Nejčastější dotazy k systému Nitrokey HSM¶
- Q: Které operační systémy jsou podporovány?
Windows, Linux a macOS.
- Q: K čemu mohu Nitrokey použít?
See the overview of supported use cases.
- Q: Jaká je maximální délka kódu PIN?
Nitrokey používá místo hesel kódy PIN. Hlavní rozdíl spočívá v tom, že hardware omezuje počet pokusů na tři, zatímco u hesel tento limit neexistuje. Z tohoto důvodu je krátký kód PIN stále bezpečný a není nutné volit dlouhý a složitý kód PIN.
PINy úložiště Nitrokey mohou mít až 20 číslic a mohou se skládat z čísel, znaků a speciálních znaků. Poznámka: Při použití GnuPG nebo OpenSC lze použít 32 znaků dlouhé kódy PIN, které však aplikace Nitrokey nepodporuje.
- Q: K čemu slouží uživatelský kód PIN?
PIN je nejméně šestimístný a slouží k přístupu ke kontaktu Nitrokey. Tento kód PIN budete často používat při každodenním používání.
PIN může obsahovat až 16 číslic a další znaky (např. abecední a speciální znaky). Protože je však kód PIN zablokován, jakmile dojde ke třem chybným pokusům o zadání kódu PIN, je dostatečně bezpečné mít pouze šestimístný kód PIN.
- Q: K čemu slouží kód SO PIN?
SO PIN: SO PIN se používá pouze v Nitrokey HSM a je něco jako „master“ PIN se speciálními vlastnostmi. Přečtěte si prosím pozorně tento návod, abyste porozuměli kódu SO PIN zařízení Nitrokey HSM.
PIN SO musí mít přesně 16 číslic.
- Q: Kolik datových objektů (DF, EF) lze uložit?
Celkem 76 KB EEPROM, které lze použít pro
max. 150 x klíče ECC-521 nebo
max. 300 x ECC/AES-256 klíčů nebo
max. 19 x RSA-4096 klíčů nebo
max. 38 x klíčů RSA-2048
- Q: Kolik klíčů mohu uložit?
Nitrokey HSM může uložit 20 párů klíčů RSA-2048 a 31 párů klíčů ECC-256.
- Q: Jak rychlé je šifrování a podepisování?
Generování klíčů na kartě: RSA 2048: 2 za minutu
Generování klíčů na kartě: ECC 256: 10 za minutu.
Vytvoření podpisu pomocí hash mimo kartu: RSA 2048; 100 za minutu
Vytvoření podpisu pomocí hash mimo kartu: ECDSA 256: 360 za minutu
Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: RSA 2048; 68 za minutu
Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: ECDSA 256: 125 za minutu
- Q: Jak rozeznám Nitrokey HSM1 od Nitrokey HSM2?
Použijte
opensc-tool --list-algorithmsa porovnejte s následující tabulkou. Podívejte se také na toto vlákno, kde najdete informační tabulky a další podrobnosti.
- Q: Jaké algoritmy a maximální délka klíče jsou podporovány?
Viz následující tabulka:
Start |
Pro + úložiště |
Pro 2 + úložiště 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
křivka25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Jak mohu použít generátor náhodných čísel (TRNG) v HSM Nitrokey pro své aplikace?
Nitrokey HSM lze používat s Botan a TokenTools pomocí OpenSC jako ovladače PKCS#11.
OpenSSL nemůže použít RNG Nitrokey HSM přímo, protože engine-pkcs11 neobsahuje mapování pro OpenSSL na C_GenerateRandom.
- Q: Jak dobrý je generátor náhodných čísel?
Nitrokey HSM používá generátor náhodných čísel JCOP 2.4.1r3, který má kvalitu DRNG.2 (podle AIS 31 Německého spolkového úřadu pro bezpečnost informací, BSI).
- Q: Jaké rozhraní API mohu použít?
OpenSC: Pro rámec OpenSC existují komplexní pokyny. Jako pohodlnější frontend k OpenSC existuje nitrotool.
Vestavěné systémy: Pro systémy s minimální paměťovou náročností je v projektu sc-hsm-embedded k dispozici modul PKCS#11 pouze pro čtení. Tento modul PKCS#11 je užitečný pro nasazení, kde není vyžadováno generování klíčů na pracovišti uživatele. Modul PKCS#11 také podporuje hlavní karty elektronického podpisu dostupné na německém trhu.
OpenSCDP: SmartCard-HSM je plně integrován s OpenSCDP, otevřenou platformou pro vývoj čipových karet. Podrobnosti naleznete ve skriptech veřejné podpory. Pro import stávajících klíčů můžete použít jeho SCSH nebo NitroKeyWrapper.
- Q: Má Nitrokey 3 certifikaci Common Criteria nebo FIPS?
Bezpečnostní řadič (NXP JCOP 3 P60) je certifikován podle standardu Common Criteria EAL 5+ až do úrovně operačního systému (Certifikát, `Certifikační zpráva <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: Jak importovat existující klíč do Nitrokey HSM?
Nejprve ` nastavte`_ svůj Nitrokey HSM tak, aby používal zálohování a obnovení klíčů. Poté použijte k importu program Smart Card Shell. Pokud je váš klíč uložen v úložišti klíčů Java, můžete místo toho použít NitroKeyWrapper.
- Q: Jak zabezpečím svou cloudovou infrastrukturu/Kubernetes pomocí Nitrokey HSM?
Přístup k zabezpečení klíčů pro Hashicorp Vault/Bank-Vault na Nitrokey HSM naleznete na banzaicloud.com.
- Q: Mohu používat Nitrokey HSM s kryptoměnami?
J.v.d.Bosch napsal jednoduchý, bezplatný python program pro zabezpečení soukromého klíče peněženky Bitcoin v HSM. Tezos byl reportován pro práci s Nitrokey HSM.