New Nitrokey HSM 2 with RSA-4096, ECC-521, AES-256

We are excited to announce the long awaited Nitrokey HSM 2. Finally it supports highly secure cryptography with RSA-4096, ECC-521, AES-256, and SHA-512. Supported elliptic curves are: SECG / NIST P-192, P-256, P-521; Bitcoin Koblitz curve secp192k1, secp256k1, secp521k1; Brainpool 192-512. The storage capacity has been increased significantly to store 300x ECC/AES-256 keys, 150x ECC-521 keys, 19x RSA-4096 keys, or 38x RSA-2048 keys.

What Nitrokey HSM 2 is used for:

  • Operating PKI and CA
  • Fulfilling compliance requirements (e.g. PCI DSS)
  • Internet of Things (IoT) and protecting your own products
  • Securely administrating servers with SSH
  • Encrypting emails

Have you read about the crypto exchange CEO who died and took company's only key to $137 million with him? Nitrokey HSM's m-of-n threshold scheme prevents such cases while protecting keys against bad key administrators at the same time. Stop putting your valuable keys at risk and order your Nitrokey HSM 2.

More information...

Why didn't we release Nitrokey HSM 2 earlier?
The cryptographic computation is not implemented in software but in the embedded smart card. We had to wait for the vendor NXP to release a new chip (JavaCard) supporting these algorithms. This is also the reason why Curve25519 isn’t supported by Nitrokey HSM but by Nitrokey Start.

18.2.2021

Comments

Submitted by Simon on 4. April 2019 - 22:32
Wird auch Fido2 unterstützt?
Submitted by Jan Suhr on 5. April 2019 - 9:09
Nein.
Submitted by Simon on 5. April 2019 - 11:04
Schade. Habt ihr aktuell ein Produkt mit FIDO2-Unterstützung auf dem Markt oder ist eins geplant?
Submitted by Jan Suhr on 5. April 2019 - 11:39
Wir arbeiten an einem FIDO2 Modell, das wir im Laufe des Jahres veröffentlichen werden.
Submitted by Nick on 13. April 2019 - 17:16
Was mir negativ auffällt ist, dass so einige elliptische Kurven unterstützt werden, trotz des Umstands das nur Curve25519 mathematisch beweisbar sicher ist. Alle anderen stehen auf wackligen Beinen, und auch die Standardisierung ändert daran nichts. Leider vermisse ich auch weitere symmetrische Verschlüsselungsalgorithmen wie, Twofish, Serpent oder Chacha20, die allesamt sehr starke Kryptographie ermöglichen. Und es kann nie Schaden mehrere Optionen zu haben, zumal AES gewisse Anfälligkeiten besitzt und ohnehin nie der sicherste Kandidat gewesen ist. Darüber sollte ggf. mal nachgedacht werden. Sind in Zukunft eigentlich Nitrokeys geplant mit onboard Keypads? Wäre durchaus praktisch um unabhängiger agieren zu können. Es gibt zwar welche von Kingston, doch vor Jahren wurden bereits Hintertüren in deren Produkten offenbart, was gänzlich disqualifiziert.
Submitted by Jan Suhr on 14. May 2019 - 13:38
Wir sind auf die Algorithmen beschränkt, die durch die Chipkarte unterstützt werden. Und das sind genau die die wir anbieten. Ein Keypad ist derzeit nicht geplant.
Submitted by Max on 14. May 2019 - 13:32
In wiefern werden die Bitcoin Koblitzkurven secp192k1, secp256k1, secp521k1 unterstützt? Bietet dies einen Schutz vor Angreifern, die durch analysieren von Cryptowährungs-Transaktionen in Verbindung mit dem "nonce k" private Schlüssel von Wallets knacken/unterminieren?
Submitted by Jan Suhr on 14. May 2019 - 13:37
Es werden die Kurven secp192k1, secp256k1 und secp521k1 unterstützt. Der Nitrokey schützt dagegen, dass private Schlüssel durch Kompromittierung oder Diebstahl des Computers und durch Trojaner gestohlen werden. Ich weiß nicht genau welches Angriffsszenario Du meinst. Hast Du dazu weitere Details oder einen Link?
Submitted by Max on 22. May 2019 - 14:47
Ich meine das Problem, dass der private Schlüssel durch einen Angreifer übernommen/geändert werden kann, indem dieser einfach die Block Chain analysiert, der sog. "nonce k" leak, wie in der Studie "Identifying Key Leakage of Bitcoin Users" von Michael Brengel und Christian Rossow beschrieben. Den Link zur PDF-Publikation gibt es auf der Webseite von Christian Rossow, leider ist es hier nicht erlaubt den Link anzugeben (Nachricht:"External links are not permitted.") In der Studie ist es unter Punkt 4.2 erklärt, da wird dieses Sicherheitsproblem direkt angesprochen. Danke :)
Submitted by Jan Suhr on 22. May 2019 - 17:40
Einen kryptographischen Angriff auf die Block Chain mitigiert der Nitrokey nicht.
Submitted by Max on 23. May 2019 - 15:06
Bitte mal die Studie lesen, die ich angegeben habe. Es geht nicht um einen direkten Angriff auf die Blockchain, sondern der Angreifer benutzt die Block Chain und die Transaktionen um Private Keys sowohl von Hardware- als auch von Software-Wallets herauszufinden, d.h. die Coins werden von den Wallets gestohlen, indem der Angfeifer den (vermeintlich sicheren) Private Key selbst benutzt oder ändert.Bei einem Hardware-Wallet bemerkt der Besitzer das nicht einmal. Dies steht, wie in der genannten Studie von Brengel & Rossow beschrieben, mit dem nonce-Problem in Verbindung. Der nonce wiederum steht mit den Kurven in Verbindung (ich weiß nicht, ob es die von Euch angegebenen Kurven sind). Meine initielle Frage zielte darauf ab, ob der Nitro-Key verwendet werden könnte um Wallets in Bezug auf das o.g. Problem zu schützen.
Submitted by Jan Suhr on 23. May 2019 - 15:22
Ich schlage vor, dass Du das Thema in unserem Forum diskutierst.
Submitted by Max on 27. May 2019 - 17:07
Und ich würde vorschlagen, das Ihr das mal selbst im Forum ansprecht, ist immerhin defacot die größte Sicherheitslücke beim Crypto-Trading. Mit fehlt leider die Zeit mich noch in einem weiteren Forum anzumelden um das zu diskutieren. (Wenn ich das bei jedem Problem machen würde, wäre ich bereits in ca. 25 Foren registriert und mein kompletter Arbeitstag würde für Forumschat drauf gehen. Kann ich mir leider nicht leisten :) Die Infos sind da (siehe oben), die Sicherheitslücke ebenso und wenn der Nitrokey beim Schutz der Wallets nicht helfen kann, dann ist er teilweise sinnfrei (zumindest nicht für den Crypto-Bereich). Insofern solltet Ihr ein Eigeninteresse haben dem Problem nachzugehen. Ich weiß Eure Arbeit zu schätzen, daher nichts für ungut, aber der Kauf eines Nitrokeys schließt sich für mich (persönlich) aus, wenn Ihr zu dem Problem keine verbindliche Aussage treffen könnt. Danke trotzdem.
Submitted by David on 16. June 2019 - 11:07
This is great news. I always liked nitrokey for open soft/hardware, good software and good support. Did the authentication / signing performance improve over the Nitrokey 2 Pro. With 4096 bit RSA, the Nitrokey 2 Pro was significantly slower than e.g. the YubiKey 5. What I am also really missing from Nitrokey is a Nano model, which I can easily leave in my USB port while travelling. What concerns the eliptic curves, I know that you have to rely on the algorithms supported by the chip card, but I am really missing Curve25519 and E-521. Perhaps you should let your chip card vendor know that many people are asking for this.
Submitted by Jan Suhr on 16. June 2019 - 11:27
In my experience performance for RSA-4096 has never been an issue. Initial key generation takes longer but daily signing and decryption takes about one second. A smaller model will come but no release date yet. Support for Curve 25519 will come in the next few years too (As of now, it's supported by Nitrokey Start already).
Submitted by David on 19. June 2019 - 9:25
Well for signing, and in particular for SSH authentication, 1 second can be a bit annoying. For instance yubikey 4/5 is significantly faster (see here lwn.net/Articles/736231/)
Submitted by Andreas on 24. October 2019 - 12:21
Ist es möglich auf dem HSM 2 erzeugte Schlüssel zu exportieren und in ein anderes HSM 2 zu importieren ?
Submitted by Jan Suhr on 24. October 2019 - 12:22
Ja, mittels verschlüsseltem Backup. Für weitere Details, schau bitte in unsere Dokumentation und bei weiteren Fragen in unserem Support Forum.
Submitted by andreas on 24. October 2019 - 12:22
Sind Ihre Schnittstellen vom HSM2 z.B. JCE Provider Multi Prozess fähig ?
Submitted by Jan Suhr on 28. October 2019 - 14:29
Yes. But not for secure messaging. Also the authentication state is for all processes the same.
Submitted by Jörn on 19. January 2020 - 0:03
Hallo, welche Version des "SmartCard HSM" ist eingebaut?
Submitted by Jan Suhr on 19. January 2020 - 11:45
Die neuste Version 3.3.
Submitted by qwe on 2. February 2020 - 22:30
Auf der Startseite schreibt ihr stolz "Keine NSA - keine Backdoors". Und gleichzeitig nutzt ihr die ECC Kurven, die alle als unsicher betrachtet werden. Die Schwächen dieser Kurven sind beispielsweise auf der Web Seite "Safe Curves" aufgelistet. Alle Kurven die Nitrokey bietet stehen bekanntlich unterm Verdacht, dass NSA sie mit geprägt hat. Nitrokey bietet keine Kurve, die als sicher betrachtet wird: Curve25519, E-382, M-383, Curve383187, Curve41417, Ed448-Goldilocks, M-511, E-521. Deswegen wenn man die Liste von unterstützten Kurven sieht, denkt man dass "Made in Germany" nicht vollständig ist und dass folgendes richtiger wäre: "Made in Germany, approved by NSA". Seit Jahren kann man bei Herstellern Chips bestellen, die konkrete Funktionalität realisieren. U.a. könnte man das Herstellen von Chips mit ein paar sicheren Kurven bestellen. Es kann sein, dass die Chips etwas teurer wären, weil keine Massenware. Aber die Kunden hätten zumindest die Wahl: ein günstigerer Nitrokey nur mit NIST Kurven oder etwas teurer Nitrokey mit sicheren Kurven. Warum bestellen Sie nicht das Herstellen von Chips mit sicheren Kurven?
Submitted by Jan Suhr on 11. February 2020 - 17:31
Die Kriterien nach denen Safe Curves bewertet sind praktische Kriterien und die behaupten nicht, dass NIST-Kurven NSA-Hintertüren haben. Die Webseite heißt schließlich "Safe Curves" und nicht "Secure Curves". Zudem kenne ich keinen angesehenen Kryptologen der wegen Bedenken von NSA-Hintertür dringend von NIST-Kurven abrät. Letzten endes kann aber jeder selber entscheiden, welche Kurven er verwenden möchte. Unser Nitrokey Start unterstützt u.a. Curve25519. Der Grund, warum Curve25519 nicht von allen unseren Modellen unterstützt wird, ist, dass die verwendeten NXP-Chipkarten diese Kurve nicht unterstützen. Es gibt derzeit auch keine anderen realistischen Chipkarten die Curve25519 unterstützen. Sobald sich das ändert, werden auch unsere anderen Modelle die Curve25519 unterstützen.