Често задавани въпроси за Nitrokey HSM¶
- Q: Which Operating Systems are supported?
Windows, Linux и macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What is the maximum length of the PIN?
Nitrokey използва ПИН кодове вместо пароли. Основната разлика е, че хардуерът ограничава броя на опитите до три, докато при паролите такова ограничение не съществува. Поради тази причина краткият ПИН все още е сигурен и не е необходимо да избирате дълъг и сложен ПИН.
ПИН кодовете на Nitrokey Storage‘ могат да бъдат с дължина до 20 цифри и да се състоят от цифри, знаци и специални символи. Забележка: Когато използвате GnuPG или OpenSC, могат да се използват ПИН кодове с дължина 32 символа, но те не се поддържат от приложението Nitrokey.
- Q: What is the User PIN for?
ПИН кодът е дълъг поне 6 цифри и се използва за достъп до съдържанието на Nitrokey. Това е ПИН кодът, който ще използвате често в ежедневието си.
ПИН кодът може да съдържа до 16 цифри и други знаци (напр. буквени и специални знаци). Но тъй като ПИН кодът се блокира при три грешни опита за въвеждане на ПИН код, достатъчно сигурно е да имате само 6-цифрен ПИН код.
- Q: What is the SO PIN for?
SO PIN се използва само в Nitrokey HSM и е нещо като „главен“ PIN със специални свойства. Моля, прочетете внимателно тези инструкции, за да разберете SO PIN на Nitrokey HSM.
ПИН кодът на SO трябва да е дълъг точно 16 цифри.
- Q: How many data objects (DF, EF) can be stored?
Общо 76 KB EEPROM, които могат да се използват за
макс. 150 x ключове ECC-521 или
макс. 300 x ECC/AES-256 ключове или
макс. 19 x RSA-4096 ключа или
макс. 38 x RSA-2048 ключове
- Q: How many keys can I store?
Nitrokey HSM може да съхранява 20 двойки ключове RSA-2048 и 31 двойки ключове ECC-256.
- Q: How fast is encryption and signing?
Генериране на ключове в картата: RSA 2048: 2 на минута
Генериране на ключове в картата: ECC 256: 10 в минута.
Създаване на подпис с хеш извън картата: RSA 2048; 100 в минута
Създаване на подпис с хеш извън картата: ECDSA 256: 360 на минута
Създаване на подпис с вграден в картата SHA-256 и 1 kb данни: RSA 2048; 68 на минута
Създаване на подпис с вграден в картата SHA-256 и 1 kb данни: ECDSA 256: 125 на минута
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Използвайте
opensc-tool --list-algorithmsи сравнете с таблицата по-долу. Моля, вижте също тази тема за информационните таблици и повече подробности.
- Q: Which algorithms and maximum key length are supported?
Вижте следната таблица:
Начало |
Pro + съхранение |
Pro 2 + съхранение 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
крива25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM може да се използва с Botan и TokenTools, като се използва OpenSC като PKCS#11 драйвер.
OpenSSL не може’да използва Nitrokey HSM’s RNG директно, защото engine-pkcs11 не’съдържа мапинг за OpenSSL към C_GenerateRandom.
- Q: How good is the Random Number Generator?
Nitrokey HSM използва генератора на случайни числа True Random Number Generator на JCOP 2.4.1r3, който има качество DRNG.2 (според AIS 31 на Германската федерална служба за информационна сигурност, BSI).
- Q: Which API can I use?
OpenSC: Съществуват изчерпателни инструкции за рамката OpenSC. Съществува nitrotool като по-удобен фронтенд за OpenSC.
Вградени системи: За системи с минимално количество памет се предоставя модул PKCS#11 само за четене от проекта sc-hsm-embedded. Този модул PKCS#11 е полезен за внедрявания, при които не се изисква генериране на ключове на работното място на потребителя. Модулът PKCS#11 също така поддържа основните карти за електронен подпис, налични на германския пазар.
OpenSCDP: SmartCard-HSM е напълно интегрирана с OpenSCDP, отворената платформа за разработка на смарт карти. За подробности вижте публичните скриптове за поддръжка. За да импортирате съществуващи ключове, можете да използвате нейния SCSH или NitroKeyWrapper.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
Контролерът за сигурност (NXP JCOP 3 P60) е сертифициран по Common Criteria EAL 5+ до ниво операционна система (Сертификат, `Доклад за сертифициране <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
Първо, настройте своя Nitrokey HSM да използва архивиране и възстановяване на ключове. След това използвайте Smart Card Shell за импортиране. Ако вашият ключ се съхранява в хранилище за ключове на Java, можете да използвате NitroKeyWrapper вместо това.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
Подход за осигуряване на ключове за Hashicorp Vault/Bank-Vault на Nitrokey HSM може да бъде намерен на адрес banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch написа проста, безплатна програма на Python Program за защита на частния ключ на портфейл с биткойн в HSM. Тезос е докладвано, че работи с Nitrokey HSM.