Nejčastější dotazy k systému Nitrokey HSM

Q: Which Operating Systems are supported?

Windows, Linux a macOS.

Q: What can I use the Nitrokey for?

See the overview of supported use cases.

Q: What is the maximum length of the PIN?

Nitrokey používá místo hesel kódy PIN. Hlavní rozdíl spočívá v tom, že hardware omezuje počet pokusů na tři, zatímco u hesel tento limit neexistuje. Z tohoto důvodu je krátký kód PIN stále bezpečný a není nutné volit dlouhý a složitý kód PIN.

PINy úložiště Nitrokey mohou mít až 20 číslic a mohou se skládat z čísel, znaků a speciálních znaků. Poznámka: Při použití GnuPG nebo OpenSC lze použít 32 znaků dlouhé kódy PIN, které však aplikace Nitrokey nepodporuje.

Q: What is the User PIN for?

PIN je nejméně šestimístný a slouží k přístupu ke kontaktu Nitrokey. Tento kód PIN budete často používat při každodenním používání.

PIN může obsahovat až 16 číslic a další znaky (např. abecední a speciální znaky). Protože je však kód PIN zablokován, jakmile dojde ke třem chybným pokusům o zadání kódu PIN, je dostatečně bezpečné mít pouze šestimístný kód PIN.

Q: What is the SO PIN for?

The SO PIN is used in the Nitrokey HSM only and is something like a „master“ PIN with special properties. Please read these instructions carefully to understand the SO PIN of the Nitrokey HSM.

PIN SO musí mít přesně 16 číslic.

Q: How many data objects (DF, EF) can be stored?

Celkem 76 KB EEPROM, které lze použít pro

  • max. 150 x klíče ECC-521 nebo

  • max. 300 x ECC/AES-256 klíčů nebo

  • max. 19 x RSA-4096 klíčů nebo

  • max. 38 x klíčů RSA-2048

Q: How many keys can I store?

Nitrokey HSM může uložit 20 párů klíčů RSA-2048 a 31 párů klíčů ECC-256.

Q: How fast is encryption and signing?

  • Generování klíčů na kartě: RSA 2048: 2 za minutu

  • Generování klíčů na kartě: ECC 256: 10 za minutu.

  • Vytvoření podpisu pomocí hash mimo kartu: RSA 2048; 100 za minutu

  • Vytvoření podpisu pomocí hash mimo kartu: ECDSA 256: 360 za minutu

  • Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: RSA 2048; 68 za minutu

  • Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: ECDSA 256: 125 za minutu

Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?

Použijte opensc-tool --list-algorithms a porovnejte s následující tabulkou. Podívejte se také na toto vlákno, kde najdete informační tabulky a další podrobnosti.

Q: Which algorithms and maximum key length are supported?

Viz následující tabulka:

HSM

HSM 2

RSA 1024

RSA 2048

RSA 3072

RSA 4096

Curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192k1

secp256k1

secp521k1

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?

Nitrokey HSM lze používat s Botan a TokenTools pomocí OpenSC jako ovladače PKCS#11.

OpenSSL nemůže použít RNG Nitrokey HSM přímo, protože engine-pkcs11 neobsahuje mapování pro OpenSSL na C_GenerateRandom.

Q: How good is the Random Number Generator?

Nitrokey HSM používá generátor náhodných čísel JCOP 2.4.1r3, který má kvalitu DRNG.2 (podle AIS 31 Německého spolkového úřadu pro bezpečnost informací, BSI).

Q: Which API can I use?

OpenSC: Pro rámec OpenSC existují komplexní pokyny. Jako pohodlnější frontend k OpenSC existuje nitrotool.

Vestavěné systémy: Pro systémy s minimální paměťovou náročností je v projektu sc-hsm-embedded k dispozici modul PKCS#11 pouze pro čtení. Tento modul PKCS#11 je užitečný pro nasazení, kde není vyžadováno generování klíčů na pracovišti uživatele. Modul PKCS#11 také podporuje hlavní karty elektronického podpisu dostupné na německém trhu.

OpenSCDP: SmartCard-HSM je plně integrován s OpenSCDP, otevřenou platformou pro vývoj čipových karet. Podrobnosti naleznete ve skriptech veřejné podpory. Pro import stávajících klíčů můžete použít jeho SCSH nebo NitroKeyWrapper.

Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?

Řídicí jednotka zabezpečení (NXP JCOP 3 P60) je certifikována podle standardu Common Criteria EAL 5+ až do úrovně operačního systému.

Q: How to import an existing key into the Nitrokey HSM?

Nejprve ` nastavte`_ svůj Nitrokey HSM tak, aby používal zálohování a obnovení klíčů. Poté použijte k importu program Smart Card Shell. Pokud je váš klíč uložen v úložišti klíčů Java, můžete místo toho použít NitroKeyWrapper.

Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?

Přístup k zabezpečení klíčů pro Hashicorp Vault/Bank-Vault na Nitrokey HSM naleznete na banzaicloud.com.

Q: Can I use Nitrokey HSM with cryptocurrencies?

J.v.d.Bosch napsal jednoduchý, bezplatný python program pro zabezpečení soukromého klíče peněženky Bitcoin v HSM. Tezos byl reportován pro práci s Nitrokey HSM.