Nitrokey 3 wird nicht erkannt

Hallo zusammen,

ich habe vor zwei Tagen einen Nitrokey 3C NFC erhalten (Danke dafür! :slight_smile: ).
Wenn ich ihn einstecke, leuchtet er konstant grün (selbst bei ausgeschaltetem Rechner, wobei der USB-Port mit Strom versorgt wird). Sowohl Windows als auch Linux (getestet an zwei Laptops) erkennen ihn als “Nitrokey 3”, lsusb sieht nach meinem Verständnis okay aus.

Allerdings scheint der Stick sonst in keinster Weise zu funktionieren. Weder die nitrokey-app oder das update-tool, noch gnupg oder nitropy erkennen das Gerät. Firefox und Chrome warten ebenfalls vergebens darauf, dass ein FIDO2-fähiger Stick eingesteckt wird. Ich habe diverse udev-Regeln ausprobiert.

Windows hello bittet darum, dass ein Schlüssel eingesteckt wird. Wenn ich den Nitrokey 3 einstecke, ändert sich die Anzeige in “Sind Sie anwesend? Führen Sie eine aktion mit dem Sicherheitsschlüssel aus, um sich anzumelden”. Mehr passiert aber auch hier nicht.

Ist das Gerät möglicherweise nicht ganz in Ordnung? Gibt es die Möglichkeit, die Firmware zu aktualisieren oder das Gerät zu resetten, ohne dass die nitrokey-app den Stick erkennt?

Für Hinweise bin ich dankbar :slight_smile:

Viele Grüße
Jochen Wierum

Hallo Jochen,

Doofe Frage: Hast du mal auf das grüne LED, wo ja auch der Tast-Sensor ist, mit dem Finger getippt?

FIDO2 funktioniert bei mir mit dem Stick weitgehend (bis auf cryptsetup, siehe anderer Thread, und eine Website, das muss ich mir noch genauer ansehen). Aber auf den Taster muss man halt tippen.

Da bisher noch keine PGP-Funktionen implementiert sind, gnupg auch noch nichts mit dem Stick anfangen. Auch dass die Nitrokey-App den Stick noch nicht kennt, ist meines Wissens nach erst mal normal.

Viele Grüße
Martin

1 Like

Hallo Jochen,

Martin hat das schon richtig beschrieben: Da momentan nur die FIDO-Funktionalität auf dem Stick verfügbar ist, wird er noch nicht von den von dir gelisteten Anwendungen erkannt. FIDO2 im Browser sollte allerdings funktionieren. Zum Testen kannst du beispielsweise diese Seite verwenden. Klicke auf „Create Credential“ und berühre dann den Stick. Klicke danach auf „Get Assertion“ und berühre erneut den Stick. Beide Ausgabefelder sollten nach der Aktion jeweils grün eingefärbt werden. Dann hat alles funktioniert. Wenn sie stattdessen rot gefärbt werden, gibt es ein Problem und wir können auf Fehlersuche gehen.

Viele Grüße
Robin

Hallo Martin, hallo Robin,

danke für eure Nachrichten. Sorry für die Verwirrung um gnupg. Ich habe mich aufs Glatteis führen lassen, weil z.B. “opensc-tool” zumindest einen Reader fand. Mein Fehler…

Zurück zu FIDO2: ja, ich habe den Stick berührt. Der Browser reagiert aber trotzdem nicht. Ich sehe jetzt gerade allerdings, dass sich zumindest die Farbe der LED ändert: aus grün wird grün-gelb. Irgendwann gibt der Browser dann auf und wirft einen Timeout:

Contacting token... please perform your verification gesture (e.g., touch it, or plug it in)
Got error:
NotAllowedError: The request is not allowed by the user agent or the platform in the current context, possibly because the user denied permission.
Failures: 1 TODOs: 0

Mit einem Nitrokey FIDO U2F hingegen habe ich keine Probleme. Das gleiche gilt auch für Github und Nextcloud.

Ich habe webauthn.bin.coffee gerade noch einmal mit meinem Smartphone geöffnet und NFC ausprobiert. Hier vibriert das Handy kurz, wenn ich den Stick daran halte. Die Meldung von Android, dass ich das Token an das Gerät halten soll, verschwindet. Ich lande dann aber auch wieder bei der Nachricht “Contacting token... please perform your verification gesture (e.g., touch it, or plug it in)” auf der Webseite. Das letzte, was die Konsole auf dem Handy loggt, ist “navigator.credentials.create({ publicKey: createRequest })”.

Viele Grüße
Jochen

Das sieht tatsächlich nach einem Problem mit dem Stick aus. Kannst du bitte noch Folgendes testen:

  1. Berühre nach dem Einstecken den Stick (ohne vorher eine FIDO-Operation auszuführen). Die Farbe der LED sollte sich von grün zu blau ändern. (Korrektur: Das war eine Fehlinformation und stimmt nicht für die ausgelieferten Nitrokey-3-Geräte.)
  2. Halte den Stick an dein NFC-fähiges Handy (ebenfalls ohne FIDO-Operation). Jetzt sollte sich die Seite nitrokey.com im Browser öffnen.

Hallo Robin,

  1. hier kann ich keinen Erfolg vermelden. Der Stick leuchtet weiterhin grün, auch nach einer Berührung ändert sich nichts.
  2. das Funktioniert zuverlässig! Ich habe daraufhin noch einmal die von dir vorgeschlagene Webseite webauthn.bin.coffee noch wiederholte male mit FIDO über NFC durchlaufen. Tatsächlich gelang es mir, den Registrierungsprozess sogar zu durchlaufen, allerdings bei weitem nicht jedes Mal. Vielleicht ist der NFC-Reader meines Handys zu schwachbrüstig?

Das USB-Problem, welches mein Hauptproblem ist, besteht damit aber leider weiterhin :confused:

Viele Grüße
Jochen

Hallo Jochen,

danke dir für die Tests. Das sieht tatsächlich nach einem Hardwareproblem aus. Kannst du uns den Stick bitte zuschicken, damit wir den Fehler genauer untersuchen und das Gerät reparieren oder ersetzen können? Schreibe dazu eine E-Mail mit deiner Bestellnummer an shop@nitrokey.com, dann erhältst du alle weiteren Infos.

Kannst du uns bitte außerdem noch Modell und Betriebssystemversion von PC und Handy mitteilen, mit denen du die Tests durchgeführt hast, und wie du die USB-Verbindung hergestellt hast (also direkt in den PC oder mit Hub, Adapter, …)? Danke!

Viele Grüße
Robin

Hallo Robin,

Ich habe heute ein problemlos funktionierendes Exemplar erhalten! Vielen Dank für euren Support!

Viele Grüße
Jochen

Hallo,
ich habe heute meinen Nitrokey 3C NFC bekommen und habe ein sehr ähnliches Problem. Registrierung für 2FA bei Google und FIDO2 bei Microsoft schlagen fehl. Der Test auf https://webauthn.bin.coffee/ schlägt fehl (Der Sicherheitsschlüssel kann nicht gelesen werden). Das Firmware-Update auf der Support Seite “https://update.nitrokey.com/” schlägt fehl (Der Sicherheitsschlüssel kann nicht gelesen werden). Scheint meiner auch Defekt zu sein? Soll ich noch etwas anderes testen?
Vielen Dank im Voraus und viele Grüße
Kolja

Ach ja, was mir auch noch aufgefallen ist: NFC scheint auch nicht zu funktionieren. Mein Handy erkennt ihn jedenfalls nicht (Google Pixel 4a 5G, GrapheneOS Android 12, NFC aktiviert). Mein Yuikey wird erkannt, beim Nitrokey tut sich leider gar nichts.
Viele Grüße
Kolja

Guten Tag,
Ich habe ein ähnliches Problem.

Windows: ich kann nur den Pin in den Windows-Einstellungen ändern. Dafür muss ich etwa 5 mal “Are you there, interact with the device” durchmachen.
Allerdings gibt mir das Update der Webseite “This security key doesn’t look familiar, try another one” und nichts passiert.

Linux: gpg-card funktioniert nicht, aber ich denke, es ist sowieso noch nicht fertig.
Update-website fragt mehrmals nach meiner Eingabe (dies funktioniert) und hat am Ende Probleme bei der Kommunikation mit dem Gerät.

Auch mit Test Webpage:
2021-12-01-10:27:15-screenshot

Gerät ist Nitrokey 3C NFC

Jap, das habe ich auch so gehabt, insb. die Meldungen aus Curvells erstem Post oben.

Geht mir leider auch so :frowning:
Gleiches Problem wie Curvell
Gestern den Stick geliefert bekommen.

Bei mir leuchtet der Stick auch konstant Grün wie bei jochen_W sonst keine Reaktion. Pin ändern klappt einmal. Sonst wie bei ihm keine Seite erkennt den Stick. Für OpenKeychain ebenfalls nicht möglich zu lesen.

Hallo zusammen,

ich glaube, hier überlappen sich verschiedene Problem. Zunächst eine Korrektur von mir: Dass sich die LED-Farbe beim Berühren von grün zu blau ändert, wie ich oben behauptet habe, stimmt für die ausgelieferten Geräte nicht. Hier bleibt die LED-Farbe gleich. Entschuldigt bitte diesen Fehler.

update.nitrokey.com unterstützt den Nitrokey 3 noch nicht, und da die aktuelle Version des Nitrokey 3 OpenPGP noch nicht unterstützt, wird er auch in gpg-card und OpenKeychain nicht angezeigt.

FIDO2 sollte allerdings funktionieren, insbesondere die verlinkte Testseite. (Ausnahme: Es gibt ein bekanntes Problem mit FIDO2 bei Google, das wir gerade untersuchen.) Bitte testet hier auch verschiedene Browser, manchmal gibt es da Unterschiede. NFC sollte auch wie oben beschrieben funktionieren. Wenn das nicht der Fall ist, macht bitte einen separaten Thread im Forum auf oder schreibt eine E-Mail an support@nitrokey.com. Danke!

In den nächsten Tagen werde ich außerdem eine Checkliste vorbereiten und hier verlinken, die es einfacher macht, Probleme zu debuggen und herauszufinden, wo die Ursache liegt.

(post withdrawn by author, will be automatically deleted in 24 hours unless flagged)