Configurar Nitrokey 3 desde Nitrokey App 2 (GUI)
Nitrokey App 2
La Nitrokey App 2 es una aplicación gráfica (GUI) diseñada para gestionar los dispositivos Nitrokey 3A NFC, Nitrokey 3C NFC y Nitrokey 3 Mini.
Es una interfaz simple y es muy fácil de usar, para configurar y usar la Nitrokey 3:
- FIDO2 : Autenticación
- Passwords (TOTP/HOTP) : Códigos
- Firmware : Actualizaciones
En el momento de escribir este manual, los idiomas disponibles son: Inglés, alemán, francés, italiano, polaco y árabe (actualmente no se encuentra traducido a español). El cambio de idioma requiere reiniciar la aplicación.
1. Instalación de Nitrokey App 2 (GUI)
En este manual nos centraremos únicamente en el uso de la versión precompilada distribuida en formato binario, sin añadir repositorios, sin compilar código y sin instalar paquetes adicionales. Solo descargando el archivo de la aplicación Nitrokey App 2 desde el repositorio oficial de Nitrokey
Este método es el más sencillo, rápido y compatible con Debian 13 (Trixie) con escritorio KDE Plasma.
En Debian 13 (Trixie), no tienes que instalar ni configurar nada, para poder usarlo. Simplemente tenemos que descargar la aplicación desde el github oficial de nitrokey, darle permiso de ejecución y usar el programa.
1.1 Descargar Nitrokey App 2
La aplicación se descarga desde el repositorio oficial de Nitrokey en GitHub:
https://github.com/Nitrokey/nitrokey-app2/releases
En la sección Releases (versiones):
- Vamos a la última versión estable.
- Descargamos el archivo binario correspondiente a Linux, en este caso:
nitrokey-app-v2.6.0-x64-linux-binary
Guardamos el archivo en la carpeta descargas, en el escritorio o en nuestra carpeta personal
1.2 Dar permisos de ejecución
Como en este blog usamos kde plasma, desde Dolphin:
- Hacemos clic en el archivo descargado: nitrokey-app-v2.6.0-x64-linux-binary
- Nos aparecerá una ventana preguntándonos si confiamos en la aplicación. Pulsamos en: Aceptar
- Esperamos unos segundos y se abrirá el programa
O desde terminal:
chmod +x nitrokey-app-v2.6.0-x64-linux-binary
1.3 Crear un acceso directo (opcional) en el escritorio
- Clic derecho sobre un espacio vacío del escritorio, seleccionamos: Crear nuevo > Enlace a aplicación....
- En la ventana que nos aparece, hacemos clic en el icono del engranaje, para cambiarle el icono, y ponerle el logotipo de nitrokey.
Nota importante: El icono oficial de Nitrokey lo podemos descargar del mismo enlace de donde descargamos Nitrokey App 2 (https://github.com/Nitrokey/nitrokey-app2/releases) y ahora descargamos el archivo: código fuente en formato .zip o .tar.gz descomprimimos/desempaquetamos el archivo de código fuente en una carpeta, y en la siguiente ruta: nitrokey-app2-2.6.0/ci-scripts/linux/rpm/icons/hicolor/ se encuentran el logotipo oficial de nitrokey en formato .png o .svg, puedes elegir el que mas te interese.
2. Información de cuando tenemos que tocar la Nitrokey 3
Nitrokey 3 requiere interacción física (tocar el sensor táctil) en determinadas operaciones, como FIDO2, TOTP/HOTP.
Si el usuario no toca el sensor dentro del tiempo esperado, la operación se cancela automáticamente.
El tiempo exacto de espera no está documentado oficialmente, ya que depende del tipo de operación, del cliente utilizado (navegador, Nitrokey App 2, nitropy, etc.) y de la versión del firmware.
En la práctica, el tiempo de espera suele ser de unos 15 segundos antes de que se produzca un timeout (tiempo excedido).
Cuando se requiera interacción física (tocar el sensor táctil), Nitrokey App 2 nos lo indica en dos sitios:
- En la columna de la izquierda, el identificador comienza parpadea
- En la columna de la derecha en parte inferior nos informa: Press your Nitrokey to confirm...
Ahora debemos tocar la Nitrokey 3 para confirmar y autorizar la operación.
3. Ejecutar Nitrokey App 2 por primera vez
Nos aseguramos de no tener conectada la llave nitrokey. Para que observemos y veamos las opciones de la pantalla principal de Nitrokey App 2
Nitrokey App 2 funciona de forma nativa en Debian 13 con KDE Plasma sin necesidad de:
- reglas udev
- paquetes adicionales
- repositorios externos
- compilación
Nota: En el momento de redactar este manual, la versión de Nitrokey App 2 es 2.6.0.
La aplicación solo puede gestionar un dispositivo a la vez. Aunque mostrará todas las Nitrokey conectadas, únicamente es posible administrar una unidad por operación.
La pantalla principal esta dividida en dos columnas, que he marcado con número 1 de color rojo y número 2 de color verde
- En la columna 1, nos encontraremos todas las nitrokeys que tengamos conectadas, la icono de la casita (que es para volver a esta pantalla principal) y el signo de interrogación que nos lleva al manual oficial de nitrokey: https://docs.nitrokey.com/nitrokeys/nitrokey3/
- En la columna 2, podemos ver la versión del programa, en el momento de escribir este manual es: 2.6.0, si hacemos clic en: Check for App Update, va a buscar en el github oficial de nitrokey, si existe alguna actualización.
- Si aparece: App is up to date, El programa esta actualizada a la ultima versión
- Si aparece: Update available, Existe una actualización, hacemos clic en el y nos lleva al github de Nitrokey para descargar la ultima versión del programa
- Intructiones and help, Nos lleva al manual oficial y de ayuda de Nitrokey 3
- Save Log File, Nos muestra los ficheros log para que revisar que ha pasado y porque ha dado error.
4. Configurar una Nitrokey 3
En esta pantalla solo podemos configurar una nitrokey, aunque nos muestra todas las Nitrokey 3 conectadas.
En esta pantalla, en la columna de la izquierda, podemos observar todas las Nitrokey 3 que están conectadas, y la Nitrokey 3 que estamos configurando (la activa) tiene un recuadro negro con los primeros 5 caracteres del UUID, así sabemos en todo momento cual estamos configurando (lo indico con una flecha roja).
En la columna de la derecha, podemos ver información relativa a la nitrokey que estamos configurando. En la parte inferior derecha nos informa cual es la Nitrokey 3 que estamos configurando, (la he señalado con un flecha roja) con los primeros 5 caracteres del UUID
- UUID: corresponde al número de serie de la Nitrokey 3
- Path: /dev/hidrawX, donde X es un número que depende del orden en que el kernel detecta los dispositivos. En Linux, los dispositivos HID (Human Interface Device), como teclados, ratones, llaves de seguridad, tabletas gráficas, etc. Se exponen a través de la interfaz hidraw.
- Version: v1.8.3: Indica la versión del firmware instalada en la Nitrokey 3.
Es útil para comprobar compatibilidad, detectar actualizaciones disponibles y verificar que el dispositivo está actualizado.
- Variant: LPC55: Indica el microcontrolador principal utilizado por la Nitrokey 3
En este caso:
-- LPC55 corresponde a la familia NXP LPC55Sxx
-- es un microcontrolador ARM Cortex‑M33
-- incluye características de seguridad avanzadas
-- es el corazón del dispositivo: ejecuta el firmware y gestiona todos los módulos (FIDO2, PIV, OpenPGP, TOTP, etc.)
- Init status: ok : Indica si el sistema de archivos interno de la nitrokey está correctamente inicializado.
- Check for Update: Para ver si existe una actualización del firmware, si hacemos clic, nos va a buscar la ultima versión y el se encargará de todo.
En este caso a detectado que esta en la ultima versión, ya actualizada.
En ingles: The version of the firmware image is the same as on the device.Do you want to continue anyway?
En español: La versión de la imagen del firmware es la misma que la del dispositivo. ¿Desea continuar de todos modos? Cancelar
Si pulsamos en: More options (mas opciones), nos muestra la opción: Update with local Firmware (instalación de forma local, sin necesitar internet). Esta opción la usaremos en pc que no están conectados a internet. Es decir descargamos el nuevo firmware y lo usamos en el pc que no tiene internet
5. Pestaña Settings (Configuración)
En esta pestaña configuraremos las contraseñas (PIN) de:
- FIDO2
- Passwords (TOTP/HOTP/HMAC)
5.1. Configurar FIDO2
FIDO2 es un estándar de autenticación, que permite el acceso seguro y sin contraseña a los servicios en línea. Utiliza criptografía de clave pública para proporcionar una autenticación sólida y proteger contra el pishing y otras amenazas de seguridad.
Por defecto la Nitrokey 3 no tiene contraseña, observamos:
- las versiones de los protocolos que soporta: U2F_V2, FIDO_2_0, FIDO_2_1
- Extensiones: creProtect, hmac-secret, thirdPartyPayment
Hacemos clic en Pin Change (Cambiar PIN)
Como no tiene contraseña nos sale en Current PIN: vacío, para ponerle una contraseña escribimos en New PIN (nuevo PIN) y volvemos a escribir el mismo PIN en Confirm New PIN (Confirmar Nuevo PIN)
una vez introducido pulsamos en: Save (grabar)
Una vez puesto la contraseña, pulsamos en FIDO2, y vemos como nos indica que tiene contraseña (PIN Set), y que el número de intentos antes de bloquear la Nitrokey 3 es de 8 intentos (PIN retries).
NOTA MUY IMPORTANTE: En caso de errar mas de 8 veces, y bloquear la Nitrokey 3, solo se puede desbloquear, reseteando el módulo FIDO2, usando la opción Factory Reset, pero se borran todos los servicios en los que esté dado de alta. Por eso es muy importante usar 2 ó 3 Nitrokey 3 para tener copias de seguridad
5.2. Configurar Passwords (TOTP/HOTP/HMAC)
En contraseñas se pueden almacenar y administrar varias credenciales y 2FA como OTP. Se admiten: nombres de usuario simples con contraseñas, HOTP, TOTP, ReverseHOTP y HMAC.
Hacemos clic en Pin Change (Cambiar PIN)
Como no tiene contraseña nos sale en Current PIN: vacío, para ponerle una contraseña escribimos en New PIN (nuevo PIN) y volvemos a escribir el mismo PIN en Confirm New PIN (Confirmar Nuevo PIN)
una vez introducido pulsamos en: Save (grabar)
Una vez puesto la contraseña, pulsamos en Passwords, y vemos como nos indica que tiene contraseña (PIN Set), y que el número de intentos antes de bloquear la Nitrokey 3 es de 8 intentos (PIN retries).
NOTA MUY IMPORTANTE: En caso de errar mas de 8 veces, y bloquear la Nitrokey 3, solo se puede desbloquear, reseteando el módulo Passwords, usando la opción Factory Reset, pero se borran todos los servicios en los que esté dado de alta. Por eso es muy importante usar 2 ó 3 Nitrokey 3 para tener copias de seguridad
6. Opciones de seguridad Passwords (TOTP/HOTP)
Nitrokey App 2 permite añadir segundo factor de autenticación (2FA) como TOTP, HOTP, dentro de la Nitrokey 3.
Al pulsar en la pestaña: Passwords, vemos los servicios 2FA (TOTP/HOTP) configurados, pero solo nos parece los que NO tienen contraseña. Como podemos observar el candado aparece abierto, esto significa que no lo hemos protegido con contraseña.
Si hacemos clic en un servicio, observamos como no pide contraseña, y podemos pulsar en OTP, se generará el código de acceso. Podemos Editar (Edit) la cuenta y guardar los cambios, si nos hiciera falta.
Si pulsamos en: ⊕Add podemos añadir mas servicios
6.1. Show Protected Passwords
🗹 Show Protected Passwords, controla si los servicios protegidos aparecen en la lista.
- Desactivado 🔓︎ (por defecto): Los servicios protegidos no se muestran hasta introducir la contraseña de Secrets.
- Activado 🔒︎: Todos los servicios se muestran, pero los protegidos siguen requiriendo autenticación para ver el código.
6.2. Require PIN
Si está activado, la aplicación solicitará el PIN de Secrets antes de generar el código TOTP/HOTP del servicio.
Es
útil para proteger servicios sensibles, ya que evita que alguien con
acceso al ordenador pueda generar códigos sin autorización.
6.3. Require Touch
Si está activado, será necesario tocar el sensor táctil de la Nitrokey 3 para generar el código.
Esto añade protección física contra automatización o accesos remotos.
6.4. Uso combinado
Activar Require PIN y Require Touch proporciona el nivel de seguridad más alto:
- Autenticación del usuario (PIN)
- Confirmación física (Touch)
Si ninguna opción está activada, el servicio funciona como un TOTP estándar sin protección adicional.
Manuales publicados en este blog sobre Nitrokey 3, hasta ahora son:
1- Configurar Nitrokey 3 desde consola (nitropy)
2- Configurar Nitrokey 3 desde Nitrokey App 2 (GUI)
3- Joomla: Autenticación FIDO2 / WebAuthn con Nitrokey 3
No hay comentarios:
Publicar un comentario