Nejčastější dotazy k systému Nitrokey HSM#

Q: Které operační systémy jsou podporovány?

Windows, Linux a macOS.

Q: K čemu mohu Nitrokey použít?

See the overview of supported use cases.

Q: Jaká je maximální délka kódu PIN?

Nitrokey používá místo hesel kódy PIN. Hlavní rozdíl spočívá v tom, že hardware omezuje počet pokusů na tři, zatímco u hesel tento limit neexistuje. Z tohoto důvodu je krátký kód PIN stále bezpečný a není nutné volit dlouhý a složitý kód PIN.

PINy úložiště Nitrokey mohou mít až 20 číslic a mohou se skládat z čísel, znaků a speciálních znaků. Poznámka: Při použití GnuPG nebo OpenSC lze použít 32 znaků dlouhé kódy PIN, které však aplikace Nitrokey nepodporuje.

Q: K čemu slouží uživatelský kód PIN?

PIN je nejméně šestimístný a slouží k přístupu ke kontaktu Nitrokey. Tento kód PIN budete často používat při každodenním používání.

PIN může obsahovat až 16 číslic a další znaky (např. abecední a speciální znaky). Protože je však kód PIN zablokován, jakmile dojde ke třem chybným pokusům o zadání kódu PIN, je dostatečně bezpečné mít pouze šestimístný kód PIN.

Q: K čemu slouží kód SO PIN?

SO PIN: SO PIN se používá pouze v Nitrokey HSM a je něco jako „master“ PIN se speciálními vlastnostmi. Přečtěte si prosím pozorně tento návod, abyste porozuměli kódu SO PIN zařízení Nitrokey HSM.

PIN SO musí mít přesně 16 číslic.

Q: Kolik datových objektů (DF, EF) lze uložit?

Celkem 76 KB EEPROM, které lze použít pro

  • max. 150 x klíče ECC-521 nebo

  • max. 300 x ECC/AES-256 klíčů nebo

  • max. 19 x RSA-4096 klíčů nebo

  • max. 38 x klíčů RSA-2048

Q: Kolik klíčů mohu uložit?

Nitrokey HSM může uložit 20 párů klíčů RSA-2048 a 31 párů klíčů ECC-256.

Q: Jak rychlé je šifrování a podepisování?
  • Generování klíčů na kartě: RSA 2048: 2 za minutu

  • Generování klíčů na kartě: ECC 256: 10 za minutu.

  • Vytvoření podpisu pomocí hash mimo kartu: RSA 2048; 100 za minutu

  • Vytvoření podpisu pomocí hash mimo kartu: ECDSA 256: 360 za minutu

  • Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: RSA 2048; 68 za minutu

  • Vytvoření podpisu pomocí SHA-256 na kartě a 1 kb dat: ECDSA 256: 125 za minutu

Q: Jak rozeznám Nitrokey HSM1 od Nitrokey HSM2?

Použijte opensc-tool --list-algorithms a porovnejte s následující tabulkou. Podívejte se také na toto vlákno, kde najdete informační tabulky a další podrobnosti.

Q: Jaké algoritmy a maximální délka klíče jsou podporovány?

Viz následující tabulka:

Start

Pro + úložiště

Pro 2 + úložiště 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

křivka25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Jak mohu použít generátor náhodných čísel (TRNG) v HSM Nitrokey pro své aplikace?

Nitrokey HSM lze používat s Botan a TokenTools pomocí OpenSC jako ovladače PKCS#11.

OpenSSL nemůže použít RNG Nitrokey HSM přímo, protože engine-pkcs11 neobsahuje mapování pro OpenSSL na C_GenerateRandom.

Q: Jak dobrý je generátor náhodných čísel?

Nitrokey HSM používá generátor náhodných čísel JCOP 2.4.1r3, který má kvalitu DRNG.2 (podle AIS 31 Německého spolkového úřadu pro bezpečnost informací, BSI).

Q: Jaké rozhraní API mohu použít?

OpenSC: Pro rámec OpenSC existují komplexní pokyny. Jako pohodlnější frontend k OpenSC existuje nitrotool.

Vestavěné systémy: Pro systémy s minimální paměťovou náročností je v projektu sc-hsm-embedded k dispozici modul PKCS#11 pouze pro čtení. Tento modul PKCS#11 je užitečný pro nasazení, kde není vyžadováno generování klíčů na pracovišti uživatele. Modul PKCS#11 také podporuje hlavní karty elektronického podpisu dostupné na německém trhu.

OpenSCDP: SmartCard-HSM je plně integrován s OpenSCDP, otevřenou platformou pro vývoj čipových karet. Podrobnosti naleznete ve skriptech veřejné podpory. Pro import stávajících klíčů můžete použít jeho SCSH nebo NitroKeyWrapper.

Q: Má Nitrokey 3 certifikaci Common Criteria nebo FIPS?

Bezpečnostní řadič (NXP JCOP 3 P60) je certifikován podle standardu Common Criteria EAL 5+ až do úrovně operačního systému (Certifikát, `Certifikační zpráva <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Jak importovat existující klíč do Nitrokey HSM?

Nejprve ` nastavte`_ svůj Nitrokey HSM tak, aby používal zálohování a obnovení klíčů. Poté použijte k importu program Smart Card Shell. Pokud je váš klíč uložen v úložišti klíčů Java, můžete místo toho použít NitroKeyWrapper.

Q: Jak zabezpečím svou cloudovou infrastrukturu/Kubernetes pomocí Nitrokey HSM?

Přístup k zabezpečení klíčů pro Hashicorp Vault/Bank-Vault na Nitrokey HSM naleznete na banzaicloud.com.

Q: Mohu používat Nitrokey HSM s kryptoměnami?

J.v.d.Bosch napsal jednoduchý, bezplatný python program pro zabezpečení soukromého klíče peněženky Bitcoin v HSM. Tezos byl reportován pro práci s Nitrokey HSM.