FIDO2 scheint bei mir nicht mehr zu funktionieren (Nitrokey 3)

Xeper · July 14, 2025, 1:07pm

Hallo zusammen,

irgendwie scheint meine FIDO 2 Funktion nicht mehr zu funktionieren. Zuerst dachte ich an einen Bug in der nitropy_cli, bis ich bei der Registrierung hier im Forum gemerkte habe, dass ich hier einen Passkey registrieren kann aber die Anmeldung mit einem Internal Server Error abbricht. YubiKey klappt hingegen. Bei WebAuthn.io funktioniert nicht mal mehr die Regstrierung des Keys.

Vielen Dank im Voraus.

Log:

708        INFO pynitrokey.cli Timestamp: 2025-07-14 14:26:28.308552
708        INFO pynitrokey.cli OS: uname_result(system='Windows', node='XeperPC', release='11', version='10.0.26100', machine='AMD64')
708        INFO pynitrokey.cli Python version: 3.13.5
708        INFO pynitrokey.cli Cli arguments: ['nk3', 'test', '--pin', '[redacted]']
710        INFO pynitrokey.cli pynitrokey version: 0.9.1
711        INFO pynitrokey.cli cryptography version: 44.0.3
711        INFO pynitrokey.cli ecdsa version: 0.19.1
712        INFO pynitrokey.cli fido2 version: 2.0.0
715        INFO pynitrokey.cli pyusb version: 1.3.1
718        INFO pynitrokey.cli.trussed.test platform: Windows-11-10.0.26100-SP0
718        INFO pynitrokey.cli.trussed.test uname: uname_result(system='Windows', node='XeperPC', release='11', version='10.0.26100', machine='AMD64')
740       DEBUG       root print: Found 1 NK3 device(s):
740       DEBUG       root print: - Nitrokey 3 at \\?\hid#vid_20a0&pid_42b2&mi_01#8&b323c26&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}
742       DEBUG       root print: Running tests for Nitrokey 3 at \\?\hid#vid_20a0&pid_42b2&mi_01#8&b323c26&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}
748       DEBUG       root print: [1/5]	uuid     	UUID query              	SUCCESS  	306C3E31E9055854B3DA08BC0756B734
756       DEBUG       root print: [2/5]	version  	Firmware version query  	SUCCESS  	v1.8.1
764        INFO pynitrokey.cli.trussed.tests Device status: Status(init_status=<InitStatus: 0>, ifs_blocks=22, efs_blocks=464, variant=<Variant.LPC55: 1>)
764       DEBUG       root print: [3/5]	status   	Device status           	SUCCESS  	Status(init_status=<InitStatus: 0>, ifs_blocks=22, efs_blocks=464, variant=<Variant.LPC55: 1>)
909       DEBUG       root print: [4/5]	se050    	SE050                   	SUCCESS  	SE050 firmware version: 3.1.1 - 1.11, (persistent: (28512,), transient_deselect: (607,), transient_reset: (592,))
979       DEBUG fido2.server Fido2Server initialized for RP: PublicKeyCredentialRpEntity(name='Example RP', id='example.com')
979       DEBUG fido2.server Starting new registration, existing credentials: 
980       DEBUG       root print: Please press the touch button on the device ...
985       ERROR pynitrokey.cli.trussed.test An exception occured during the execution of the test fido2:
Traceback (most recent call last):
  File "pynitrokey\cli\trussed\test.py", line 147, in run_tests
  File "pynitrokey\cli\trussed\tests.py", line 409, in test_fido2
  File "fido2\client\__init__.py", line 1093, in make_credential
  File "fido2\client\__init__.py", line 345, in collect_client_data
  File "fido2\client\__init__.py", line 330, in verify_rp_id
fido2.client.ClientError: (<ERR.BAD_REQUEST: 2>, None)
985       DEBUG       root print: [5/5]	fido2    	FIDO2                   	FAILURE  	(<ERR.BAD_REQUEST: 2>, None)
986       DEBUG       root print: 5 tests, 4 successful, 0 skipped, 1 failed
986       DEBUG       root print: Summary: 1 device(s) tested, 0 successful, 1 failed
986       DEBUG       root print: Critical error:
986       DEBUG       root print: Test failed for 1 device(s)
987       DEBUG       root listing all connected devices:
996       DEBUG       root :: 'Nitrokey FIDO2' keys
996       DEBUG       root :: 'Nitrokey Start' keys:
1011      DEBUG       root :: 'NK3' keys
1036      DEBUG       root \\?\hid#vid_20a0&pid_42b2&mi_01#8&b323c26&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}: Nitrokey 3 306C3E31E9055854B3DA08BC0756B734
1036      DEBUG       root :: 'NKPK' keys
1038      DEBUG       root print: --------------------------------------------------------------------------------
1039      DEBUG       root print: Critical error occurred, exiting now
1039      DEBUG       root print: Unexpected? Is this a bug? Would you like to get support/help?
1039      DEBUG       root print: - You can report issues at: https://support.nitrokey.com/
1039      DEBUG       root print: - Writing an e-mail to support@nitrokey.com is also possible
1039      DEBUG       root print: - Please attach the log: 'C:\Users\Xeper\AppData\Local\Temp\nitropy-20250714T142628-iargfneo.log' with any support/help request!
1040      DEBUG       root print: --------------------------------------------------------------------------------

PS: Der Test oben rauschte auch einfach bis zum Ende durch ohne auf meinen Fingertipp zu warten. Das war vorher auch anders.

Nachtrag:
Ich habe versucht mit nitropy fido2 list-credentials die gespeicherten Einträge auszulesen. Hat gerade beim ersten Mal geklappt, komischerweise dann auch bei WebAuthn.io und nun beim zweiten Versuch kommt:

nitropy fido2 list-credentials ─╯
Command line tool to interact with Nitrokey devices 0.9.1
Warning: It is recommended to execute nitropy with admin privileges to be able to access Nitrokey 3 and Nitrokey FIDO 2 devices.
Please provide pin:
Critical error:
An unhandled exception occurred
Exception encountered: NoSoloFoundError(‘no Nitrokey FIDO2 found’)

Der zweite Ersatzkey zeigt im nitropy-Test das gleiche Verhalten. List-credetials klappt dort jedoch zuverlässig.

robin-nitrokey · July 14, 2025, 3:31pm

Hi @Xeper, der FIDO2-Test funktioniert in pynitrokey v0.9 tatsächlich nicht richtig wegen eines Fehlers beim Update der FIDO2-Bibliothek. Ein Fix ist unterwegs:

nk3: Fix fido2 test case and release v0.9.3 by robin-nitrokey · Pull Request #666 · Nitrokey/pynitrokey · GitHub

Ich gebe nochmal Bescheid, wenn die Version veröffentlicht ist.

geoW · July 14, 2025, 4:14pm

Dies wird der Forensoftware Discourse zueschrieben. das Registrieren gelingt, das Anmelden wirft einen Fehler,
Du kannst es ja mal bei amazon, Google, MS, github und wie ich am WE entdeckte Telekom-Login versuchen.

Xeper · July 14, 2025, 4:52pm

Vielen Dank, die Antwort erklärt den anderen Teil meiner Frage. Hätte ich tatsächlich nicht vermutet. Wo, wenn nicht hier sollte ein Nitrokey-Passkey zuverlässig funktionieren? Bei Gitlab, Google usw. läuft es jedenfalls.
Der Schluckauf bei WebAuthn.io hatte mich darüber hinaus stutzig gemacht. Ich dachte schon, dass der Key defekt wäre.

Xeper · July 14, 2025, 4:53pm

Vielen Dank für die schnelle Antwort. Dann warte ich mal den Patch ab.

robin-nitrokey · July 15, 2025, 2:15pm

pynitrokey v0.9.3 sollte das Problem mit nitropy nk3 test beheben.

Xeper · July 15, 2025, 2:42pm

Danke, funktioniert hier wieder.