Keine brauchbare Software und keine brauchbare Dokumentation (Nitrokey 3A NFC)

Nitrokeys Misc
1

Erfreulich, dass nach nur 9 Monaten der Nitrokey 3A NFC auf meinem Tisch liegt. Groß ist die Enttäuschung aber, wenn ich auf eurer Webseite nach Dokumentation oder auch nur halbwegs brauchbaren Anleitungen suche. Das alleine ist eigentlich schon etwas schwach - vor allem, wenn man die ausgesprochen lange Zeit berücksichtigt, die die Lieferung nun doch in Anspruch genommen hat. Klar… Chipmangel und so… Die lange Zeit hat aber dann leider wohl nicht dazu gereicht oder motiviert, den dann erfolgenden Launch etwas besser zu organisieren :-/

Jenseits der Tatsache, dass es an Dokumentation mangelt (oder ich zu blöd bin, die zu finden), ist aber der Mangel an Software - und sei es noch so rudimentäre - unverzeihlich.

Unter macOS Big Sur läuft pynitrokey leider nicht korrekt. Der Nitrokey 3A NFC wird nicht erkannt und ein Warning wegen eines fehlenden Backends ausgespuckt. Auf Github fehlt auch die Dokumentation für macOS vollkommen. Die NitrokeyApp erkennt den Stick ebenfalls nicht - auch in der aktuellsten Version von Github nicht.

Immerhin kann man mit Vivaldi oder Chrome eine PIN auf den Key setzen - tolle Wurst! Das enttäuscht mich doch etwas. Dass ich hinsichtlich der Funktionalität des Sticks “Bananenware” gekauft habe, die beim Kunden reifen soll, war mir ja klar - auf der anderen Seite bekommt man einen FIDO U2F Key mittlerweile für 6 EUR nachgeworfen und FIDO2 ist nun nicht so verbreitet, dass es mich vom Hocker haut - ich hätte mir wenigstens mehr Dokumentation und vor allem wenigstens die Basissoftware gewünscht - und vielleicht auch eine Option, einen Funktions- und Authentizitätstest durchzuführen.

Da nun doch viel mehr Zeit ins Land gegangen ist, als ursprünglich gedacht, macht mir das nicht gerade gute Laune. Selbst wenn ich anerkenne, dass ihr zusätzliche Prozessoren unterstützt… Das Gesamtpaket ist sein Geld IMHO derzeit nicht wert - vor allem wenn man noch die mangelhafte bis nicht vorhandene NFC-Funktion in die Waagschale wirft, macht mich das doch sehr, sehr unglücklich.

Könntet ihr hier bitte etwas nachlegen und eure Tools und Dokumentation auf die Todo-Liste setzen und bitte zeitnah zumindest mal die absoluten Basics nachliefern?

BTW: Das man auf das grüne Licht tappen muss, das erschließt sich, wenn man den Aufdruck sieht und vermutet, dass die Fingergeste zum Klick verleiten soll - allerdings ist das nur ein Aufdruck und eine kleine Mulde, die Benutzerfreundlich wäre, fehlt.Wer’s nicht versteht, wird auch alleine gelassen - nicht mal diese Basics sind erläutert - und “Nitrokey Documentation” ist wohl auch eher nett gemeint, aber nicht fertig geworden :-/

Ja klar ist das alles viel Arbeit für eine kleine Firma… Nur habt ihr, während alle lange auf die Keys gewartet haben, gefühlt elfundneunzig weitere Produkte entwickelt - also kann’s nun auch nicht so stressig bei den Keys gewesen sein. Da wäre doch etwas mehr Liebe durchaus drin und erwartbar gewesen… Die Teile sind ja nicht unbedingt Discounter-Ware… :frowning:

Usabilitymäßig verbesserungsfähig - aus UX-Sicht aber derzeit noch ein ziemlicher Griff ins Klo… Da sollte bald etwas nachglegt werden…

2

Sorry, ich muss mich hier mal zu Wort melden. Ich kann Deine harsche Kritik nicht teilen. Du hast Dich hier an einem Projekt einer kleinen Firma beteiligt - wie Du auch schon richtig festgestellt hast. Das man sich da auch ein Abenteuer einlässt und auch ein gewisses Risiko mit allen anderen zusammen eingeht, erschließt sich schon über Finanzierung des Projektes via Pre-Order. Ich muss zugeben, dass ich den Jungs großen Respekt zolle, dass sie sich in ein solches Projekt stürzen und übernehme da gerne einen Mini-Teil des Risikos, nämlich ggf. ein paar Euro in den Sand gesetzt zu haben. Mir scheint das aber echt nicht der Fall zu sein. Wenn die Hardware OK ist, werden wir über die nächsten Monate mit Sicherheit einen prima funktionierenden Stick bekommen. Wenn Du dringend auf einen funktionierenden Stick angewiesen bist, kauf Dir eben ein Massenprodukt bei Yubico oder Feitian oder ähnlichen Anbietern. Ist dann eben nicht Open Source. Wenn Du bei Nitrokey per Pre-Order bestellst, solltest Du meiner Meinung nach Überzeugungstäter sein und die notwendige Geduld und das entsprechende Verständnis mitbringen. Ich habe vollstes Vertrauen in die Jungs. Und wenn es doch in die Hose gehen sollte, ist das eben so. Unser potentielle Verlust als Kunden hält sich nun wirklich in Grenzen. Die Jungs von Nitrokey tragen das eigentliche Risiko. Aber das sehe ich bei weitem nicht kommen und freue mich über den Stick, die kommenden Funktionalitäten und darüber, dass ich ein solches Projekt unterstützen kann/konnte. Und übrigens, solche Projekte laufen häufig so bei kleinen Unternehmen, die nicht über die Resourcen der Tech-Giganten verfügen. Auf mein Shift 6mq Smartphone habe 2 Jahre gewartet und dann mussten noch viele Bugs im OS behoben werden. Na und? Dann trage ich eben konstruktiv zur weiteren Entwicklung bei und halte mich mit wenig konstruktiver Kritik zurück.
Übrigens, zu Deinem Punkt mit dem der Fingergeste: Für mich ist das ziemlich intuitiv. Um das zu verstehen brauche ich keine Mulde.
Und zum Thema Liebe: Durch das Herzblut der Jungs hast Du zumindest einen Open Source Stick in der Hand. Ohne das hättest Du mal gar nichts. Ich finde, die leisten Großartiges. Ist eben alles eine Frage der Erwartungshaltung und der Einstellung zu solchen Projekten.

2 Likes
3

Ich respektiere deine Meinung - allerdings teile ich sie nicht. Schon deshalb nicht, weil du von - für mich - völlig falschen Grundannahmen ausgehst.

Ich habe mich hier an keinem “Projekt beteiligt”, sondern ein Produkt gekauft. Diese Produkt wird mit bestimmten Eigenschaften beworben. Nun ist es so, dass der Hersteller zwar schon vor 9 Monaten auf gewisse Einschränkungen der Funktionalität zu Beginn hingewiesen hat und das ist auch erst einmal okay. Allerdings darf ich dennoch erwarten, dass ich die Grundfunktionen (die, welche zugesichert wurden) auch problemlos nutzen kann.

In meinem Fall scheitert das schon mal beim NFC. Und nein, es spielt keine Rolle, wie lange, wie und wo ich den Stick hinhalte: Es funktioniert schlicht nicht.

Ich habe kein Crowdfunding-Projekt unterstützt und auch kein Risikokapital bereitgestellt. Insofern darf ich erwarten, dass ich nach 9 Monaten Wartezeit zumindest ein technisch funktionsfähiges Produkt erhalte, welches die Grundfunktionen, die zugesichert sind, auch klaglos leistet. Nur mal als Maßstab: Ein FIDO U2F-Token bekomme ich auch schon für um die 6 EUR - aber ich wollte ja eben genau das nicht, sondern eben gerade die zusätzlichen Funktionen und vor allem war es mir wichtig ein deutsches Unternehmen und Open Source zu unterstützen. Allerdings muss dann auch irgendwann geliefert werden.

Auch den Rest deiner Ausführungen kann ich nicht nachvollziehen. JEDER Unternehmer trägt IMMER Risiken. Das kann gar nicht anders sein. Bei einer Pre-Order, bei der gleich der volle Preis fällig wird, ist das Risiko aber ebenso überschaubar wie managebar - das sage ich dir aus eigener unternehmerischer Erfahrung.

Es mag ja nun sein, dass du das alles ganz anders siehst. Das ist dein gutes Recht und DEINE individuelle Realität. Mein gutes Recht ist es aber, eine andere Sichtweise einzunehmen. Und auch das, was ich schreibe, ist eine Realität - nämlich MEINE.

Also wäre ich dir dankbar, einfach sachlich zu bleiben. Nicht jeder ist ein bedingungsloser Enthusiast - für mich ist der Nitrokey eine wünschenswerte Alternative zum YubiKey und zu Titan, die ich besitze aber aus verschiedenen Gründen nur mit Wehmut nutze - allerdings funktionieren die.

Bitte nicht böse sein, wenn ich auf weitere Einlassungen von dir nicht reagiere - ist nicht böse gemeint, aber aus meiner Sicht haben wir unsere Standpunkte erschöpfend ausgetauscht,

In diesem Sinne noch einen schönen Abend…

1 Like
4

Na siehst Du, da haben wir doch in Deinem letzten Punkt eine Gemeinsamkeit. Für den Vorschlag bin ich Dir doch eher dankbar, als dass ich dafür böse sein kann. Ich denke, das kann so stehen bleiben.

5

Es gibt im deutschen Recht eine definierte Vorgehensweise, wenn ein Produkt die Erwartungen nicht erfuellt. Man gibt Lieferanten die Moeglichkeit zur Nachbesserung. Wenn nicht nachbessern kann oder will, hat man das Recht, das Produkt gegen Erstattung zurueckzugeben.

ALSO WARUM KANNST DU DAS NICHT EINFACH MACHEN UND UNS NICHT BELAESTIGEN???

6

Hallo zusammen,

also zunächst würde ich mal ganz freundlich darum bitten das Niveau hier nicht auf Heise-Forum-Level abfallen zu lassen :wink:

Grundsätzlich würde ich hier nochmal die Chance nutzen ein wenig Überblick zum Stand zu verteilen:
Dokumentation: Nitrokey 3 - Nitrokey Documentation

Grundsätzlich gilt für Doku, dass diese halt massiv von auch Euren Inputs abhängt, d.h. konstruktive Beiträge was mit in die Doku soll sind sehr gerne gesehen, aber bitte versteht, dass

ist wohl auch eher nett gemeint, aber nicht fertig geworden

leider kaum Mehrwert liefert um Dinge zu verbessern. Ich würde mir wünschen, dass man auch mal konstruktiv erwähnen könnte wo was fehlt, dann nehmen wir das gerne an und verbessern die Dokumentation oder auch Tooling.

Wenn man tatsächlich Dinge verbessern will kann man einen PR starten und selbst die Doku verbessern: GitHub - Nitrokey/nitrokey-documentation: User documentation of Nitrokey's products

best

7

Ich finde die Kritik von JockJohnsen absolut zutreffend und auch durchaus moderat vorgetragen. Ich hab hier selber zwei nicht funktionierende Nitros auf dem Tisch, nicht mal der USB-Adapter funktioniert, und mir sind ganz andere Begriffe durch den Kopf gegangen, die ich hier nicht teilen möchte.

Aus meiner 20 jährigen Erfahrung in der Produktentwicklung hab ich da so eine Ahnung, wo die Fehler liegen. Und ich denke, die Firma Nitrokey weiß das auch ganz genau. Zumindest sollte sie das, wenn sie dieses Fiasko überleben und am Markt bestehen will. Dieses Produkt ist aktuell nicht marktreif, und hat beim Kunden nichts zu suchen. Das Produkt hat bestenfalls “Familiy & Friends” Niveau, um erste Felderfahrungen zu sammeln.

Meine Sticks gehen mit der nächsten Post zurück.

1 Like
8

Lieber Daringer,

Sie machen es mir wahrlich nicht leicht, freundlich und moderat zu bleiben. Wirklich. Ich bemühe mich trotzdem.

Ganz zu beginn erlaube ich mir jedoch die Feststellung, dass ich weder Angestellter noch freier Mitarbeiter der Nitrokey UG bin und derzeit weder Zeit noch Lust dazu habe, Pro-Bono-Beratung zu leisten. Insofern beantwortet sich Ihre Frage, weshalb nicht ich die Dokumentation schreibe und auch keine Veranlassung sehe, den Job der Angestellten von Nitrokey zu machen, eigentlich von selbst.

Ich trage zwar durchaus gelegentlich etwas zu Open Source-Projekten bei - allerdings gibt es da einen großen Unterschied: Diese Projekte vertreiben keine kommerziellen Produkte, sondern tatsächlich ausschließlich Software, die jedermann unentgeltlich nutzen kann. Und noch etwas ist anders, als bei einigen Schreibern hier: Nämlich das Mindset - die Initiatoren und Beitragenden “meiner” Projekte sind sich ihrer Verantwortung für die angebotene Software und dem nötigen Respekt gegenüber den Kunden bewusst und leben das auch. Respekt bedeutet in diesem Zusammenhang aber nicht nur, dass man eine gewisse Freundlichkeit an den Tag legt, sondern auch Hilfsbereitschaft zeigt.

Beispielsweise wird dort keinem Nutzer vorgeworfen er sei nicht konstruktiv, weil er nicht gleich mal eben eine Themenliste für eine Dokumentation - oder besser noch: Die Dokumentation selbst - über den Zaun wirft.

Insofern finde ich Ihre Ausführungen - mit Verlaub - etwas unverschämt.

Ich habe bei Nitrokey ein Produkt gekauft. Das war im 1. Quartal dieses Jahres. Dieses Produkt wurde mit bestimmten Eigenschaften beworben. Zwar wurde durchaus darauf hingewiesen, dass mit der Lieferung noch nicht alle Features zur Verfügung stehen (und das war okay für mich) - allerdings war da noch nicht von 9 Monaten Lieferzeit und Änderungen der Hardwarespezifikation die Rede.

Gekauft habe ich bei Nitrokey, weil ich explizit bei einem deutschen Unternehmen kaufen wollte, mir Open Source wichtig ist und ich das Vertrauen hatte, dass hier ein tolles Produkt kommt - nachdem ich lange darauf gewartet habe, dass ich nicht 5 verschiedene Nitro-Keys brauche, um alle meine Bedürfnisse abbilden, sondern nur noch einen. Immerhin ist es ja nicht das erste Produkt.

“Verschnupft” war ich bereits als immer wieder Meldungen über Verzögerungen kamen - gleichzeitig aber durchaus eine Reihe neuer Produkte angeboten wurden, alte Keys “verschenkt” worden sind… Aber gut… Vielleicht hat man bei Nitrokey ja im Hintergrund daran gearbeitet, dann nach so lange Wartezeit vielleicht doch etwas mehr zu liefern. Dachte ich…

Nach dann “nur” 9 Monaten kommt für rund 60 EUR ein Einschreiben mit zwei unversiegelten Plastiktütchen. In einem der Key, der authentisch oder auch getampert sein kann (ich kann’s ja nicht einmal dem äußeren Anschein nach beurteilen) und ein USB A auf USB C Adapter. Erster Eindruck: Lieblos!

Nach dem Auspacken erst einmal gewundert, dass die Schutzkappe nicht richtig sitzt - und ja, sie ist etwa 0,5mm zu kurz. Toll. Aber okay, das sind nur Äußerlichkeiten und mal Hand auf’s Herz: Die Kappe verliert man ohnehin, da sie nur aufgesteckt ist -hat man den Key am Schlüsselbund oder am Lanyard, ist die schnell weg… Also egal…

Wirklich sauer wurde ich aber, als ich feststellen musste, dass lediglich FIDO U2F und wohl auch FIDO funktionieren und selbst die nicht korrekt - denn zumindest bei mir ist es unabhängig davon, ob mit oder ohne Hülle, mit der Vorderseite, mit der Rückseite oder anderswie ans Smartphone gehalten NFC nicht funktioniert. Ich tippe mal auf einen Hardwaredefekt - aber das ist nur so eine Vermutung. Im Forum bin ich nicht der einzige, der “Probleme” mit der NFC-Funktionalität hat - wenngleich wohl jemand, bei dem es gar nicht funktioniert.

Und kurz vor dem Explodieren war ich dann als ich feststellte, dass es keine Software - nicht einmal rudimentäre - für den Stick gibt. Nicht einmal Updates könnte ich derzeit durchführen. Getoppt wird das ganze von einer “Dokumentation”, die den Namen nicht verdient und die einem Einsteiger in die Materie keine Hilfe bietet.

Ehrlich gesagt trägt es nicht zu einer Besserung meiner Laune bei, wenn ich im Forum lesen muss, dass ich mir die Doku selber schreiben soll… Das kann auch nicht ihr Ernst sein - falls doch, dann gehen sie vielleicht von der Annahme aus, dass es sich hier um ein Crowdfunding oder Freizeitprojekt handelt. Dem ist aber nicht so.

Sieht man vom fehlenden Niveau der Einlassungen von “Schluesselnitrat” und der Tatsache, dass der/die gute Mann/Frau mit solchen Ausführungen Negativwerbung macht und er/sie nur offenkundige Tatsachen wiederholt, liegt mir gerade nichts an einer Rückabwicklung - das hätte ich ja längst haben können.

Mir geht es darum, einen einsatzfähigen Nitrokey zu erhalten, den ich bei Bedarf auch aktualisieren kann und der in nicht sehr ferner Zukunft den in Aussicht gestellten Funktionsumfang bietet. Nicht sehr fern bedeutet: Grundfunktionalität sofort und alles Weitere mit eher hochfrequenten Updates der Software und nicht im Schnarchgang.

Allerdings mache ich auch keinen Hehl daraus, dass ich nach dieser Erfahrung und der doch sehr “hilfsbereiten” Community hier wohl künftig auf den Kauf von Produkten von Nitrokey verzichte und auch keine Empfehlungen mehr aussprechen kann. Ob sich diese latent abzeichnende Grundhaltung hält hängt nun maßgeblich davon ab, wie Nitrokey die Mängelbeseitigung angeht und ob es vielleicht eine (ohnehin wünschenswerte) belastbare Roadmap für die weitere Entwicklung gibt.

Wie auch “knrk” fallen mir durchaus deutlichere Worte und Formulierungen zu aktuellen Stand der Hard- und Software ein. Noch möchte ich diese aber zurückhalten - allerdings tickt auch bei mir die Uhr… Halte ich nicht vor Weihnachten einen zumindest technisch funktionsfähigen Nitrokey 3A NFC in der Hand, bleibt nur die Rückabwicklung wegen Nichterfüllung.

Allen, die mit dem aktuellen Zustand zufrieden sind oder genügend Zeit und Idealismus aufbringen, mit einem derzeit überteuerten und für Endkunden eigentlich ungeeigneten Produkt zu leben, gönne ich das - ich habe hier jedoch lediglich ein Produkt gekauft und würde es gerne nutzen.

Schönen Abend noch,

Jock

1 Like
9

Hey @JockJohnson

Das tut mir sehr leid, wenn das unverschämt ankommt, grundsätzlich war die Ausführung aber nicht dafür gedacht hier noch mehr anzusticheln, sondern eher zu beruhigen, na ja, das habe ich offensichtlich nicht geschafft, wollte das an dieser Stelle aber schon anmerken…

Da muss ich berichtigen, dass dies kein Geheimnis ist, dass es zur Auslieferung “nur” FIDO2 + U2F mit NFC funktioniert (siehe Nitrokey 3C NFC | shop.nitrokey.com), dies ist explizit als “Wichtiger Hinweis” markiert.

Dass darüber hinaus bei einem Produkt Kinderkrankheiten auftreten, kann ich an dieser Stelle natürlich erwähnen, aber grundsätzlich ist das keine Entschuldigung und wir arbeiten soweit es geht dran die Situation hier zu verbessern.

Das ist leider auch nicht ganz richtig, ich habe die Option dafür beschrieben und eher dazu aufgefordert konkret zu beschreiben was wir dokumentieren sollen, dann gehen wir das auch an.

Das ist leider grundsätzlich so mit Dokumentation, für den einen reicht es, für den anderen brauch es mehr Details, mehr Beispiele, etc…

Ganz offensichtlich erfüllt der Nitrokey 3 nicht die Anforderungen von allen, von anderen aber irgendwie schon. Ich kann an dieser Stelle nur sagen, dass wir versuchen was in unserer Macht steht um die Situation zu verbessern. Auch nach mehrmaligem lesen habe ich nicht den Eindruck, dass hier viel mehr als das zu sagen ist.

Ich hab jetzt mal folgende Themen mitgenommen:

  • bessere Dokumentation (Stichworte was denn fehlt wären natürlich super)
  • NFC Funktion (hier bitte beachten, dass es halt einige wenige gibt, die leider nicht gut funktionieren, diese tauschen wir gerne aus)
  • Allgemeine Haptik, gut da kann man wenig tun, insbesondere weil der NK3-A vom Gehäuse identisch ist mit dem NK Pro2, das wurde stets gut angenommen, sowas ändert man leider nicht mal eben

Grundsätzlich würde ich mich aber freuen, wenn die Community allgemein auf einem gewissen Niveau bleibt, was im Prinzip meinen vorigen Post nochmal unterstreichen soll. Das heißt nicht, dass etwas zu weit ging, dann würden wir den Post sperren, aber die Tendenz möchte ich gerne auch schon als “Verbesserungswürdig” adressiert haben.

Soweit…

1 Like
10

Hallo zusammen,

ich muss da @JockJohnson und @knrk in die Breche springen.

Die Lieferschwierigkeiten finde ich aufgrund der aktuellen Lage auf dem Chip-Markt noch vollkommen ok, allerdings musste man schon selbst aktiv werden und regelmäßig (teils in den Kommentaren) von News-Seiten nach Hinweisen suchen um von den Verzögerungen zu erfahren.
Ansonsten blieb man Ahnungslos.
Irgendwann hat sich dann Mal jemand erbarmt und eine Email an die Vorbesteller geschickt.
Da hätte man sich mehr aktive Transparenz gewünscht. Da wird dann irgendwie oft angeführt man wolle den Kunden ja nicht mit Emails zu bomben. Aber wenn ich freiwillig beim Kauf angebe über Neuigkeiten informiert werden zu wollen, wäre eine regelmäßige Aufklärung schon sinnvoll.
Das reicht ja auch das in den Intervallen zu machen, in denen eine Auslieferung vorausgesagt wurde.
Also wenn März geplant war, dann schickt man zwischen Ende Februar und Ende März eine Email raus, die die voraussichtliche Verzögerung (sagen wir Mal drei Monate) angibt. Läuft die Frist ab: Neue Email.
Eigentlich kein Hexenwerk für ein Technologieunternehmen.

Natürlich war zu Vorbesteller-Zeiten klar, dass nicht alle Funktionen gleich zum Start verfügbar sein würden. Das war ja zu dem Zeitpunkt auch in Ordnung.
Allerdings sieht es fast ein Jahr später immer noch nicht so gut um die Funktionalität aus.
Da wird dann auch gerne mit der Portierung auf den neuen Chip argumentiert.
Klar muss das Unternehmen in der Lage bleiben überhaupt Waren anzubieten,
allerdings bringt es auch recht wenig, wenn die Ware dafür nicht - oder nicht vollständig - funktioniert.
In einer kürzlich versendeten Email wurden auch die Erfolge von Nitrokey als Firma gefeiert und betont, dass man ja durch viele neue Produkte an Diversität zugenommen und damit auch Kunden gewonnen hat.
Damit reiht man sich dann erfolgreich in große Konzerne wie z.B. Samsung und Co ein, die jedes Jahr eine Revision ihres Vorjahresgeräts herausbringen und die alten Geräte (von einigen wenigen Geräten Mal abgesehen) danach vollständig vom Support (speziell Bugfixes) abtrennen und sich auf die neue Hardware konzentrieren. Das Geschäft muss ja weiter gehen.

Solche Behauptungen wie “für viele Leute funktioniert der Nitrokey 3 ja” immer äußerst lustig.
Nur weil nicht jeder laut schreit, ist nicht gleich die Mehrheit begeistert.
Lassen wir Mal alle Funktionen außer den offiziell funktionierenden außen vor,
dann muss man sagen, dass auch da im Auslieferungszustand fast nichts richtig funktioniert hat.
Der einzige Dienst mit dem ich FIDO2 nutzen konnte war Github. Microsoft, Google, hat alles nicht funktioniert. Da fragt man sich ja schon, mit welchen Diensten denn getestet wurde.
Soweit ich im Forum lesen kann, funktioniert wohl MS jetzt, Google aber nicht.
Ich habe das nicht mehr ausprobiert, weil ich natürlich auch nicht ständig alle Dienste neu registrieren will, weil ein Update ein kleines bisschen was verbessert, aber weiterhin noch nicht alles funktioniert.
Hier kann man zusammenfassen, dass - fast ein Jahr nach geplantem Release - die einzigen überhaupt existierenden Kernfunktionen noch nicht richtig funktionieren.

Auch die Antworten in dem Forum sind schon interessant. Da wird dann in einem Post zu dem Google/MS MFA versprochen auf den Post zu antworten sobald es Neuigkeiten gibt. Seit Monaten keine Antwort. Es kam ein Firmware-Update, welches ja angeblich zur Besserung für MS-Dienste führt und es wird nicht erwähnt. Man sucht sich Infos hier selbst zusammen.

Ich selbst kann von mir behaupten mich in IT-Dingen sehr gut auszukennen und wenn es für mich schwierig ist herauszufinden (ohne alles selbst zu probieren), was funktioniert und was nicht (obwohl es einen Standard wie FIDO 2 verwendet), dann will ich nicht wissen, wie es Endnutzern geht, die eigentlich ein einfach anzuwendendes Produkt erwarten.
Für diese Personengruppe endet das Experiment gleich nach dem ersten Versuch. Das verhindert aktiv die Verbreitung von solcher Hardware, da es weniger versierten Nutzern äußerst schwer gemacht wird.

Da hätte ich auch die Anmerkung, dass man durchaus eine Liste von getesteten Diensten mit einem Status (funktioniert ab Firmware xy, funktioniert nicht; in Arbeit, …) veröffentlichen könnte. Natürlich kann man nicht jeden Dienst berücksichtigen, aber wenn es bei den größten 5 Anbietern schon bei mindestens zweien nicht funktioniert, dann bezweifle ich, dass der Stick jemals außerhalb des Labors getestet wurde.

Ich bin Nitrokey eigentlich äußerst positiv gegenüber eingestellt gewesen und wollte das auch explizit unterstützen, aber so kann man aktuell nur zu einem Konkurrenzprodukt raten, was in Punkto Funktionsumfang ja leider - Stand aktuell - mindestens drei Jahre voraus ist.
Zudem sind die Geräte wasserfest usw.

Ich bleibe noch ein bisschen am Ball, da ich ja nun zwei Nitrokey 3A besitze, aber ob ich nochmal etwas bei Nitrokey kaufe, weiß ich nicht so richtig. Da müsste jetzt schon Mal etwas passieren und nicht über Monate hinweg Stille.

Das kann man natürlich versuchen schön zu reden, oder den Nutzern zu sagen, dass das Niveau in die falsche Richtung driftet, aber ändern wird das leider auch nichts.
Zumal ich da wirklich keine Niveau-Probleme erkennen kann.

Beste Grüße
Klumbe

2 Likes
11

Hey @Klumbe,

ich bin mal so frei nicht auf alles einzugehen, weil das ja hier auch bereits zu großen Teilen getan wurde. Aber einiges möchte ich dennoch klar stellen.

Das ist schon “ein wenig” überspitzt. Nitrokey & Samsung parallelen? Die aktuellen Nitrokeys sind rund 5 Jahre auf dem Markt, stehts mit Upgrades versorgt. Nachhaltigkeit ist uns sehr wichtig! Welches Nitrokey Produkt hat denn nach einem Jahr kein Support mehr bekommen?

Mal abgesehen von OpenSource Firmware/Hardware/Software, diversen anderen “Details” wie z.B. der Tatsache, dass wir hier diesen Austausch führen und nicht ein Community-Manager lediglich vorgefertigte Phrasen einfügt.

Grundsätzlich können wir und wollen wir auch nicht mit einem Unternehmen mit rund 350 Mitarbeitern, 55Mio Venture Funding auf dieser (“drei Jahre voraus”) Ebene konkurieren. Wir versuchen mit, aus unserer Sicht, Alleinstellungsmerkmalen wie z.B. OpenSource, nachhaltige Produktpalette, lokale Produktion usw. zu Punkten. Wenn einem ein wasserfestes Gerät wichtiger ist, dann ist das eine individuelle Entscheidung.

Ganz persönlich finde ich es nicht besonders schick hier zu einem “Konkurrenzprodukt (zu) raten”, aber na gut - ich lasse es mal stehen…

Fun fact: besagte Konkurrenz hat ihr Forum 2018 geschlossen - dazu sage ich mal nichts weiter…

Das ist ein Vorschlag der oft kommt (auch zu anderen Produkten), das läuft bei mir als Whitelisting. Auf den ersten Blick eine gute Option, im Detail aber sehr viel (wiederkehrende) Arbeit. Den Testaufwand den man betreiben muss ist enorm, weil immer wieder getestet werden muss. Insbesondere nicht nur bei eigenen Firmware Änderungen, da sich natürlich auch das “Testobjekt” ändert. Wehe einer der Einträge in der Liste ist dann nicht wirklich funktional, weil sich was auf der anderen Seite geändert hat, will gar nicht wissen was dann hier los ist^^ Wir haben uns generell dazu entschieden kein Whitelisting (bei allen Produkten) zu betreiben, weil das einfach ein hohes Potential für Fehlinformationen mit sich bringt. Dennoch ist natürlich sowas wie nicht-Kompatibilität mit M$ oder G. damit nicht erklärbar, da haben wir gepatzt - arbeiten dran das besser zu machen/zu fixen…

Das haben wir gehört, deshalb arbeiten wir auch an einer Übersichts-Seite, die aktuelle Releases und etwaige Informationen an einem Ort sammelt. Aber unsere Ressourcen sind endlich…

Grundsätzlich ist das schade, wenn das so wahrgenommen wird - sehe ich naturgemäß anders.

Keine Sorge, ich bereue schon längst, dass ich das geschrieben habe und das trotz emoji ein wiederkehrender Aufhänger ist. Die Tatsache, dass aber so etwas ein erwähnenswertes Problem darstellt ist irgendwie aber auch eine Bestätigung der selbigen Aussage. Dennoch: es soll sich bitte keiner damit angegriffen fühlen, so ist das sicher nicht gemeint…

cheers

12

Der Faktor “Open Source” und die Erwartung, dass man nicht ein “ganzes Rudel” NitroKeys für verschiedene Zwecke benötigt, waren für mich Anfang 2021 maßgebliche Gründe für die Vorbestellung - auch im Wissen, dass nicht der vollständige Funktionsumfang zum damals angekündigten Verfügbarkeitszeitpunkt implementiert sein würde…

Nun ist es leider so, dass die Auslieferung signifikant mehr Zeit in Anspruch genommen hat als ursprünglich angekündigt (das mag alles seine Gründe haben - es wurde jedoch suboptimal kommuniziert), in der Zwischenzeit durchaus zahlreiche neue Produkte erschienen sind und im Kontrast dazu der Auslieferungszustand des NitroKey 3A - wenn man nicht gerade Angestellter des Unternehmens oder euphorischer Idealist ist - nur enttäuschen kann. Da gibt es nicht viel Raum für andere Wahrnehmungen - schon deshalb, weil selbst das wenige, was angekündigt war und viel früher zur Verfügung stehen sollte, nicht richtig funktionierte (und dem Anschein nach ist das noch immer so).

Das Signal ist auch mit etwas Abstand verheerend… Auf der einen Seite werden Vorbesteller über Monate hinweg vertröstet und auf der anderen Seite wurden immer neue Produkte vorgestellt und unzureichende Ressourcen in die Fertigstellung des “Ur-Produktes” von NitroKey investiert.

Schaut man sich an, wie sich die Code-Repositories für die Nitrokey3-Firmware entwickelt haben, dann fällt auf, dass der scheinbare “Tot” des Solo2-Projektes, aus dem heraus die Firmware geforked wurde, voll durchgeschlagen haben.

Siehe:

Bildschirmfoto 2022-02-22 um 07.31.43
Bildschirmfoto 2022-02-22 um 07.31.431596×1332 235 KB

Bildschirmfoto 2022-02-22 um 07.31.24
Bildschirmfoto 2022-02-22 um 07.31.241592×928 104 KB

Auch anhand der Contributor-Übersicht kann abgelesen werden, dass die Aktivitäten erst deutlich nach der Vorbestellphase zugenommen haben - und das auch eher verhalten auf ganz wenige Schultern verteilt.

Bildschirmfoto 2022-02-22 um 07.34.41
Bildschirmfoto 2022-02-22 um 07.34.411856×1700 214 KB

Der oder die Wettbewerber haben alle Nachteile hinsichtlich der Vertrauenswürdigkeit ihrer Geräte und der darauf befindlichen Software - auf der anderen Seite hängt die Relevanz dieser “Vertrauenslücke” vom eigenen Threatmodel ab und letztlich funktionieren sie so, wie es ein Nutzer erwarten kann.

Nachdem mir ein Austauschgerät zugesendet wurde, welches keine Besserung brachte, habe ich die Rückabwicklung eingeleitet. Das war und ist zum jetzigen Zeitpunkt aus meiner Sicht der einzig richtige Schritt um sowohl meine Interessen als Kunde zu wahren als auch NitroKey zu “motivieren”, die - in Schulnoten - “ungenügende” Situation zu ändern. Ich schließe nicht aus, irgendwann in der Zukunft noch einmal einen NitroKey zu bestellen - nur wird das erst dann der Fall sein, wenn wenigstens die grundlegenden Funktionalität korrekt implementiert sind und beanstandungsfrei funktionieren.

Open Source als Alleinstellungsmerkmal genügt nicht, wenn die Gesamtqualität der enstprechenden Produkte nicht stimmt. Vielmehr wird so das weit verbreitete “Frickler- und Kraddlerimage” befördert - und das schadet mehr, als es nutzt. Zudem ist Open Source kein Selbstläufer - der Aufbau einer Community ist mühsam und dauert oft lange. Bedeutet: Wenn Produkte auf der Grundlage von Open Source entwickelt, dann sollten die wirklich gut sein - sonst kann dieses Alleinstellungsmerkmal ins Gegenteil umschlagen…

Ich habe das hier mit gewisser Bestürzung gelesen:

Das ist ein Vorschlag der oft kommt (auch zu anderen Produkten), das läuft bei mir als Whitelisting. Auf den ersten Blick eine gute Option, im Detail aber sehr viel (wiederkehrende) Arbeit. Den Testaufwand den man betreiben muss ist enorm, weil immer wieder getestet werden muss. Insbesondere nicht nur bei eigenen Firmware Änderungen, da sich natürlich auch das “Testobjekt” ändert.

Ja, so ist das nun einmal, wenn man kommerzielle Produkte anbietet. Diese sollten gewisse Eigenschaften aufweisen und als Hersteller und Anbieter sollte man diese auch garantieren können. Einfach davon Abstand zu nehmen, weil es Mühe macht und Verbindlichkeit schafft, ist für mich (im kommerziellen Umfeld) nicht tolerabel, sondern ein relevantes Risiko bei der Kaufentscheidung.

Kleine Anmerkung: Wenn ein solcher Vorschlag oft kommt, sollte das als Indiz dafür gelten, dass es den Kunden wichtig und daher eine Überlegung wert ist.

Auch wenn es arrogant klingen mag, finde ich, dass ihr bei Nitrokey euch die “Schelten” hier im Forum selbst eingebrockt habt.

Diversifikation ist grundsätzlich gut und (wie bei den Nitrokeys) die neuen Produkte sehen auf dem Papier wirklich interessant aus. Insbesondere das NitroPhone mit der Option, Mikrofone und Sensoren zu entfernen, finde ich großartig. Auf der anderen Seite fehlt mir auf der Grundlage meiner gemachten Erfahrung das nötige Vertrauen in die Qualität und den nachhaltigen Support. Stattdessen muss ich derzeit annehmen, dass ein kleines Unternehmen mit wenigen Mitarbeitern, welches auf umfangreiche Fremdmittel verzichtet, sich mit diesem umfangreichen Produktportfolio “verzettelt” und damit letztlich das Gegenteil von dem erreicht, was angestrebt wird…

Und noch eine kleine Anmerkung zum Abschluss…

Keine Sorge, ich bereue schon längst, dass ich das geschrieben habe und das trotz emoji ein wiederkehrender Aufhänger ist. Die Tatsache, dass aber so etwas ein erwähnenswertes Problem darstellt ist irgendwie aber auch eine Bestätigung der selbigen Aussage. Dennoch: es soll sich bitte keiner damit angegriffen fühlen, so ist das sicher nicht gemeint…

“Angegriffen” trifft es nicht richtig. Eher war ich “bestürzt” über die Ausführungen. Auf der anderen Seite sind immer drei Finger auf den Verwender entsprechender Phrasen selbst gerichtet… Ich nehme es nicht übel - lasse mir das aber auch nicht gefallen… Wenn ein Produkt, welches Monate zu spät ausgeliefert wird, dann nicht einmal bei den Basisfunktionen (die zugesichert waren) korrekt und erwartungsgemäß funktioniert, ist das aus meiner Sicht durchaus eine Erwähnung wert…

Emoji können übrigens je nach Gemütslage und Verstimmtheit des Gegenübers wie Zynismus, Verachtung, Respektlosigkeit gewertet werden - eine Erfahrung, die ich schon vor langer Zeit gemacht habe. Deshalb verzichte ich darauf.

Nun keine Sorge… Ich erwarte keine Rechtfertigung und auch keine Antwort und werde mich auch vorerst nicht weiter hier beteiligen, sondern wieder als “Beobachter” agieren.

Ciao!

1 Like
13

Hi @daringer,

Die Parallele ist auch eher, dass es einen Haufen neue Produkte gibt, die alten allerdings noch nicht fertig / voll funktionstüchtig sind.
Natürlich ist das ein wenig überspitzt, da es ja noch keinen Nitrokey 4 gibt, der in direkter Nachfolge steht. Allerdings wurde ja auch oft genug dargelegt, dass die Portierung auf die neuen Chips vorrang gegenüber der Implementation der Features haben muss. Ich denke hier müsste man versuchen einen Mittelweg zu gehen, da wie gesagt Kunden mit Ihren Sticks nun eben nicht unbedingt überhaupt irgendetwas machen können.

Da habe ich Mal eine Frage: Gibt es aktuell einen Nitrokey, mit dem man FIDO 2 bei allen Diensten die es anbieten nutzen kann und gleichzeitig noch PGP-Keys speichern kann? Wenn ja empfehle ich gerne den :wink:
Ich verstehe den Unmut darüber aber und ich wollte natürlich nicht direkt für die Konkurrenz werben - gegen die ich mich ja schließlich auch bewusst entschieden habe.

Das verstehe ich zwar, allerdings halte ich eine solche Liste zumindest intern für unabdingbar. Man sieht ja, dass es ohne eben nicht funktioniert. Da hilft dann meiner Meinung nach auch kein Argument gegen Whitelisting. Ich spreche hier ja auch nicht von den Top 100 Diensten (insofern wir überhaupt auf so viele kämen), sondern eher den Top 10. Das bedeutet im Endeffekt 10 Logins + Key Registrierungen. Dann fügt man der Tabelle noch eine Spalte mit “getestet am xx.xx.xxxx” hinzu und dann sieht man ja, dass es z.B. beim Release der Firmware funktioniert hat und dann jetzt vermutlich eher der Dienst schuld ist.
Ich weiß ja auch nicht, woran es gerade hapert, aber meines Verständnisses nach ist FIDO 2 ja ein fester Standard und da müsste die Gegenseite ändern können was sie will und es dürfte die Funktionalität nicht stören, solange beide Seiten den Standard richtig implementieren.
Ich vermute ja, dass es unterschiedliche Schlüssellängen oder andere Parameter gibt, wovon jeweils nur ein Subset unterstützt wird.

Ich will jetzt wirklich nicht alles schlecht machen, sondern eher Verbesserungspotential aufzeigen,
aber da kommt wieder der schon Erwähnte Release von einigen weiteren Produkten ins Spiel.
Wenn man die Kapazitäten nicht hat um sich darum zu kümmern finde ich es schade, dass wie am Fließband neue Produkte entstehen.
Ich persönlich bin auf Github usw. Zuhause und für mich ist das Beschaffen der Infos nicht direkt ein Problem, sondern eher Zeitaufwand. Aber für viele wird das sehr abschreckend sein.

Meiner Auffassung nach sorgt nur eine hohe Verbreitung von solchen Geräten überhaupt dafür, dass auch weitere Dienste auf den Zug aufspringen und der Service irgendwann zu einem Standard wird, der auch abseits der großen Technologie-Unternehmen genutzt wird. Wenn es dem Nutzer jedoch schwer gemacht wird, ist dieses Vorhaben von vorne herein zum Scheitern verurteilt.

Ich fand es halt interessant, dass es in Richtung @JochJohnson und Co ging, während folgender Beitrag unerwähnt blieb:

Das finde ich dann schon eher bedenklich, aber gut.
Meiner Auffassung nach muss ja nicht jeder jeden Eintrag lesen und kommentieren.

Ich bin gespannt was die Zukunft bringt und ich habe ja wie gesagt auch noch nicht aufgegeben,
aber ich denke auch, dass man sich die Probleme zu Herzen nehmen sollte um einen stabilen Absatz auch langfristig zu erhalten.
Hierbei möchte ich betonen, dass es mir keinesfalls darum geht alles schlecht zu machen, sondern eher auf verschenktes Potential hinzuweisen.

Beste Grüße
Klumbe

14

Wo stehen wir denn mittlerweile bei der Firmware? Gibt es irgendeine oeffentlich teilbare Roadmap, auf der man sehen kann, welche Features bis wann geplant sind?

15
1 Like
16

Nachdem ich meinen NK3A Mini vor einigen Wochen erhalten habe, war mir noch nicht bewusst, wie lange der aktuelle “Stand” bereits vorherrscht. Ich kann dem Themenersteller in jedem Satz nur absolut zu stimmen und bin etwas verwirrt wie es selbst bis zum heutigen Datum kein größeres Update gibt.
Auch ich habe, wie viele andere, mich hier bewusst für die Firma Nitrokey entschieden aus den vielen bereits genannten Gründen.

Ebenfalls hatte ich beabsichtigt aus meinem Arbeitsumfeld heraus, andere Produkte und Services von Nitrokey zu nutzen, da ich von einem professionellen deutschen Unternehmen ausgegangen bin, welches Wert auf Transparenz und Opensource legt.

Das nun gerade so etwas wie das Hauptbetätigungsfeld der Firma ein aktueller Nitrokey solch ein unfertiges Produkt über mehrere Monate hinweg ist, trübt den positiven Ersteindruck natürlich immens. Und aus unternehmerischer Sicht kann ich auch absolut nicht nachvollziehen, wie man hier nicht händeringend versucht Besserung zumindest aufzuzeigen. Der genannte Post über dem hier ist über zwei Monate alt, vom Inhalt ganz zu Schweigen.