Nejčastější dotazy k systému Nitrokey HSM¶
- Q: Which Operating Systems are supported?
Windows, Linux a macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What is the maximum length of the PIN?
Nitrokey používá místo hesel kódy PIN. Hlavní rozdíl spočívá v tom, že hardware omezuje počet pokusů na tři, zatímco u hesel tento limit neexistuje. Z tohoto důvodu je krátký kód PIN stále bezpečný a není nutné volit dlouhý a složitý kód PIN.
PINy úložiště Nitrokey mohou mít až 20 číslic a mohou se skládat z čísel, znaků a speciálních znaků. Poznámka: Při použití GnuPG nebo OpenSC lze použít 32 znaků dlouhé kódy PIN, které však aplikace Nitrokey nepodporuje.
- Q: What is the User PIN for?
PIN je nejméně šestimístný a slouží k přístupu ke kontaktu Nitrokey. Tento kód PIN budete často používat při každodenním používání.
PIN může obsahovat až 16 číslic a další znaky (např. abecední a speciální znaky). Protože je však kód PIN zablokován, jakmile dojde ke třem chybným pokusům o zadání kódu PIN, je dostatečně bezpečné mít pouze šestimístný kód PIN.
- Q: What is the SO PIN for?
SO PIN: SO PIN se používá pouze v Nitrokey HSM a je něco jako „master“ PIN se speciálními vlastnostmi. Přečtěte si prosím pozorně tento návod, abyste porozuměli kódu SO PIN zařízení Nitrokey HSM.
PIN SO musí mít přesně 16 číslic.
- Q: How many data objects (DF, EF) can be stored?
Celkem 76 KB EEPROM, které lze použít pro
max. 150 x klíče ECC-521 nebo
max. 300 x ECC/AES-256 klíčů nebo
max. 19 x RSA-4096 klíčů nebo
max. 38 x klíčů RSA-2048
- Q: How many keys can I store?
Nitrokey HSM může uložit 20 párů klíčů RSA-2048 a 31 párů klíčů ECC-256.
- Q: How fast is encryption and signing?
Generování klíčů na kartě: RSA 2048: 2 za minutu
Generování klíčů na kartě: ECC 256: 10 za minutu.
Vytvoření podpisu pomocí hash mimo kartu: RSA 2048; 100 za minutu
Vytvoření podpisu pomocí hash mimo kartu: ECDSA 256: 360 za minutu
Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: RSA 2048; 68 za minutu
Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: ECDSA 256: 125 za minutu
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Použijte
opensc-tool --list-algorithmsa porovnejte s následující tabulkou. Podívejte se také na toto vlákno, kde najdete informační tabulky a další podrobnosti.
- Q: Which algorithms and maximum key length are supported?
Viz následující tabulka:
Start |
Pro + úložiště |
Pro 2 + úložiště 2 |
HSM |
HSM 2 |
|
RSA 1024 |
✓ |
✓ |
✓ |
✓ |
|
RSA 2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
RSA 3072 |
✓ |
✓ |
✓ |
||
RSA 4096 |
✓ |
✓ |
✓ |
||
Curve25519 |
✓ |
||||
NIST-P 192 |
✓ |
||||
NIST-P 256 |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
|||
Brainpool 192 |
✓ |
✓ |
|||
Brainpool 256-320 |
✓ |
✓ |
✓ |
||
Brainpool 384-521 |
✓ |
✓ |
|||
secp192k1 |
✓ |
✓ |
|||
secp256k1 |
✓ |
✓ |
✓ |
||
secp521k1 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM lze používat s Botan a TokenTools pomocí OpenSC jako ovladače PKCS#11.
OpenSSL nemůže použít RNG Nitrokey HSM přímo, protože engine-pkcs11 neobsahuje mapování pro OpenSSL na C_GenerateRandom.
- Q: How good is the Random Number Generator?
Nitrokey HSM používá generátor náhodných čísel JCOP 2.4.1r3, který má kvalitu DRNG.2 (podle AIS 31 Německého spolkového úřadu pro bezpečnost informací, BSI).
- Q: Which API can I use?
OpenSC: Pro rámec OpenSC existují komplexní pokyny. Jako pohodlnější frontend k OpenSC existuje nitrotool.
Vestavěné systémy: Pro systémy s minimální paměťovou náročností je v projektu sc-hsm-embedded k dispozici modul PKCS#11 pouze pro čtení. Tento modul PKCS#11 je užitečný pro nasazení, kde není vyžadováno generování klíčů na pracovišti uživatele. Modul PKCS#11 také podporuje hlavní karty elektronického podpisu dostupné na německém trhu.
OpenSCDP: SmartCard-HSM je plně integrován s OpenSCDP, otevřenou platformou pro vývoj čipových karet. Podrobnosti naleznete ve skriptech veřejné podpory. Pro import stávajících klíčů můžete použít jeho SCSH nebo NitroKeyWrapper.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
Bezpečnostní řadič (NXP JCOP 3 P60) je certifikován podle standardu Common Criteria EAL 5+ až do úrovně operačního systému (Certifikát, `Certifikační zpráva <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
Nejprve ` nastavte`_ svůj Nitrokey HSM tak, aby používal zálohování a obnovení klíčů. Poté použijte k importu program Smart Card Shell. Pokud je váš klíč uložen v úložišti klíčů Java, můžete místo toho použít NitroKeyWrapper.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
Přístup k zabezpečení klíčů pro Hashicorp Vault/Bank-Vault na Nitrokey HSM naleznete na banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch napsal jednoduchý, bezplatný python program pro zabezpečení soukromého klíče peněženky Bitcoin v HSM. Tezos byl reportován pro práci s Nitrokey HSM.