Nejčastější dotazy k systému Nitrokey HSM¶
- Q: Which Operating Systems are supported?
Windows, Linux a macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What is the maximum length of the PIN?
Nitrokey používá místo hesel kódy PIN. Hlavní rozdíl spočívá v tom, že hardware omezuje počet pokusů na tři, zatímco u hesel tento limit neexistuje. Z tohoto důvodu je krátký kód PIN stále bezpečný a není nutné volit dlouhý a složitý kód PIN.
PINy úložiště Nitrokey mohou mít až 20 číslic a mohou se skládat z čísel, znaků a speciálních znaků. Poznámka: Při použití GnuPG nebo OpenSC lze použít 32 znaků dlouhé kódy PIN, které však aplikace Nitrokey nepodporuje.
- Q: What is the User PIN for?
PIN je nejméně šestimístný a slouží k přístupu ke kontaktu Nitrokey. Tento kód PIN budete často používat při každodenním používání.
PIN může obsahovat až 16 číslic a další znaky (např. abecední a speciální znaky). Protože je však kód PIN zablokován, jakmile dojde ke třem chybným pokusům o zadání kódu PIN, je dostatečně bezpečné mít pouze šestimístný kód PIN.
- Q: What is the SO PIN for?
The SO PIN is used in the Nitrokey HSM only and is something like a „master“ PIN with special properties. Please read these instructions carefully to understand the SO PIN of the Nitrokey HSM.
PIN SO musí mít přesně 16 číslic.
- Q: How many data objects (DF, EF) can be stored?
Celkem 76 KB EEPROM, které lze použít pro
max. 150 x klíče ECC-521 nebo
max. 300 x ECC/AES-256 klíčů nebo
max. 19 x RSA-4096 klíčů nebo
max. 38 x klíčů RSA-2048
- Q: How many keys can I store?
Nitrokey HSM může uložit 20 párů klíčů RSA-2048 a 31 párů klíčů ECC-256.
- Q: How fast is encryption and signing?
Generování klíčů na kartě: RSA 2048: 2 za minutu
Generování klíčů na kartě: ECC 256: 10 za minutu.
Vytvoření podpisu pomocí hash mimo kartu: RSA 2048; 100 za minutu
Vytvoření podpisu pomocí hash mimo kartu: ECDSA 256: 360 za minutu
Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: RSA 2048; 68 za minutu
Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: ECDSA 256: 125 za minutu
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Použijte
opensc-tool --list-algorithms
a porovnejte s následující tabulkou. Podívejte se také na toto vlákno, kde najdete informační tabulky a další podrobnosti.
- Q: Which algorithms and maximum key length are supported?
Viz následující tabulka:
HSM
HSM 2
RSA 1024
✓
✓
RSA 2048
✓
✓
RSA 3072
✓
RSA 4096
✓
Curve25519
NIST-P 192
✓
NIST-P 256
✓
NIST-P 384-521
✓
Brainpool 192
✓
✓
Brainpool 256-320
✓
✓
Brainpool 384-521
✓
secp192k1
✓
✓
secp256k1
✓
✓
secp521k1
✓
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM lze používat s Botan a TokenTools pomocí OpenSC jako ovladače PKCS#11.
OpenSSL nemůže použít RNG Nitrokey HSM přímo, protože engine-pkcs11 neobsahuje mapování pro OpenSSL na C_GenerateRandom.
- Q: How good is the Random Number Generator?
Nitrokey HSM používá generátor náhodných čísel JCOP 2.4.1r3, který má kvalitu DRNG.2 (podle AIS 31 Německého spolkového úřadu pro bezpečnost informací, BSI).
- Q: Which API can I use?
OpenSC: Pro rámec OpenSC existují komplexní pokyny. Jako pohodlnější frontend k OpenSC existuje nitrotool.
Vestavěné systémy: Pro systémy s minimální paměťovou náročností je v projektu sc-hsm-embedded k dispozici modul PKCS#11 pouze pro čtení. Tento modul PKCS#11 je užitečný pro nasazení, kde není vyžadováno generování klíčů na pracovišti uživatele. Modul PKCS#11 také podporuje hlavní karty elektronického podpisu dostupné na německém trhu.
OpenSCDP: SmartCard-HSM je plně integrován s OpenSCDP, otevřenou platformou pro vývoj čipových karet. Podrobnosti naleznete ve skriptech veřejné podpory. Pro import stávajících klíčů můžete použít jeho SCSH nebo NitroKeyWrapper.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
Řídicí jednotka zabezpečení (NXP JCOP 3 P60) je certifikována podle standardu Common Criteria EAL 5+ až do úrovně operačního systému.
- Q: How to import an existing key into the Nitrokey HSM?
Nejprve ` nastavte`_ svůj Nitrokey HSM tak, aby používal zálohování a obnovení klíčů. Poté použijte k importu program Smart Card Shell. Pokud je váš klíč uložen v úložišti klíčů Java, můžete místo toho použít NitroKeyWrapper.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
Přístup k zabezpečení klíčů pro Hashicorp Vault/Bank-Vault na Nitrokey HSM naleznete na banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch napsal jednoduchý, bezplatný python program pro zabezpečení soukromého klíče peněženky Bitcoin v HSM. Tezos byl reportován pro práci s Nitrokey HSM.