Nitrokey
Nitrokey 是一系列开源 USB 密钥,用于实现数据的安全加密和签名。密钥始终存储在 Nitrokey 内部,以防止恶意软件(如计算机病毒)和攻击者。用户选择的 PIN 码和防篡改智能卡可在丢失和被盗时保护 Nitrokey。Nitrokey 的硬件和软件都是开源的。免费软件和开源硬件使独立方能够验证设备的安全性。Nitrokey 在 Microsoft Windows、macOS、Linux 和 BSD 上受支持。Nitrokey 在德国开发和生产。
软件
旨在帮助配置 Nitrokey 产品的软件包包括 nitrocli (Nitrokey Pro 和 Nitrokey Storage)、nitrokey-app (Nitrokey Pro 和 Nitrokey Storage)、nitrokey-app2AUR (Nitrokey 3) 和 python-pynitrokey。
对于一般的硬件加密设备,安装 gnupg 非常重要。Nitrokey 3 和 Nitrokey FIDO2 也支持安全登录到 shell 和 各种网站。为此,需要 libfido2,请参阅 通用第二因素。
设置
Nitrokey 的设备节点将由 udev 规则创建,这些规则是 libnitrokey 软件包的一部分。为了供 GnuPG 使用,新创建的 /dev/bus/usb/*/* 设备(由 lsusb 确定)必须可由非特权用户访问。对于 WebAuthn,/dev/hidraw* 设备也必须是。如果它们仅可由 root 访问,您可以通过在 41-nitrokey.rules 中的相应行中添加 MODE="0666" 来更改默认值。如果 50-udev-default.rules 干扰,则可能需要符号链接到更高的数字。
要手动设置 udev 规则(不使用 libnitrokey 软件包),请参阅 https://docs.nitrokey.com/software/nitropy/linux/udev。
Nitrokey 在首次送达时是空的。官方说明解释了如何创建新的密钥并将其传输到设备。密钥备份必须在传输之前完成,但仅在您有安全的地方存储备份时才执行此操作。官方网站还提供了有关如何使用 sudo 等交互的说明,使用 pam-u2f。
技巧与提示
KeePassXC
要使 Nitrokey 3 与 KeePassXC 一起工作,您需要安装 ccid 并启动和/或启用 pcscd.service。打开 nitrokey-app2AUR 并创建新的 HMAC 密钥。
现在您应该能够在重启 KeePassXC 后选择您的 Nitrokey 3。