Der Nitrokey Pro verspricht einen sicheren Safe für Passwörter und eine Zwei-Faktor-Authentifizierung. Im Praxistest tritt der Newcomer gegen den Platzhirsch YubiKey an.

Zugangsdaten zu IT-Systemen erfordern eine sichere und insbesondere dauerhafte Möglichkeit zum Aufbewahren. Gleiches gilt für den Nachweis der eigenen Identität im Netz. Wer seine IT-Systeme selbst verwaltet, kümmert sich in der Regel auch um die Zugangsdaten und braucht dann Möglichkeiten, um diese zu modifizieren und zu verifizieren.

Nicht nur aus technischer Sicht ist eine stets sichere, verlässliche und praktikable Authentifizierung an IT-Systemen wünschenswert. Der Anspruch geht mit dem Wunsch einher, sich gegen Systemausfälle, das Altern und den Verlust von Hardware, (Daten-)Diebstahl oder auch fehlerhafte Produktion abzusichern. Daneben spielt der Schutz der Privatsphäre eine immer größere Rolle. Zu guter Letzt soll die eingesetzte Technik auch mit der Entwicklung modernerer Authentifizierungsverfahren mithalten können.

In früheren Ausgaben haben wir unter anderem den Crypto-Stick [1] der German Privacy Foundation [2] sowie den YubiKey besprochen. Letzteren in verschiedenen Szenarien. Dazu gehören YubiKey und SSH [3],[4], YubiKey Neo und Smartphone [5], YubiKey und Xlogin [6] sowie YubiKey und Apache-Webserver [7]. 2014 stand die Möglichkeit zur Google-Authentifizierung [8] im Blickpunkt.

Alles neu

In unserem Gerätezoo befindet sich nun seit Herbst 2015 auch ein Nitrokey Pro [9] (Abbildung 1) des gleichnamigen Berliner Unternehmens. Er hat seinen Ursprung im Crypto Stick, wobei es sich der Hersteller zur Aufgabe gemacht hat, die digitale Identität und die Daten – unabhängig, ob privat oder geschäftlich – zu schützen. Sämtliche Daten liegen auf einer laut Hersteller gegen Manipulation geschützten Chipkarte [10].

Abbildung 1: Der Nitrokey Pro speichert die Daten laut Hersteller auf einer gegen Manipulation geschützten Chipkarte.

Die zum Verwalten von RSA-Schlüsseln und zur sicheren Ablage von Zugangsdaten gedachte Hardware gibt es neben der Pro-Variante noch in weiteren Ausführungen. Dazu zählen eine Chipkarte (Nitrokey U2F) sowie diverse USB-Stick-ähnliche Versionen namens Nitrokey Start, Storage und HSM. Die Unterschiede liegen hier im Funktionsumfang.

Während im Wesentlichen sonst nur ein Passwortmanager und eine Ablage von RSA-Schlüsseln vorhanden sind, bietet das Storage-Modell beispielsweise versteckte und verschlüsselte Speicherbereiche. Nitrokey Start und HSM erlauben eine maximale Schlüssellänge von 2048 Bit, während die anderen beiden Modelle eine Länge zwischen 1024 und 4096 Bit gestatten.

Seit dem Spätherbst 2016 besteht zudem eine Kooperation zwischen den beiden Projekten beziehungsweise Unternehmen Nitrokey und NetKnights/PrivacyIDEA [11]. Bei PrivacyIDEA handelt es sich um einen Fork von LinOTP [12], einer grafischen Oberfläche zum Verwalten von Authentifizierungstokens. Das Projekt NetKnights/PrivacyIDEA gewann 2016 den Open Source Business Award [13].

Inbetriebnahme

Der Nitrokey Pro eignet sich für den Einsatz unter Linux, MacOS und Windows. Im Test arbeitete die Hardware unter einem aktuellen Debian 8 “Jessie”. Dabei gestaltete sich die Inbetriebnahme etwas hakelig. Im ersten Schritt gilt es, die Pakete libqt5xml5, libappindicator1, libdbusmenu-glib4, libindicator7, libdbusmenu-gtk4 und libccid nachzuinstallieren.

Damit das System den Nitrokey Pro erkennt, ergänzen Sie außerdem die Informationen bezüglich Geräten für Udev. Auf der Nitrokey-Webseite finden Sie für alle Varianten die entsprechenden Einträge. Für den Nitrokey Pro genügt es, die Zeilen 3, 6 sowie 10 aus Listing 1 in Datei /etc/libccid_Info.plist zu ergänzen.

<key>ifdVendorID</key>
<array>
  <string>0x20A0</string>
<key>ifdProductID</key>
<array>
  <string>0x4108</string>
<key>ifdFriendlyName</key>
<array>
  <string>Nitrokey Pro</string>

Udev benötigt noch weitere Zusatzinformationen. Dazu beziehen Sie das vollständige Rules-File von der Nitrokey-Webseite und speichern es unter /etc/udev/rules.d/40-nitrokey.rules auf dem System. Im Test genügten die in Listing 2 gezeigten Zeilen zum Betrieb des Nitrokey Pro.

Nach dem Einrichten der Datei starten Sie den Udev-Dienst mittels service udev restart neu (Listing 3, Zeilen 1 und 2). Anschließend bereiten Sie die Software vor. Dazu beziehen Sie das DEB-Paket für die Nitrokey-App von der Webseite des Herstellers und installieren es (Zeile 13).

# Nitrokey U2F
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", MODE="0664", GROUP="plugdev", ATTRS{idVendor}=="2581", ATTRS{idProduct}=="f1d0"
SUBSYSTEM!="usb", GOTO="gnupg_rules_end"
ACTION!="add", GOTO="gnupg_rules_end"
# USB SmartCard Readers
## Nitrokey Pro
ATTR{idVendor}=="20a0", ATTR{idProduct}=="4108", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess"
LABEL="gnupg_rules_end"

# servive udev restart
# service udev status
* systemd-udevd.service - udev Kernel Device Manager
   Loaded: loaded (/lib/systemd/system/systemd-udevd.service; static)
   Active: active (running) since Mo 2017-01-23 21:39:21 CET; 12h ago
     Docs: man:systemd-udevd.service(8)
           man:udev(7)
 Main PID: 18764 (systemd-udevd)
   CGroup: /system.slice/systemd-udevd.service
           |-18764 /lib/systemd/systemd-udevd
Jan 23 21:39:21 fehmarn systemd[1]: Started udev Kernel Device Manager.
# dpkg -i nitrokey-app_0.6.2_Debian-8-Jessie_amd64.deb

Haben Sie diesen Schritt erfolgreich absolviert, starten Sie als regulärer Benutzer die Nitrokey-App entweder über die Kommandozeile oder über den passenden Eintrag im Anwendungsmenü (Bereich Zubehör). Daraufhin klinkt sich das Programm als zusätzlicher Eintrag in die Task-Leiste ein (Abbildung 2). Steckt jetzt ein Nitrokey Pro in einem der USB-Slots des Rechners, erkennt das Programm ihn und präsentiert eine Auswahl.

Abbildung 2: Haben Sie die Hardware mit den entsprechenden Regeln für Udev eingerichtet, nutzen Sie die Nitrokey-App, um auf die Funktionen des Keys zuzugreifen.

Befindet sich der Token noch im Originalzustand, erlaubt die Applikation zunächst nur Basisfunktionen. Die Zugangsdaten, also die jeweilige PIN für den Admin und den regulären Benutzer, lauten in der Vorgabe 12345678 beziehungsweise 123456. Erst die Eingabe neuer PINs schaltet alle Funktionen auf dem Gerät frei. Dazu ändern Sie die PINs über Konfigurieren | Benutzer-PIN ändern beziehungsweise Konfigurieren | Administrator-PIN ändern. Beide Zahlenkombinationen landen dabei ausschließlich auf dem USB-Gerät.

Zu den Settings des Nitrokey Pro gelangen Sie anschließend über Konfigurieren | Einmalpasswörter und Passwortsafe. Nach der korrekten Eingabe der Admin-PIN öffnet sich ein Dialog wie in Abbildung 3. Die drei Reiter führen Sie zu den Einmalpasswörtern, zu weiteren Einstellungen hinsichtlich des One-Time-Passworts (OTP) sowie zum Passwort-Safe (Abbildung 4).

Abbildung 3: Der Konfigurationsdialog der Nitrokey-App.

Abbildung 4: Der Passwortsafe erlaubt es, auf dem USB-Gerät Zugangsdaten geschützt abzulegen.

Die Pro-Variante bietet Platz für 15 Einmalpasswörter mit Zeitstempel (Time-based one-time passwords, TOTP) sowie drei Passwörter für spezifische Hosts (Host-based one-time passwords, HOTP). Der Safe nimmt 16 Einträge auf. Dabei hinterlegen Sie für jeden Eintrag einen Bezeichner, den Login-Namen sowie das Passwort. Aus nicht nachvollziehbaren Gründen darf der Bezeichner maximal 11 Zeichen umfassen – was zumindest die Kreativität beim Ausdenken von Abkürzungen fördert.

Passwort verwenden

An ein hinterlegtes Passwort kommen Sie wieder heran, indem Sie das kleine Auswahlmenü der App öffnen. Dort finden Sie ganz oben den Eintrag Passwörter. Über den vorher vergebenen Bezeichner wählen Sie zuerst den gewünschten Eintrag aus. Das Passwort erhalten Sie durch Freischalten mithilfe der User-PIN, es landet in der Zwischenablage des Systems. Von dort aus übernehmen Sie den Wert ins gewünschte Eingabefeld. Achtung: Die Zeichenkette bleibt im Puffer und somit im RAM, bis Sie etwas anderes dort ablegen.

Im Vergleich zum YubiKey ergeben sich hier einige markante Unterschiede, die unter anderem aus dem unterschiedlichen Ansatz der Produkte herrühren. Der YubiKey lässt sich ohne zusätzliche Software auf jedem System mit einer USB-Schnittstelle sofort einsetzen und generiert dynamische Passworte. Der Nitrokey Pro dagegen benötigt sowohl zum Einrichten wie auch im laufenden Betrieb zusätzliche Software, etwa zum Entsperren des Safes.

Das Einrichten beider Geräte gelingt nur mit Fachwissen. Versierte Benutzer sind bei der komplexen Schnittstelle zur Konfiguration klar im Vorteil – hier sollte man genau wissen, was die einzelnen Schritte bewirken. Dasselbe gilt jedoch auch für viele ähnliche Werkzeuge; das notwendige Wissen in eine überschaubare, verständliche Bedienoberfläche zu verpacken, bleibt eine Herausforderung. Der Einsatz des YubiKey lässt sich einem Endanwender leichter erklären – das Drücken eines Knopfes versteht jeder. Beim Nitrokey Pro setzt die Nutzung hingegen das Begreifen und Bedienen der Software voraus.

Der Nitrokey Pro wirkt im Alltag etwas träge. Er ver- und entschlüsselt im Hintergrund, was etwas Zeit braucht. Der YubiKey reagiert dagegen scheinbar prompt. Allerdings benötigt er zum Überprüfen des generierten Passworts einen Dienst, den die Hardware in der Regel über das Netzwerk sucht. Eine Offline-Validierung gelingt erst nach dem Einrichten eines statischen Passworts. Der Nitrokey Pro weist diese Abhängigkeit nicht auf und erlaubt den Einsatz ohne Verbindung ins LAN beziehungsweise Internet.

Beide Geräte entsprechen quasi einem Haustürschlüssel, wobei der YubiKey die einfache Version repräsentiert. Der Nitrokey Pro fügt dem eine PIN hinzu, die alle Anwender als zweiten Faktor angeben müssen. Jedes Ändern der PIN bedarf zudem der Admin-PIN.

Fazit

Sowohl der Nitrokey Pro als auch der YubiKey finden ihren Platz im Alltag. Welchen der beiden Sie wählen, hängt vom konkreten Einsatz ab. Der YubiKey gestattet eine etwas einfachere Handhabung, beschränkt sich aber auf das Generieren dynamischer Passworte. Der Nitrokey Pro kann Passworte generieren und bietet gleichzeitig einen sicheren Speicher für diese.

Dabei unterstützt der Nitrokey Pro in einem Gerät das Verschlüsseln von E-Mails, Festplatten und sonstigen Daten mittels Hardware sowie ein sicheres Login im Web mittels Einmalpasswörtern zum Schutz vor Identitätsdiebstahl. Seine Hardware schützt geheime Schlüssel, indem sie verhindert, dass eine Software Daten direkt auf den internen Speicher schreibt. Zudem liegt die steuernde Applikation offen und bietet damit Transparenz.

Nutzen mehrere Personen ein und denselben Nitrokey Pro parallel, weicht das Geheimnis auf – an dieser Stelle hat der YubiKey die Nase vorn. Müssen Sie nur maximal zwei Passworte sicher ablegen, genügt der YubiKey; wächst die Zahl der Credentials, präsentiert sich der Nitrokey Pro als erste Wahl.