Често задавани въпроси за Nitrokey HSM

В: Кои операционни системи се поддържат?

Windows, Linux и macOS.

В: За какво мога да използвам Nitrokey?

See the overview of supported use cases.

В: Каква е максималната дължина на ПИН кода?

Nitrokey използва ПИН кодове вместо пароли. Основната разлика е, че хардуерът ограничава броя на опитите до три, докато при паролите такова ограничение не съществува. Поради тази причина краткият ПИН все още е сигурен и не е необходимо да избирате дълъг и сложен ПИН.

ПИН кодовете на Nitrokey Storage‘ могат да бъдат с дължина до 20 цифри и да се състоят от цифри, знаци и специални символи. Забележка: Когато използвате GnuPG или OpenSC, могат да се използват ПИН кодове с дължина 32 символа, но те не се поддържат от приложението Nitrokey.

В: За какво се използва ПИН кодът на потребителя?

ПИН кодът е дълъг поне 6 цифри и се използва за достъп до съдържанието на Nitrokey. Това е ПИН кодът, който ще използвате често в ежедневието си.

ПИН кодът може да съдържа до 16 цифри и други знаци (напр. буквени и специални знаци). Но тъй като ПИН кодът се блокира при три грешни опита за въвеждане на ПИН код, достатъчно сигурно е да имате само 6-цифрен ПИН код.

В: За какво се използва ПИН кодът SO?

SO PIN се използва само в Nitrokey HSM и е нещо като „главен“ PIN със специални свойства. Моля, прочетете внимателно тези инструкции, за да разберете SO PIN на Nitrokey HSM.

ПИН кодът на SO трябва да е дълъг точно 16 цифри.

В: Колко обекта за данни (DF, EF) могат да се съхраняват?

Общо 76 KB EEPROM, които могат да се използват за

  • макс. 150 x ключове ECC-521 или

  • макс. 300 x ECC/AES-256 ключове или

  • макс. 19 x RSA-4096 ключа или

  • макс. 38 x RSA-2048 ключове

В: Колко ключа мога да съхранявам?

Nitrokey HSM може да съхранява 20 двойки ключове RSA-2048 и 31 двойки ключове ECC-256.

В: Колко бързо се извършва криптирането и подписването?
  • Генериране на ключове в картата: RSA 2048: 2 на минута

  • Генериране на ключове в картата: ECC 256: 10 в минута.

  • Създаване на подпис с хеш извън картата: RSA 2048; 100 в минута

  • Създаване на подпис с хеш извън картата: ECDSA 256: 360 на минута

  • Създаване на подпис с вграден в картата SHA-256 и 1 kb данни: RSA 2048; 68 на минута

  • Създаване на подпис с вграден в картата SHA-256 и 1 kb данни: ECDSA 256: 125 на минута

В: Как мога да различа Nitrokey HSM 1 от Nitrokey HSM 2?

Използвайте opensc-tool --list-algorithms и сравнете с таблицата по-долу. Моля, вижте също тази тема за информационните таблици и повече подробности.

В: Кои алгоритми и максимална дължина на ключа се поддържат?

Вижте следната таблица:

Начало

Pro + съхранение

Pro 2 + съхранение 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

крива25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

В: Как мога да използвам генератора на истински случайни числа (TRNG) на Nitrokey HSM за моите приложения?

Nitrokey HSM може да се използва с Botan и TokenTools, като се използва OpenSC като PKCS#11 драйвер.

OpenSSL не може’да използва Nitrokey HSM’s RNG директно, защото engine-pkcs11 не’съдържа мапинг за OpenSSL към C_GenerateRandom.

В: Колко добър е генераторът на случайни числа?

Nitrokey HSM използва генератора на случайни числа True Random Number Generator на JCOP 2.4.1r3, който има качество DRNG.2 (според AIS 31 на Германската федерална служба за информационна сигурност, BSI).

В: Кой API мога да използвам?

OpenSC: Съществуват изчерпателни инструкции за рамката OpenSC. Съществува nitrotool като по-удобен фронтенд за OpenSC.

Вградени системи: За системи с минимално количество памет се предоставя модул PKCS#11 само за четене от проекта sc-hsm-embedded. Този модул PKCS#11 е полезен за внедрявания, при които не се изисква генериране на ключове на работното място на потребителя. Модулът PKCS#11 също така поддържа основните карти за електронен подпис, налични на германския пазар.

OpenSCDP: SmartCard-HSM е напълно интегрирана с OpenSCDP, отворената платформа за разработка на смарт карти. За подробности вижте публичните скриптове за поддръжка. За да импортирате съществуващи ключове, можете да използвате нейния SCSH или NitroKeyWrapper.

В: Сертифициран ли е Nitrokey 3 по Common Criteria или FIPS?

Контролерът за сигурност (NXP JCOP 3 P60) е сертифициран по Common Criteria EAL 5+ до ниво операционна система (Сертификат, `Доклад за сертифициране <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Как да импортирам съществуващ ключ в Nitrokey HSM?

Първо, настройте своя Nitrokey HSM да използва архивиране и възстановяване на ключове. След това използвайте Smart Card Shell за импортиране. Ако вашият ключ се съхранява в хранилище за ключове на Java, можете да използвате NitroKeyWrapper вместо това.

В: Как да защитя моята облачна инфраструктура/Kubernetes с Nitrokey HSM?

Подход за осигуряване на ключове за Hashicorp Vault/Bank-Vault на Nitrokey HSM може да бъде намерен на адрес banzaicloud.com.

Q: Мога ли да използвам Nitrokey HSM с криптовалути?

J.v.d.Bosch написа проста, безплатна програма на Python Program за защита на частния ключ на портфейл с биткойн в HSM. Тезос е докладвано, че работи с Nitrokey HSM.