more effort. Therefore we had to redesign the electronics of the NK3A Mini using the nRF52. We expect the electronics samples next week. We have already got the firmware working on the nRF52 but the porting is not finished yet.

We plan to start shipping the Nitrokey 3A NFC and 3C NFC first. The Nitrokey 3A Mini is expected to start a little later. We are now waiting for our contract manufacturer to assemble it. We can't give a specific delivery date yet but it shouldn't be long.
 

Status Update, 6/11/2021

In the last months and weeks the development of the Nitrokey 3 has made significant progress. Nevertheless, its delivery will unfortunately have to be delayed, especially due to lack of electronics.

We have achieved:

  • The electronics development is finished and the electronics works stable.
  • The firmware has FIDO2, which can be used via USB and NFC.


In work at the moment is:

  • Electronics procurement and production has started
  • Firmware development of one-time passwords (OTP) and the password safe.
  • Porting of firmware to the nRF52 microprocessor. This is important to be able to avoid future supply shortages that we are facing due to the global electronics shortage.


The delivery of the Nitrokey 3 depends on:

  • We are waiting for an electronics component to arrive no later than July.
  • Completion of the case development


It is anticipated that the Nitrokey 3 will ship in the next few weeks or during the summer. We apologize for the delay and ask for your understanding.

14.6.2022

Comments

Submitted by meissner on 6. December 2021 - 13:31
Specifically in this case Nitrokey 3 should not be threatened by the firmware read out, since all user data are planned to be encrypted, and main keys kept in the secure element, not on the MCU. In other words, we are enabling read out protection in our products, but not using it as a sole line of defense, and planning as it would not work.
Submitted by Kalle on 9. December 2021 - 14:20
Can we sign PDS with this nitrokey 3? Or doe we have to buy the nitrokey hsm 2 additionally?
Submitted by meissner on 9. December 2021 - 14:52
I am not aware what PDS is referring to, if this is some kind of data(-format) the answer is: Once the OpenPGPCard update is out, you can sign any data using e.g., gpg, no need for the HSM2 (as long as you do not need multiple (>3) keys). But for now signing is not possible, as the Nitrokey 3 is as of now essentially a FIDO2 device.
Submitted by Kalle on 10. December 2021 - 9:03
I'm so sorry, but there is a typo in my comment: Instead of PDS i meant PDFs. My comment in other words: Is the functionality from the Nitrokey HSM 2 integrated into Nitrokey 3?
Submitted by meissner on 10. December 2021 - 12:16
ah, ok... currently there is no clear plan, if this will happen or not... generally this might be possible up to a certain point using the SE050 secure element, but we haven't set up a plan yet for this.
Submitted by Yaroslav on 14. December 2021 - 18:10
shop.nitrokey.com says that Nitrokey 3C NFC in stock. Does this mean if I place an order now, I will receive it in the near future? Or is it still a pre-order?
Submitted by meissner on 15. December 2021 - 14:03
oh no, good finding, sorry yes this is a bug in our system. Currently we cannot predict when current orders will be delivered due to constant shortage for micro controllers ...
Submitted by Robert on 15. December 2021 - 13:27
Möglicherweise bin ich mit meinem Anliegen an der falschen Stelle... — Bei D-Trust kann man (gegen vorlage seines Ausweises) eine Signaturkarte beantragen. Diese Signaturkarte benötigt einen Kartenleser UND eine Zwischensoftware zum Verwenden der eSignatur. — Mir stellt sich nun die Frage, ob man die Signatur von der Signaturkarte auf einen Nitrokey übertragen kann. Ist das möglich? Wenn Ja, wie ist die Vorgehensweise? Oder verliert die Signatur dadurch ihre Gültigkeit?
Submitted by meissner on 15. December 2021 - 13:44
Hey, ne das ist unseres Wissens nach nicht möglich. Rein technisch sollte das nach meiner Einschätzung klappen, aber insbesondere diese "Zwischensoftware" wird hier das Problem sein, diese müsste mit einem Nitrokey "reden" statt mit dem Kartenleser.
Submitted by Robert on 16. December 2021 - 14:04
hrmpf! Wie ich diese Properitären Produktlinien liebe…
Submitted by Yaroslav on 19. December 2021 - 16:36
Can I use a USB-C 3.1 to USB-A 2.0 adapter without losing any of the benefits for the Nitrokey 3C? Or do I need a USB-A 3.0 adapter?
Submitted by meissner on 20. December 2021 - 14:30
yes, this is possible, there is no need for USB3 for any functionalities provided by the NK3
Submitted by shell on 20. December 2021 - 7:19
Am 11.11. habe ich eine Mail bekommen, dass der Versand in den nächsten Wochen stattfindet. Mittlerweile ist wieder über einen Monat vergangen. An der Kommunikation muss echt noch gearbeitet werden!!! Es kann doch nicht sein, dass ein Kunde monatelang warten muss und dann Infos bekommt, die nicht stimmen.
Submitted by meissner on 20. December 2021 - 14:31
Uha, sorry - das sollte aber wirklich nicht passieren. Bitte einmal diese Anfrage inklusive der Ordernummer (SOxxxxxx) an [email protected] schicken, dann können wir Details zu der Bestellung bereden.
Submitted by shell on 23. December 2021 - 8:49
Und auch nur wieder vertröstet worden. Etwas Anderes hätte mich auch gewundert. Es gibt eine große Ankündigung, dass die Sachen verschickt werden und einen Monat später ist immer noch nichts passiert. Da frag ich mich dann, wie viel tausende Bestellungen werden täglich verschickt, so dass ich immer noch nicht an der Reihe war.
Submitted by Anonymous on 26. December 2021 - 9:25
Ist bei mir ganz genau so ... Hier heißt es immer " oh, das sollte nicht sein, frag beim Service nach". Der Service ist wirklich nett und super flott, vertröstet aber immer wieder mit dem Hinweis, das man nicht mehr Infos hat. Frage mich sich, wie der Versand von der ersten Charge so lange dauern kann, wir reden hier doch nicht über 100.000 Geräte. Und selbst wenn, lässt sich ja mittlerweile sehr gut abschätzen, wie viel pro Tag ausgeliefert werden können, sodass man zumindest eine grobe Prognose abliefern kann, in welcher Woche eine Bestellung (abhängig vom Kaufdatum) verschickt werden wird. Da rechnet man etwas Reserve ein und aktualisiert die Liste halt jede Woche. Selbst wenn sich das etwas verschiebt, ist keiner böse, aber jeder informiert. Andere Firmen bekommen das leider deutlich besser und transparenter hin. Trotzdem will ich mich hier auch nicht nur beschweren, sondern auch für die bisherige Arbeit unter den aktuellen Bedingungen und den wirklich schnellen und freundlichem Service bedanken! Macht weiter so :)
Submitted by meissner on 27. December 2021 - 13:37
Ja, dann sag ich auch nochmal was dazu :) Grundsätzlich möchte ich einmal ganz konkret festhalten, dass uns diese Fragen (z.B.: "Wie transparent wollen wir sein?" "Was können wir tun um bessere Prognosen zu machen?") regelmäßig beschäftigen, obwohl das offensichtlich ist, soll das hier nochmal explizit erwähnt werden. Wir hören und lesen das Feedback und versuchen zu adaptieren so gut es uns möglich ist...
Submitted by Anonymous on 28. December 2021 - 5:59
Ohne jetzt sagen zu wollen, dass ihr das alles so uebernehmen solltet, aber ein wie ich finde sehr schoenes Positivbeispiel was Transparenz und Kommunikation angeht, ist PINE64. Die schreiben jeden Monat am 15. ein Community-Update im Blog, wo ueber alle aktuellen Projekte berichtet wird, was so der aktuelle Status ist, wo es eventuell Schwierigkeiten gibt, was fuer die nahe Zukunft geplant ist, etc. Aber Nitrokey ist nicht das erste Hardware-Projekt das ich unterstuetze, ich weiss dass das alles nicht immer so einfach ist und allen Recht machen kann man es sowieso nicht. Ich bin hier spaet mit eingestiegen, darum war mir klar dass es dauern kann, aber fuer mich ist es auch mit weniger Kommunikation okay, wenn ihr euch dann besser auf das Produkt konzentrieren koennt - ich schaue einfach immer mal wieder hier rein und gucke ob es was Neues zum Lesen gibt.
Submitted by Alexander on 7. February 2022 - 14:57
Absolutely agree. I ordered my device in April 2021. Than, read that devices where shipped. Unfortunately, no info at my email as well as no devices in my post...
Submitted by Anonymous on 28. December 2021 - 15:45
Erstmal wünsche ich allen frohe Festtage! Wie andere auch, finde ich es sehr irritierend, wie Nitrokey augenscheinlich etwas schizophren agiert. Will sagen: In den Ankündigungen hier, und den Kommentaren von Kundendienstmitarbeitern wird der Anspruch deutlich, realistischer und zeitnaher zu informieren. Aber in der Praxis ändert sich nach solchen Ankündigungen rein gar nichts. Weder gibt es häufigere oder genauere Updates, noch werden die angekündigten Fristen eingehalten. Nitrokey hat offensichtlich eine sehr eigene Vorstellung davon, was Ausdrücke wie "in the next weeks" oder "in the next few weeks" bedeuten, die sich überall finden und durchgehend nicht eingehalten werden. Oder aber die Verantwortlichen für den Webauftritt und den Kundendienst haben keinerlei Vorstellung von den Produktionsabläufen. Ein Paradebeispiel wie man Vertrauen verspielt. Ich werde jetzt wohl meine Bestellung stornieren - schade.
Submitted by meissner on 28. December 2021 - 16:42
Ebenso frohe Festtage. Finden das auch schade und auch wenn das vielleicht nicht bei jedem Kunden so ankommt (observer bias und so), wir versuchen trotzdem jeden Kunden mitzunehmen, die Tatsache, dass wir hier diese Diskussion öffentlich führen ist denke ich ein gutes Beispiel. Nichtsdestotrotz könnte man selbst mit unendlich Ressourcen es nicht allen Recht machen, wie üblich kann ich da nur darum bitten den konkreten Fall einmal an uns per E-Mail zu schreiben. Alternativ auch ein wenig konkreter werden, was hier falsch niedergeschrieben ist, dann geben wir unser bestes um das möglichst zu verbessern. Disclaimer: das heißt leider nicht, dass wir es schaffen werden die Wünsche von jedem einzelnen zu realisieren - nur mal erwähnt, falls das nicht offensichtlich ist ;)
Submitted by Anonymous on 28. December 2021 - 21:42
In der Tat, es ist sehr angenehm, dass die Diskussion hier öffentlich ist. Danke! Es ist ja alles leicht nachzulesen, aber gerne werde ich auch konkreter. Natürlich hängt alles davon ab, wie man Aussagen wie "next few weeks" oder "in naher Zukunft" interpretiert. Für mich sind "next few weeks" zwei bis drei, allerhöchstens vier Wochen. Ab dann werden es "several weeks". Über acht Wochen sind es dann "many weeks" oder "a few months". Um einen Überblick über erwartbare Zeitrahmen zu bekommen, kann man sich die Ankündigung ansehen: Angekündigt am 4.3.21 für's zweite Quartal, also Herstellung, Entwicklung der Firmware, Auslieferung in unter 4 Monaten. Viel wird mit Elektronikknappheit erklärt, aber Firwareentwicklung hinkt ja noch viel mehr hinterher (aktueller Zeitrahmen für die angekündigten Features: Sommer 2022). Hier also konkreteres:
  • 4.3.21: Ankündigung des Nitrokey. "plan to ship it in 2nd quarter of 2021"
  • 11.6.21: "Nitrokey 3 will ship in the next few weeks or during the summer"
  • 18.7.21: "was ich sagen kann ist, dass es jetzt in naher Zukunft ein weiteres Update geben wird"
  • 11.8.21: NK3A Mini using the nRF52, "Users will not notice" "got the firmware working on the nRF52 but the porting is not finished yet" (Hinweis meinerseits: Kunden merken es, wenn aufgrund fehlender Firmware nicht geliefert wird)
  • 25.8.21: delivery for PCB wk40 (4.-8.10.21). "assembly is planned with a few days"
  • 8.10.21: "Customers ... will be informed in the next days and weeks" 3C NFC: "Next week we will begin flashing ... installing ... testing and shipping. delivery of all pre-orders expected to take a few weeks" 3A Mini: "We plan to produce and ship in the next few weeks. quantity should be enough to serve all pre-orders"
  • 18.10.21: "First 3C NFC shipped... Production (sic) and delivery of all pre-orders is expected to take several (sic) weeks" (Es hieß, die Montage solle "a few days" dauern)
  • 25.10.21: 3A Mini - "die Portierung auf den nRF beschäftigt uns noch"
  • 11.11.21: email: "Some time ago you ordered a Nitrokey 3C NFC. ... shipment will take place in the next few weeks."
  • 16.11.21: email: "You ordered the Nitrokey 3A Mini some time ago. We had to postpone the 3A Mini to the second production batch." Diese Info ist hier glaube ich noch nicht öffentlich (oder ich habe sie verpasst). Die Bedeutung ist mir nicht klar (außer, dass es dieses Jahr nichts mehr wird). Habe bisher von einer zweiten Charge für den 3A Mini auch nie was gehört - es hieß am 8.10., die Menge reiche für alle Vorbestellungen und mehr.
  • 25.11.21: "delivery of the Nitrokey 3C NFC is progressing" (Aber anscheinend nicht so schnell, dass meine Bestellung vom Mai davon betroffen wäre)
Bis heute habe ich keine konkretere Info über irgendeine bevorstehende Lieferung, die seit Juni in regelmäßigen Updates immer für die "next few weeks" angekündigt wurde. nRF Firmware ist "working" seit knapp 4 Monaten, also dem ursprünglich für Entwicklung, Produktion und Lieferung veranschlagten Zeitraum. Ganz zu schweigen, dass bis voraussichtlich mindestens Sommer 2022 der Nitrokey 3 einfach nur ein FIDO2 + NFC ist. Das war der ursprünglichen Ankündigung nicht zu entnehmen und ist erst viel später hier in der Diskussion herausgekommen. Zu dem Thema hier noch ein kleines Schlusswort aus der Diskussion:
  • 20.3.21 "I bought a couple of solokeys a few weeks ago. From what I remember, they ought to support GPG keys "soon" back in 2019/20 which they actually don't do up until now. Will I make similar experiences with the new nitro keys?" - reply : "No. We started almost all our products as a pre-order and always stick to our promises."
Submitted by meissner on 28. December 2021 - 23:05

Puh, das ist aber ein salziger Finger in der Wunde ;D Ich versuche mal ein wenig auf größere Themenbereiche einzugehen. Aber eines vorab, was hier zu sehen ist, ist genau das Problem, welches man bei (Kunden) Kommunikation hat. Ich möchte an dieser Stelle einmal festgestellt haben, dass zum Zeitpunkt der jeweiligen Aussagen wir auch daran geglaubt haben. Das zeigt auch ein wenig das Gesamtproblem auf, nämlich wie komplex es für ein Unternehmen wie Nitrokey ist diese Dinge präzise vorauszusagen, auch wir wissen, dass es ein Risiko gibt bei den Aussagen, aber auf der anderen Seite stehen natürlich Kunden, die zu Recht auf möglichst präzise und verlässliche Aussagen pochen. Einige Gründe für die Verzögerungen schneide ich gleich an, dennoch waren wir gerade in diesem Jahr leider oft ein Spielball der äußeren Einflüsse.

Aber mal ein wenig konkreter zu den Punkten:
  • Zur Ankündigung waren wir der festen Überzeugung, dass wir den Nitrokey 3 mit dem LPC55 ausliefern, dann hat uns die Elektronikknappheit hart erwischt und somit die Verzögerungs-welle los getreten
  • Infolge dessen hat der nRF einfach Unmengen an (anders verplanten) Ressourcen gebunden, dass war aber unverzichtbar, da wir sonst faktisch kein Produkt mehr hätten
  • Zu den weiteren angekündigten Features muss ich ganz klar sagen, da hätten wir breiter kommunizieren können (wobei hier festzuhalten gilt, dass ab Tag 1 der Hinweis auf der Produktseite fett zu lesen ist), auch mein "naher Zukunft" comment ist, ja - sagen wir mal "optimistisch". Das war durchaus so der Plan, wir sind uns aber auch bewusst, dass wir hier nicht laut genug waren.
  • Die Produktion läuft leider auch nicht mit der erhofften Geschwindigkeit, das hat zahlreiche Gründe, hier arbeiten wir auch gerade intensiv daran die Situation zu verbessern.

Grundsätzlich kann ich die Frustration aber natürlich verstehen und hierfür gibt es ja die Option vom Kauf zurückzutreten, wir hoffen natürlich, dass wir in Zukunft das in uns gesetzte Vertrauen wieder herstellen bzw. bestätigen können. Die Solokey Aussage sollten wir dann beleuchten sobald die weiteren Features kommen, das ist ganz klar keine Option für uns, sondern Pflicht für den Nitrokey 3.

Submitted by Anonymous on 29. December 2021 - 12:13
Danke für die ausführliche Antwort. Mein Fehler, wenn ich auf der Produktseite den Hinweis auf geplante Features nicht gesehen habe. Und ich hätte auch klarer machen sollen, dass ich durchaus glaube, dass alle Ankündigungen ehrlich gemeint waren! Trotzdem will ich mich jetzt nicht mehr darauf verlassen, dass ihr die ehrlich gemeinten Ankündigungen auch umsetzen könnt. Viel Erfolg, vielleicht klappt es 2022 ja besser.
Submitted by Chris on 29. December 2021 - 17:27
What’s the reason for not using LPC5556x chips?
Submitted by meissner on 30. December 2021 - 13:43
We are indeed using them, but their availability is due to the electronic-supply-crisis extremely bad, so we had to introduce another µC.
Submitted by Boring Cow on 30. December 2021 - 4:29
This article said they have identified some exploits in nitrokeys: eprint.iacr.org/2021/640.pdf So are you guys gonna update the firmware to fix it? Thanks.
Submitted by meissner on 30. December 2021 - 17:05
Hey, yes we are aware of this work. Parts of it (OTP extractions) have already been discussed in the forums as cited inside the paper. The U2F/FIDO2 side-channel attacks are quite sophisticated (laboratory level) and require physical (non-USB) access. The Nitrokey U2F is already deprecated and the Nitrokey FIDO2 will be in the not too far future. The Nitrokey 3 is the successor and does not come with these kind of vulnerabilities, therefore I do not expect that we will implement the proposed countermeasures. Our route from assembly to the customer is very short and localized therefore the described supply chain attack vectors are minimized due to our setup of the latter.
Submitted by Boring Cow on 31. December 2021 - 2:43
But will nRF52 cause more exploits possibilities comparing to the LPC55S6 chip planned before?
Submitted by meissner on 2. January 2022 - 17:21
All secrets on the Nitrokey 3 are kept on the SE050, which does, as of our knowledge today, a very good job in keeping them safe. This is only partly true for FIDO2 NFC functionality, which has it's secrets inside the internal flash. But the internal flash in encrypted thus reducing the attack vectors here, although there are also some power-supply-glitch based attacks for the nRF family. On the long run we will check if it is feasible to mitigate these attacks further by putting all (also the FIDO2) secrets into the SE050. As of today, the drawback with this approach would be that NFC would not work anymore, so if this will be implemented at some point, this will only be an option.
Submitted by Chris on 22. January 2022 - 13:35
I would give up NFC for a more secure stick. So I hope this will be an option also for the USB-C Stick.
Submitted by Hipster on 1. January 2022 - 4:30
Does Nitrokey 3 support FiDO2 WebAuthn?
Submitted by meissner on 2. January 2022 - 17:29
Yes, it does. As of today there are some issues with FIDO2 based logins with e.g., Google, but most Webauthn based logins work without issues. The issue is already identified and will be fixed with the next firmware update.
Submitted by Anonymous on 3. January 2022 - 9:49
that sounds promising! Will the owners of the Nitrokey 3 be informed via email about the firmware update once it's released or do we need to check this website regularly?
Submitted by meissner on 3. January 2022 - 14:33
As of today we have no central releases tracker for all Nitrokey products, Github is good to check: https://github.com/Nitrokey/nitrokey-3-firmware/releases But we are currently checking options to have something centralized, on the other side we would like to avoid spam-like e-mails.
Submitted by Luke on 3. January 2022 - 19:37
Been looking for a hardware based password store as backup and 2FA key which this seems will do both (and more). I use my phone for most things, will all this be accessible through andriod?
Submitted by meissner on 3. January 2022 - 21:56
2FA with Android can be used with FIDO2 if the website supports it. Password Safe features and OTP vault will only be available with the next major update (see product description at the shop). We are also looking into the option of making these features available for smartphones, but there is no clear path or decision yet. So at this point I cannot tell for sure if these features will be available on android or not.
Submitted by Agnus on 3. January 2022 - 22:53
Moin Meissner und Team :-)

Also zunächst einmal herzlichen Dank für all die Geduld hier. Ich verfolge die News seit einigen Monaten und habe bereits einen älteren Stick, den Pro, im Einsatz und auch ein paar neue Sticks in der Erwartung bestellt, dass diese in der angekündigten 40. KW + 1-2 Wochen geliefert werden können. Bin zwar enttäuscht, dass es nicht so gelaufen ist, wie erhofft - ich werde wohl noch länger warten müssen, falls sich auf dem Markt nichts ändert und andere Riesen abgreifen, wie Gierige unter Dieben. Aber so ist das nunmal und man kann meckern, ohne das sich das jetzt ändern wird.

Geduld ist eine Tugend ! Auf mein als Baker unterstütztes Librem5 warte ich seit knapp 4 Jahren (und ich bin spät eingestiegen) - andere warten seit 5-6 Jahren. Technik längst überholt - Hardware-Design und die Art der extra dafür entwickelten Software aber unübertroffen ! (Phosh kann dank dessen übrigens auch mit dem PinePhone verwendet werden) Die Pandemie und der Schiffsunfall der "Ever Given" im Suezkanal hat es halt zusätzlich befeuert, dass es eben bis jetzt andauert und wohl noch ein weiteres Jahr zu vermuten ist (kleine Chargen, die produziert und geliefert werden können - von etwa 30.000 bakern weltweit). Natürlich sind Manager schuld an der wenigen Voraussicht insgesamt - verwundert mich heutzutage eh nicht mehr wirklich, was da so als "Manager" rumläuft - selbst bei VW oder Microsoft - allerdings konnte keiner die Folgen in der Pandemie wirklich gut abschätzen (wer Anderes behauptet, scheint ein Hellseher oder Schamane zu sein). Daher, trotz der immer wieder auftretenden Selbstüberschätzung, Gier und Arroganz der heutigen Manager weltweit, mein absolutes Verständnis in dieser Angelegenheit.

Die Einwände, der Lob als auch die Kritik der Leute hier sind oft berechtigt und da bewundere ich die auf Augenhöhe geführten Dialoge untereinander - insbesondere von Meissner, der hier die Firma gut vertritt im Dialog mit den Kunden (auch wenn jetzt alles nicht ganz rund läuft). Würde ich auch kaum anders machen. Man glaubt doch selbst an den Erfolg und hofft, dass die Versprechen der Lieferfirmen stimmen. Aber den Vergleich mit der Pine-Community finde ich richtig gut. Vielleicht eine Idee, das hier auch einzuführen - hier allerdings jede Woche ein reales Update der Situation, ohne zu verschönen.

Bei uns in der Firma als auch auf dem Planeten insgesamt fehlen die benötigten Bauteile - da seid ihr nicht die Einzigen. Das erfahre ich selbst als Entwickler in einem kleinen Mittelstandsunternehmen auch, weil auch hier und da Hardware ausfällt und Nachschub bisher oft mit etlichen Monaten Wartezeit einzukalkulieren ist.

Keep it easy and simple and stupid - inform us every few weeks with the bad reality and let us hope for an earlier product-release than expected.

Falls natürlich die Bauteile wirklich vor Ort sind, yeah - lets do it.

Ich würde mich bereit erklären, euch in meiner wenigen Freizeit nach Feierabend hin und wieder als Volunteer zu unterstützen (büschen Freizeit muss aber bleiben). Vielleicht bei der Programmierung, Planung, Koordinierung, Blogposts (wie Meissner) oder was auch immer meine Fähigkeiten hergeben :-) Zur Not Brötchen schmieren oder Pizza backen und Kaffee oder Tee kochen. Und über all das kann man dann ja beim nächsten CCC-Congress mal was berichten - wie wärs ?

(translate it on deepl.com, i was to lazy to write all this additionally in english *g*) Gruss, Agnus
Submitted by meissner on 4. January 2022 - 15:53
Ja moin, danke danke, dass geht runter wie Öl! Freuen uns über jede/n Einzelne/n der/die was beitragen möchte, meld dich doch einfach mal bei uns im Matrix chat wenn du Bock hast, dann schauen wir mal weiter. Eine Story jeglicher Art auf dem CCC-Congress wäre natürlich mega!
Submitted by Frank on 6. January 2022 - 23:56
I really love the new version of the Nitrokey with all its awesome new features. I’m using the Nitrokey Pro 2 for quite a long time now and I’m very satisfied. I also appreciate the decision to use Rust programming language and the Trussed library. The only thing I'm a bit concerned about is that it’s written: “Very much WIP. Actively developed. Unstable APIs.” on the Trussed project page and that there are only five contributors. My questions are: 1. Is the library and with this the Nitrokey 3 “stable and secure enough” for our critical infrastructure? 2. How do you plan to handle constantly changes in the cryptographic library? 3. Was there an official audit of the library? 4. Do you plan to offer future versions of the key using the LPC55S6x?
Submitted by meissner on 7. January 2022 - 23:27
1. The FIDO2 part is extensively tested and reviewed, we consider it stable enough for production use from security perspective, although there are still some "technical teething troubles" we are currently mainly working on 2. for the near future the update can be applied via pynitrokey, we are also checking if the web-updater might also work with the Nitrokey 3 ... 3. nope, not yet 4. we'd love to, but this is out of our control as long as the electronics shortage is "raging".
Submitted by Frank on 8. January 2022 - 14:47
Thanks for your reply.
Submitted by Frank on 7. January 2022 - 0:34
PS: You’re doing a great job! Thanks a lot and Keep it up! ❤️
Submitted by meissner on 7. January 2022 - 23:28
thanks appreciate that ;)
Submitted by a user on 7. January 2022 - 22:15
where is the PDF spec sheet on the nitro 3?
Submitted by meissner on 7. January 2022 - 23:28
not yet online, we are working on it
Submitted by Matt on 12. January 2022 - 16:05
Hi Nitro community! 1) I would like to ask if there are any benefits of using 3C NFC compared to 3A NFC? 2) Also, I would like to ask you about the PGP option in NK3. I know you need time to implement it. And frankly, I would rather buy a gpg-compatible NK3 rather than pre-order it now and update its firmware later. So can you tell me when is going to be the right time to order a NK3 with PGP? Once the feature is there or maybe wait some time after you sell out the old batches? Thanks in advance for your reply.
Submitted by meissner on 13. January 2022 - 12:24
1) Nope, they are functionality wise identical 2) We are working hard towards a full availability of the Nitrokey 3 in the near future(tm), although we aren't there yet, so it is hard to predict, when the best time will be for you to order. Currently (as the FAQ says: https://docs.nitrokey.com/de/nitrokey3/faq.html) we plan for mid-22 for the OpenPGPCard functionality to be available, but this is still not certain. But we have some hopes that until then we will be able to ship Nitrokey 3s w/o delays...
Submitted by Matt on 13. January 2022 - 17:22
Hi meissner, Thank you very much for your reply. I have one more question. Is the firmware update procedure for NK3 the same as for NitroKey Start? Does it also involve nitropy? I'm asking because I want to know if I'll be able to perform an update on an NK3 in case it doesn't originally come with the PGP feature. Best, Matt
Submitted by meissner on 13. January 2022 - 22:45
yap, the update procedure is via nitropy right now (not yet, PR is pending, 1st firmware update will be released soon), we are looking into other more comfortable options, but nitropy will be the baseline for updates.

Pages

Add new comment

Fill in the blank.