Nitrokey 3 / MacOS / Einrichtungshilfe

cabbagegreatsquare · 23. Februar 2023 um 20:47

Hallo Community,

ich habe mir vor kurzem einen neuen Nitrokey 3 zugelegt um meine ganzen Zugänge und Keepass damit abzusichern.

Nun habe ich schon erste Probleme beim Einrichten… Ich werde aus der Dokumentation von Nitrokey selbst leider nicht schlauer… Da ich doch eher ein Neuling auf dem Gebiet bin fällt mir dies aktuell sehr schwer hier überhaupt durchzublicken.

Welche Tools benötige ich denn für den Nitrokey alles? Ich habe gelesen, dass die Nitrokey App für den Nitrokey 3 leider nicht verfügbar ist, stimmt das?

Habt ihr hierzu Quellen wie ich diesen am Besten einrichten kann? Oder ich mich hier in die Materie am Besten einarbeiten könnte, sodass ich Step by Step meine benötigten Authentifizierungen etc. einrichten kann? Wichtig wär mir hier erstmal die Absicherung von Keepass, es sollte in Zukunft auch in Richtung Email Verschlüsselung und Datenverschlüsselung via VeraCrypt bzw. Cryptomator gehen.
Über die Suchmaschine meines Vertrauens wurde ich hier leider auch nicht schlauer, da hier die meisten Verweise auf die Doku von Nitrokey selbst verweisen. Oder könnt ihr mir hier beim Einrichten etwas helfen?

Vielen Dank im Voraus.

Gruß,
Cabbagegreatsquare

Objective-SeePee · 24. Februar 2023 um 11:53

https://support.nitrokey.com/

porcupine0815 · 24. Februar 2023 um 13:17

Gleich mal vorweg, wirklich helfen kann ich Dir leider nicht, da ich weder Nitrokey noch MacOS nutze.
Schlechte Nachricht, Nitrokey wird von KeepassXC (ich gehe davon aus Du nutzt dieses) zur Verschlüsselung/Entsperrung der Datenbank nicht unterstützt. Aber auch die unterstützten Yubikey bzw. Openkey sind beim Entsperren kein echter 2. Faktor, da sie lediglich das Passwort komplexer machen (ähnlich wie der Einsatz eines Keyfiles).
Siehe mein Beitrag hier.
Es gibt unter Linux einen Workaround die Datenbank mit Nitrokey zu öffnen (Lässt sich evtl. für Mac anpassen).
Letzlich wird in dem Workaround ein sicheres 64-stelliges Passwort für die KeepassXC-Datenbank mit dem OpenPGP-Schlüsselpaar des Nitrokey verschlüsselt. Um KeepassXC zu starten wird die Passwortdatei über das Terminal entschlüsselt und das Passwort via Pipe an KeepassXC übergeben.
Vorteil: Man muss sich kein Masterpasswort merken.
Nachteil: Man muss das Masterpasswort aufschreiben, weil man sonst bei Verlust oder Defekt des Nitrokey nicht mehr an seine Zugangsdaten kommt.

Tomka · 24. Februar 2023 um 15:34

Wofür möchtest Du den NK3 denn nutzen?
Ich habe seine Fido2 Funktionalität als 2.Faktor für die Apple-ID eingerichtet.
Dazu musst Du gar nichts installieren.
Für die Aktualisierung der Firmware und die sicheren Verschlüsselung-Funktionen solltest du die Freigabe der neuen Nitrokey-Software abwarten, wenn Du mit der cli nicht befreundet bist. Steht aber eigentlich alles im Blog bei Nitrokey.

cabbagegreatsquare · 2. März 2023 um 07:48

Hallo Zusammen,

vielen Dank für die schnellen Antworten.

@porcupine0815
Danke für den Tipp mit KeePass, das Workaround war mir bisher so noch nicht bekannt, jedoch denke ich, reicht mir dies fürs Erste auch aus.

@Tomka
Meine vorerst wichtigsten Use-Cases wären eigentlich folgende:

KeePass (wurde ja schon beantwortet)
Sämtliche Accounts mit 2FA
Alles weitere wird sich in Zukunft dann ergeben, da mir der komplette Funktionsumfang des Sticks noch nicht ganz geläufig ist.

Ich werde mich dann die Tage mal in die CLI einarbeiten, da es aktuell hierzu ja keine Alternative gibt

Gruß.

Gruß,
Cabbagegreatsquare

Preset2814 · 20. August 2023 um 11:07

Hallo Zusammen,

offenbar gibt es mit dem neuen Update die Möglichkeit, KeePassXC 2.7.6 mit dem Nitrokey 3 zu entsperrren:

https://www.nitrokey.com/de/blog/2023/keepassxc-276-unterstützt-nitrokey-3

Hat das schon jemand gemacht bzw. wie soll das funktionieren?
Ich sehe in den KeePassXC-Sicherheitseinstellungen trotz Update keine Nitrokey 3 Option.

vax · 20. August 2023 um 16:26

Funktionieren müsste es unter:
„Datenbank-Sicherheit“
"Zusätzlichen Schutz hinzufügen … "
„Challenge-Response hinzufügen“
dort müsste nun auch der Nitrokey3 erkannt werden.

Preset2814 · 21. August 2023 um 07:36

Leider nicht. Zumindest nicht bei mir.
Bei gestecktem Nitrokey 3 → Keine Hardwareschlüssel gefunden.

jon · 24. August 2023 um 19:35

https://github.com/Nitrokey/nitrokey-3-firmware/issues/281

Preset2814 · 25. August 2023 um 06:55

Danke, aber ich kenne diesen Link und verstehe leider nur Bahnhof.
Daran merkt man mal wieder, wie wenig Schnall man von der ganzen Materie hat.

Ich habe im Terminal mit

nitropy fido2 make-credential

Please provide pin:

eine PIN gesetzt mit 20 Zeichen. Ich schätze doch mal, dass diese PIN gleichzusetzen ist mit dem sogenannten HMAC-Passwort, korrekt?

Diese PIN habe ich danach mit meinem bereits zuvor festgelegten FIDO2 Pin bestätigt.

Enter PIN:

Touch your authenticator device now…

Irgend etwas scheint geklappt zu haben und es wird mir ein Schlüssel mit 380 Zeichen angezeigt.

Aber was muss ich jetzt noch machen?
KeePassXC findet nachwievor keinen Hardwareschlüssel.

Muss ich irgendwie noch pcscd starten und wenn ja, wie?

Ich bin wirklich zu blöd, diese Github-Anleitungen zu verstehen.
Mein geringes Basis-Wissen reicht ganz offenbar nicht aus.

Vielleicht hat noch jemand eine Monkey-Safe-Anleitung für mich?

devsec · 26. August 2023 um 08:21

Aktuell geht’s scheinbar nur über diese Variante:

nitropy nk3 secrets add-challenge-response 2 SECRET

Preset2814 · 26. August 2023 um 10:21

Danke, aber die Antwort darauf sieht so aus:

Command line tool to interact with Nitrokey devices 0.4.39
Critical error:
An unhandled exception occurred
Exception encountered: Error(‚Incorrect padding‘)

devsec · 29. August 2023 um 18:29

Sorry, das SECRET steht für einen 20-byte base32 Schlüssel.

Nitrokey Beschreibung ist im Github Link von @jon zu finden.

Beispiel zum erzeugen eines Schlüssels:
https://support.yubico.com/hc/en-us/articles/360015668699-Generating-Base32-string-examples

So hat’s bei mir geklappt.

Preset2814 · 30. August 2023 um 10:57

PERFEKT.

Vielen Dank, es funktioniert.
Endlich.