NitroPhone - Most Secure Android on the Planet

We are very excited to introduce the NitroPhone! The NitroPhone combines security, privacy and ease of use with modern hardware. It is based on the high-quality Pixel 4a and GrapheneOS, the most hardened Android for professionals. Gain full control of your smartphone without Google and Apple! The NitroPhone is now available in the online shop.
"If I were configuring a smartphone today, I'd use DanielMicay's GrapheneOS as the base operating system. I'd desolder the microphones." Edward Snowden

Physical Tamper Protection

  • Strong encryption and Titan M security chip protects your device and data against sophisticated physical attacks.
  • Verified boot ensures that your operating system has not been modified.
  • Automatic kill switch: Automatically reboot after inactivity of configured time period.
  • PIN layout scrambling, together with privacy screen (not included), allow entering PIN in public without being watched. Alternatively: integrated fingerprint sensor.

Protection From Spyware and Zero-Day Exploits

  • Substantially hardened Android OS for high security demands (e.g. hardened stock apps, libc, malloc, compiler toolchain, kernel, filesystem access, WebView).
  • All apps are sandboxed to protect against exploitable and malicious apps.
  • Hardened browser, WebView and PDF viewer.
  • Lightning fast distribution of security updates.
  • Protection against over-the-air exploits by isolating the baseband radio processor using IOMMU and optional LTE-only mode to significantly reduce cellular radio attack surface.
  • Optional: Physical removal of all microphones. A headset can be connected for voice communication.

Privacy Protection: No Tracking, No Google

  • No cloud or Google Play Services integration by default, all under your control. If required, original Google Play Services can be installed as sandboxed apps without special privileges. This novel approach leads to much better compatibility than incomplete reimplementations like microG while providing higher security. Note: This is work-in-progress and some apps may not work as expected.
  • Tracking protection: Apps can't access device IMEI and serial numbers, SIM card serial numbers, subscriber ID, MAC address etc.
  • Per-connection MAC randomization prevents tracking by nearby WiFi scanners.
  • Firewall: Granular network and sensors permissions (e.g. GPS) toggle for each app.
  • Default Indicators for active camera, microphone, and location.

Easy Usability for Everybody

  • No bloatware. Minimal secure system with few apps by default. Additional apps can be installed manually; updates have to be confirmed.
  • End-to-end encrypted automatic backups to USB drive or to any cloud storage (e.g. Nextcloud).

Open Source and Attestation

  • Open source allows verifying absence of backdoors.
  • Remote attestation: hardware-based verification of the authenticity and integrity of phone's software.

Who Needs NitroPhone?

  • Professionals who need a secure smartphone for sensitive data and communication.
  • People who want to use a privacy-friendly smartphone (without Google, without Apple).
  • Companies who want to provide their employees a secure smartphone.
  • Journalists, activists and NGOs who need to protect themselves and their contacts.


The hardware is a high-quality Google Pixel 4a, black, 128 GB storage.
  • RAM: 6 GB
  • 147.6 mm (5.81"), 1080 x 2340 pixel, full-screen display with punch-hole front camera
  • Rear camera: dual pixel technology with 12.2 MP
  • Processor (CPU): Qualcomm Snapdragon 730G, Octa-core
  • Titan M security chip
  • Ports: USB-C, 3.5 mm audio jack
  • Wi-Fi 802.11 a/b/g/n/ac, Bluetooth, NFC
  • Fingerprint sensor
  • Dimensions: 144 x 69.4 x 8.2 mm
  • Weight: 143 g

Buy NitroPhone Now!

Why Google Pixel Smartphone?

  • Unlike most other devices, Pixel smartphones include a Titan M secure element that enables Verified Boot.
  • Pixel smartphones are supported by Android by default, so security updates can be distributed quickly.
  • Pixel smartphones allow installation of custom software such as GrapheneOS. Ironically, this makes them some of the best hardware for Google-free smartphones.

Comparison With e.g. LineageOS, CalyxOS, /e/

LineageOS, CalyxOS, /e/ and other Android distributions essentially rely on the standard Android which only comes with its own selection of apps. GrapheneOS, on the other hand, is an elaborately hardened Android and should therefore be seen as its own operating system. In addition, security updates are often provided late by the distributions mentioned at the beginning.

Comparison With Linux Phones

Establishing Linux for smartphones as a third ecosystem alongside iOS and Android is a promising goal. In addition to thousands of existing applications, user freedom, transparency and security, the usability on both smartphones and large screens is compelling. Unfortunately, "Linux for Smartphones" is not yet mature enough for most users. In order to offer our customers a professionally usable, stable and secure smartphone, we have chosen GrapheneOS.


Would it be possible to install other GNU/Linux OSes to it like PureOS or other mobile linux distros?
You could install any OS supporting the Pixel 4a. But we only offer it with GrapheneOS at this moment.
Can Graphene be configured to require both a fingerprint and a PIN to unlock? Having to choose one or the other is a pet peeve of mine with vanilla Android.
Nope, so far we know this is not something GrapheneOS adds to the android security.
I agree, should be scrambler pad + fingerprint, and after both match then give the permission to enter. Both should be entered and no feedback given, so that no one can prove that the phone is from that person by forcing him/ her to enter him/ her fingerprint... nor know if it is the password that is wrong or is the wrong fingerprint. One more thing, it could include special password security wipe, if a special password is entered in the locking screen the phone would securely wipe the master keys and provide no access to the contents encrypted inside. Good if the user thinks some bad person is trying to take away the smartphone.
Why would you wan't a fingerprint unlocker on a secure phone? That's insane and not in a good way.
The OS does not enforce the usage of the fingerprint sensor, you can simply not use it for unlocking, it's just an option and everybody can decide for themselves if they want it activated or not.
Super! Ist die Hardware neu oder gebraucht, so wie bei den Nitropads?
Aktuell ist die Hardware neu, falls sich das ändert, werden wir das klar kommunizieren.
Is this unlocked for worldwide use ... can Americans use this phone with the major carriers' LTE 4G/5G bands (T-Mobile, AT&T or Verizon)? Do you sell or better yet include a proper adapter for the power plugs? How is this phone different and/or better than the Librem 5 in terms of usability and privacy (in the USA)?
Yes, it is unlocked for worldwide use, it's not branded in any way. 5G bands will not work, but most 4G should work without issues. Please understand that we cannot guarantee this for specific carriers, please search for tests/reports for the carrier you are looking for whether it works to be sure. Currently we only offer a Europe-compatible charger, means you will need an adapter. We cannot provide an extensive comparison with other specific products, there are various sources you can find that try to do this comparison.
Where do you list the bands of service that are provided by the Nitrokey phone? Does it work with bands 2, 4 12, 17, 66, and 71? Those are the 4G LTE ones most utilized by the 3 big American carriers? I especially would appreciate service for bands 2, 12, 66, and 71 as they are especially important for my particular services. Thanks!
Please keep in mind that the hardware is a Pixel 4a, so you can easily look this up. Please understand that even though the bands you listed are supported there still might be issues with your particular carrier, please inform yourself or check some experience reports.
Packt Nitrokey auf GrapheneOS noch added value oben drauf bzw. inwiefern unterscheidet sich das Angebot zur individuellen Beschaffung eines Pixel4a und manueller Installation von GrapheneOS?
Tatsächlich handelt es sich hier primär ein vorinstalliertes Gerät, dies scheint leicht für Wissende, doch aber nicht für alle. Das Ziel, wie mit allen Nitrokey Produkten, ist es leichten Zugang für jedermann zu sicherer Hard- und Software zu ermöglichen. Darüber hinaus möchten wir unser "Ecosystem" (Nitrokeys, NitroPad, NextBox,...) mit einem Smartphone erweitern. Uns ist natürlich bewusst, dass (gerade weil es OpenSource ist) jeder so ein Gerät selbst bauen kann (trifft übrigens auch für Nitropad und NextBox zu). Zusätzlich bieten wir das entfernen des Mikrofons und Sensoren bei Bedarf an.
Is this company ran by the UK Police?
We can clearly confirm that we are by no means affiliated with the UK (or any other) Police. Check "Legal Information" at the bottom of this Website for more details.
Super Sache, bin glatt in Versuchung. Langfristig würde ich gerne auf 5G setzen. Werden Sie noch 4a 5G ins Programm aufnehmen? Oder das Pixel 5 mit 5G? Vielen Dank!
Das Pixel 4a 5G wird es nicht ins Programm schaffen, bei dem Pixel 5 (5G) sieht das schon besser aus. Aktuell können wir aber noch nicht sagen wann und ob das der Fall sein wird.

1. Weiß Daniel Micay überhaupt von diesem Geschäftsmodell, dass mit seiner Arbeit Geld gemacht wird, indem man ein älteres Pixel mit gehörigem Preisaufschlag versieht, nur weil GrapheneOS schon drauf ist? Was jeder 08/15-User, der vier Mausklicks beim GrapheneOS-Webinstaller zusammenbringt, auf jedem Pixel selbst und kostenlos machen kann?

2. GrapheneOS ist eine One-man-show von Micay, und wenn er wieder am Rad dreht, ist Sense damit... einfach mal auf YouTube beim Kanal Techlore nach "The most toxid community" suchen....

3. Ist die Aussage komplett falsch, dass Calxy und /e/ nur Standard-Android mit eigenen Apps sind!

1. Ja, weiß bescheid und ist abgestimmt.

2. Ja, wissen wir auch, nach unserer Einschätzung ist es aber mit Abstand das sicherste Android, entsprechend müssen wir mit diesem "Risiko" leben. Mittelfristig ist der Plan GrapheneOS beliebter zu machen und auf ggf. zur Entwicklung beizutragen.

3. Ja, das ist durch den Marketingcharakter dieses Announcements wahrscheinlich ein wenig vereinfacht dargestellt, verglichen mit GrapheneOS sind insbesondere das play-store-sandboxing sowie die low-level Härtungen ein Alleinstellungsmerkmal. Falls das aber vollkommen falsch ist, nehmen wir gerne Vorschläge an um hier präziser zu sein.

Ok, mich hat es nur interessiert, ob Micay davon Bescheid weiß, da er bekanntlich - sagen wir mal so - "sensibel" reagieren kann, wenn etwas nicht so gemacht wird, wie er es sich vorstellt. Oder hinter seinem Rücken. GrapheneOS ist unbestritten das sicherste Android - ich nutze es selber. Aber wie gesagt, das ging mit vier Mausklicks auf meinem Pixel 5 ohne Probleme. Aber gut, nicht jeder traut sich das zu bzw. hat die Zeit dafür, vielleicht dutzende Handys für seine Mitarbeiter einzeln zu flashen und einzurichten. Was mich an der Aussage stört ist, dass man suggeriert, dass Calyx oder /e/ genauso unsicher sind wie reguläres Google-Android! Und das stimmt einfach nicht. Bei Calyx kann man z.B. bei der Einrichtung entscheiden, ob man den Play Services Ersatz microG installieren will oder nicht - wenn nicht, dann ist es mehr oder weniger genauso sicher, was die Privacy betrifft wie GrapheneOS. Bei Calyx und /e/ gibt es keine Anbindung an die Google-Server/Dienste, und das ist wohl der Punkt, der für die meisten Nutzer einer Google-Alternative am wichtigsten ist. Schlagwort: weg von Google. Aber sobald man den Aurora-Store installiert und diverse populäre Apps auf sein "gehärtetes" Android holt, führt man den Grundgedanken damit wieder ad absurdum. Meiner Meinung nach. Weil Google damit durch die Hintertür wieder an die Nutzer und deren Daten/Nutzung/Tracking rankommt. Und zu guter Letzt: bitte meinen Beitrag nicht kritisch sehen - die Idee, GrapheneOS und andere Alternativen zum Duopol Google/Apple dem breiten Publikum bekanntzumachen, zu verbreiten und populär zu machen, kann man nur unterstützen!
Keine Sorge, kritische Fragen sind wichtig, es geht um Sicherheit ;)
Das NitroPhone ist mit Micay (GrapheneOS) abgesprochen. Ein wesentlicher Unterschied zu anderen Android-Distributionen ist, dass diese im Wesentlichen eine Distribution sind, die Apps vorinstallieren. Wohingegen bei GrapheneOS das Groß der Entwicklung in die Verbesserung des eigentlichen Betriebssystems fließt. Zudem schwächeln manche Distributionen mit Sicherheitsupdates, so dass diese diesbezüglich schlechter als Google ausfallen können. Wenn man Apps per Aurora Store installiert, und sogar Google Play Services, kann dies - je nach App - den Datenschutz aufweichen. Beispiel: Wenn ein Nutzer unbedingt Facebook verwenden will, können wir seine Daten auch nicht schützen. Der Vorteil von GrapheneOS ist hierbei, dass diese Apps in einer Sandbox installiert und ausgeführt werden und keine Betriebssystem-Privilegien benötigt. Die Sicherheit des Systems wird daher nicht beeinträchtigt.
The Microphone removal sounds tempting, but considering the security of the OS already "is it worth it?"
I am afraid I cannot give you a yes/no answer here. As with many security products and features this is something you have to decide for yourself, based on your personal threat model.
Does it have a SD card slot? I have never bought a Google pixel just for that, I really need a SD card to store big big files (I use a 512GB and 1TB SD card)
No, the Pixel 4a does not come with a SD-Card slot.
Ganz einfache Frage: Warum sollte man gerade Eurer Firma trauen? Dazu habe ich in den FAQ oder sonstwo noch keine Aussage gesehen.
Ganz einfache Antwort: Sie müssen nicht, die Auditor-App erlaubt es Ihnen die Software auf dem Gerät zu verifizieren, ganz ohne unser zutun. Grundsätzlich ist das der Ansatz den die meisten (wenn nicht alle) unserer Sicherheitsprodukte erfüllen sollen. meint:

[The Auditor app] performs a pairing process between the device performing verification (Auditor) and the device being verified (Auditee) to implement a Trust On First Use (TOFU) model.

TOFU stiftet im Fall des NitroPhones ja nun erst mal kein Vertrauen... besagt u.a.:

The OS can use the persistent generated hardware-backed key for signing but cannot obtain the private key. The key isn't be usable if verified boot fails or the OS is downgraded and the keys are protected against replay attacks via the Replay Protected Memory Block. Devices launching with Android P or later can provide a StrongBox Keymaster to support storing the keys in a dedicated hardware security module to substantially reduce the attack surface for obtaining the keys. StrongBox is paired with the TEE and the TEE corroborates the validity of the keys and attestation. The Pixel 3 and 3 XL are the first devices with a StrongBox implementation via the Titan M security chip.

Verstehe ich das richtig, dass das Vertrauen in die erwähnte Auditor-App-Verifikation im Wesentlichen darauf basiert, dass

  • a) die Nitrokey GmbH den Titan-M-Chip nicht manipuliert bzw. den darin hinterlegten private key nicht ausgelesen hat, und
  • b) der Titan-M-Chip "sicher" ist, also keine Backdoors o.ä. enthält?
Mir ist nicht ganz klar wieso TOFU hier kein Vertrauen stiftet, gerne genauer ausführen. Ansonsten, ja natürlich beruht die Sicherheit des Nitrophones / Pixel 4a massiv auf dem Titan-M-Chip, diesen zu manipulieren wäre generell durchaus herausfordernd da es hier im wesentlichen um ein erweitertes Secure Element handelt. Diese erlauben per Definition kein (plain-text) auslesen von "Geheimnissen", eine physikalische Manipulation, wie zum Beispiel das Einführen einer Backdoor ist nochmal eine nicht zu unterschätzende Hürde. Also wie immer, ausschließen kann man nichts davon - wir versuchen hier so transparent wie möglich zu sein, aber wenn tatsächlich die (begründete, individuelle, durch das persönliche threat-model abgeleitete) Sorge besteht, dass ein Akteur das Wissen und die Macht hat derartiges zu tun, dann würde ich ganz persönlich Zettel und Stift für Kommunikation empfehlen ;)
Will it work on the US's Verizon network?
Please understand that we cannot guarantee that the NitroPhone will work with specific carriers. Technically the bands are supported and the NitroPhone itself is a non-branded Pixel 4a, thus it should work. Nevertheless, please check experience reports from users with your particular carrier to be sure that the Pixel 4a works.
There are two Pixel4a models available: The G025J and G025N. The "J " model is geared towards the US market and can/could work on the (decommissioned as of today) Verizon and Sprint 2G/3G CDMA networks. The "N" model has a few more LTE bands but no CDMA/EVDO 3G fallback as it is a pure GSM/UMTS device. Seeing that Nitrokey is based in Europe I assume that the Nitrophone uses the G025N as a base device.
Hey hey, yes you are right, we are using the European Version
For how long will this phone receive software updates? GrapheneOS support for the phone is said to end at the same time google stops providing software updates for it, which is 2 years from now.
Yes, as of now the official last security update is dated August 2023, as we deliver a verifiable GrapheneOS, the NitroPhone is also bound to these limits.
Hello, do you plan to offer Pixel 6 in future too? As the currently guaranteed updates till November 2023 for a phone at the cost of 630 euro seems a bit pricey.
We can currently not share details about upcoming products. But I can tell that we are looking into future NitroPhone models, which model(s) this will be exactly is not defined yet.
Please, can you sell a model with SD card slot?
GrapheneOS currently only supports Pixel phones. There are no Pixels available with an SD-card slot, thus we cannot sell a model with SD-card, sorry.
Wieviel verlangt Ihr für das Auslöten des/der Mikros?
Wir klären hier gerade noch die letzten Details, diese sollten innerhalb der nächsten ~1-2 Wochen verfügbar sein.
How difficult is it to replace the battery? Similar to e.g. Fairphone or Pinephone?
No, sorry not similarly easy to those smartphones. To replace the battery you'll need patience, the right tools and exercise, I would not recommend to do this without experience. You can find various tutorials on well know video portals how this process looks like.
Bietet Graphen OS auf dem Pixel4a auch die Unterstützung für DualSIM also E-SIM + SIM?
Aktuell ist das aus GrapheneOS direkt nicht möglich, siehe hier:
Warum ist das Nitrophone nicht mit einem vorkonfigurierten privat VPN Zugang verschlüsselt (wie beispielsweise das Ano-Phone)?
Grundsätzlich kommt NitroPhone mit einem stock GrapheneOS, nur so ist es dem Benutzer möglich die Attestierung selbst durchzuführen: . Entsprechend kommen mit dem NitroPhone keine vorinstallierten Apps, ausser die direkt in GrapheneOS enthaltenen.


Add new comment

Fill in the blank.