Nitrokey

Nitrokey — це апаратний ключ безпеки із відкритим кодом, який використовується для безпечного шифрування та підписування даних. Секретні ключі завжди зберігаються всередині Nitrokey, який захищає їх від шкідливого ПЗ і зловмисників. Встановлений користувачем PIN-код і захищена від несанкціонованого доступу смарт-карта захищають Nitrokey у разі втрати або крадіжки.^[1][2] Апаратне та програмне забезпечення Nitrokey є відкритим. Вільне програмне забезпечення та відкрите апаратне забезпечення дозволяють незалежним сторонам перевірити безпеку пристрою. Nitrokey підтримується в Windows, macOS, Linux і BSD.^[3][4]

Nitrokey GmbH

Засновано	2015
Засновник(и)	Jan Suhr (CEO and Founder)
Штаб-квартира	Німеччина
www.nitrokey.com

Історія

У 2008 році Ян Сур (Jan Suhr), Рудольф Бьоддекер (Rudolf Böddeker) та ще один друг, подорожуючи, вирішили скористатися зашифрованою електронною поштою в інтернет-кафе, що означало, що секретні ключі повинні бути захищені від комп'ютерних вірусів. На той час існували деякі USB-ключі, але їм бракувало певних функцій. Тому в серпні 2008 року вони створили проект з відкритим вихідним кодом — Crypto Stick^[5] — який згодом перетворився на Nitrokey.^[6] Це був проект засновників у вільний від роботи час, щоб розробити апаратне рішення для безпечного шифрування електронної пошти. Перша версія Crypto Stick була випущена 27 грудня 2009 року. Наприкінці 2014 року засновники вирішили професіоналізувати проект, який був перейменований на Nitrokey. У травні 2015 року німецька компанія, що спеціалізується на кібербезпеці Cure53 провела аудит^[7] прошивки Nitrokey, а в серпні 2015 року ця ж компанія провела аудит^[8] апаратного забезпечення. Перші чотири моделі Nitrokey стали доступні 18 вересня 2015 року.

Технічні особливості

Існує декілька моделей Nitrokey, кожна з яких підтримує різні стандарти. Для довідки: S/MIME — це стандарт шифрування електронної пошти, популярний у бізнесі, тоді як OpenPGP можна використовувати для шифрування електронної пошти, а також сертифікатів, що використовуються для входу на сервери з OpenVPN або OpenSSH.^[9] Одноразові паролі схожі на TAN і використовуються як додатковий захід безпеки на додаток до звичайних паролів. Nitrokey підтримує алгоритм одноразових паролів на основі HMAC (HOTP, RFC 4226) та алгоритм одноразових паролів на основі часу (TOTP, RFC 6238), які сумісні з Google Authenticator.

	Nitrokey 3	Nitrokey Storage 2	Nitrokey Pro 2[10]	Nitrokey Start[11]	Nitrokey HSM 2[12]	Nitrokey FIDO2[13]
U2F / FIDO2	Так	Ні	Ні	Ні	Ні	Так
Одноразові паролі	Так	Так	Так	Ні	Ні	Ні
S/MIME	Так	Так	Так	Так	Так	Ні
OpenPGP	Так	Так	Так	Так	Ні	Ні

Продукт Nitrokey Storage має ті ж функції, що й Nitrokey Pro 2, і додатково містить шифрований накопичувач.^[14]

Характеристики

Пристрої Nitrokey зберігають секретні ключі всередині. Як і в відомих модулях TPM, вони не можуть бути прочитані на вимогу. Це зменшує ймовірність випадкового витоку приватного ключа, що є ризиком при програмній криптографії з відкритим ключем. Ключі, що зберігаються таким чином, також не відомі виробнику. Підтримувані алгоритми включають AES-256 та RSA з довжиною ключа до 2048 біт або 4096 біт залежно від моделі.

Для захисту від несанкціонованого доступу в разі втрати або крадіжки Nitrokey можна використовувати обраний користувачем PIN-код. Однак, втрата або пошкодження токена (який розрахований на 5-10 років) також може позбавити власника ключа доступу до своїх облікових записів. Щоб захиститися від цього, перш ніж ключі пройдуть односторонню передачу до захищеного сховища Nitrokey слід зробити безпечні резервні копії.^[15]

Nitrokey випускається з відкритим вихідним кодом і вільним програмним забезпеченням, що забезпечує підтримку різних платформ, включаючи Windows, macOS, Linux і BSD. Розроблений для використання з популярним ПЗ, таким як Microsoft Outlook, Mozilla Thunderbird і OpenSSH. Також має відкрите апаратне забезпечення^[16], що дозволяє проводити незалежні перевірки вихідного коду та апаратного забезпечення та гарантує відсутність «чорних ходів» та вразливостей.^[17]

Філософія

Розробники Nitrokey вважають, що пропрієтарні системи не можуть забезпечити надійний захист і що системи безпеки повинні бути з відкритим вихідним кодом. Наприклад, були випадки, коли АНБ перехоплювало пристрої безпеки і вбудовувало в них бекдори. У 2011 році було зламано RSA і викрадено секретні ключі токенів securID що дозволило хакерам обійти їхню автентифікацію.^[18] Як було виявлено в 2010 році, багато USB-накопичувачів різних виробників, сертифікованих за стандартом FIPS 140-2 Level 2, можна було легко зламати, використовуючи пароль за замовчуванням.^[19] Nitrokey, завдяки відкритому коду та прозорості, прагне забезпечити високу безпеку системи та уникнути проблем з безпекою, з якими стикаються її конкуренти, що використовують власні розробки. Місія Nitrokey — надати найкращий ключ безпеки з відкритим вихідним кодом для захисту цифрового життя своїх користувачів^[20]

Дивитися також

• Google Titan Security Key
• SoloKey
• Tillitis TKey
• YubiKey

Продукти компанії

NitroPhone (NitroTablet) - смартфон (планшет), орієнтований на безпеку. Апаратне забезпечення - Google Pixel з вибірковим фізичним демонтуванням мікрофона, сенсорів, радіомодулів чи камери, що унеможливлює фізичне прослуховування навколишнього середовища чи ненавмисний радіозв'язок. Телефонні дзвінки здійснюються за допомогою додаткової гарнітури та відповідних адаптерів. Програмне забезпечення - GrapheneOS.

NitroPad (NitroPC) - ноутбук (ПК) орієнтований на безпеку. Виявляє несанкціонований доступу за допомогою Coreboot. Відсутній/деактивований Intel Management Engine. Програмне забезпечення - Ubuntu Linux LTS чи Qubes OS.

NitroWall - мобільна точка доступу до Інтернету, що базується на OpenWrt. Вбудований Tor та/або VPN не вимагає встановлення/налаштування програмного забезпечення. Підтримує випадкові ідентифікатори пристроїв (IMEI, BSSID та MAC) та шифрування DNS (DNS over TLS).

NitroChat - захищений чат, передача файлів, голосові та відеодзвінки. Базується на Matrix. Має наскрізне шифрування. Сервери розташовані в Німеччині.

Посилання

1. Nitrokey | Secure your digital life. www.nitrokey.com. Процитовано 7 січня 2016.
2. Introduction | Nitrokey. www.nitrokey.com. Архів оригіналу за 7 січня 2016. Процитовано 7 січня 2016.
3. Krypto-Stick verschlüsselt Mails und Daten. c‘t Magazin für Computer und Technik. Архів оригіналу за 16 травня 2016. Процитовано 31 травня 2016.
4. Krypto-Multitool. c‘t Magazin für Computer und Technik. Архів оригіналу за 22 листопада 2016. Процитовано 31 жовтня 2016.
5. Der mit Open-Source-Methoden entwickelte Crypto-USB-Stick. Linux-Magazin. Процитовано 15 січня 2016.
6. GnuPG-SmartCard und den CryptoStick. Privacy-Handbuch. Процитовано 15 січня 2016.
7. Heiderich, Mario; Horn, Jann; Krein, Nikolai (May 2015). Pentest-Report Nitrokey Storage Firmware 05.2015 (PDF). Cure53. Процитовано 15 лютого 2016.
8. Nedospasov, Dmitry; Heiderich, Mario (August 2015). Pentest-Report Nitrokey Storage Hardware 08.2015 (PDF). Cure53. Процитовано 15 лютого 2016.
9. How to secure your Linux environment with Nitrokey USB smart card. Xmodulo. Процитовано 15 січня 2016.
10. Nitrokey Pro. Nitrokey Pro Shop. Процитовано 29 червня 2018.
11. Nitrokey Start. Nitrokey Start Shop. Процитовано 29 червня 2018.
12. Nitrokey HSM. Nitrokey HSM Shop. Процитовано 29 червня 2018.
13. Nitrokey FIDO2. Nitrokey FIDO2 Shop. Архів оригіналу за 2 січня 2020. Процитовано 2 січня 2020.
14. Nitrokey Storage: USB Security Key for Encryption. Indiegogo. Процитовано 15 січня 2016.
15. Thomas Ekström Hansen (28 липня 2021). Recovering from a broken smartcard. St Andrews University. Процитовано 30 вересня 2023.
16. Nitrokey. GitHub. Процитовано 15 січня 2016.
17. Nitrokey Storage Firmware and Hardware Security Audits. Open Technology Fund. Процитовано 15 січня 2016.
18. RSA Break-In Leaves SecurID Users Sweating Bullets | Security | TechNewsWorld. www.technewsworld.com. 18 березня 2011. Процитовано 7 січня 2016.
19. FIPS 140-2 Level 2 Certified USB Memory Stick Cracked - Schneier on Security. www.schneier.com. Процитовано 7 січня 2016.
20. Using CryptoStick as an HSM. Mozilla Security Blog. 13 лютого 2013. Процитовано 7 січня 2016.

Зовнішні посилання

• Офіційний сайт