Secure Element SE05x¶
Secure Element SE050 je čip od společnosti NXP Semiconductors odolný proti manipulaci, který poskytuje pokročilé bezpečnostní funkce. Nabízí hardwarové bezpečnostní funkce včetně kryptografických operací, bezpečného ukládání klíčů a ochrany proti fyzickým a logickým útokům. Bezpečný prvek SE05X je certifikován podle úrovně zabezpečení Common Criteria EAL 6+ a implementuje algoritmy jako RSA, ECC, AES a SHA, takže je ideální pro Nitrokey 3.
Kryptografické klíče PIV jsou uloženy v zabezpečeném prvku. Kartu OpenPGP lze nakonfigurovat tak, aby ukládala kryptografické klíče v zabezpečeném prvku, nebo nikoliv, v takovém případě se používá pouze softwarová implementace. Systémy Password Safe a FIDO2 nepoužívají Secure Element s výjimkou dodatečné náhodnosti.
Aktivace/deaktivace pro OpenPGP¶
Zabezpečený prvek je ve výchozím nastavení povolen, pokud v zařízení již není uložen žádný kryptografický klíč v OpenPGP Card a PIV. K tomu dojde automaticky po resetování karty OpenPGP Card nebo celého klíče Nitrokey.
Varování
Ruční aktivace zabezpečeného prvku pro kartu OpenPGP odstraní všechny existující klíče.
Chcete-li zkontrolovat, zda je aktivován zabezpečený prvek pro OpenPGP, spusťte:
nitropy nk3 get-config opcard.use_se050_backend
Povolení zabezpečeného prvku:
nitropy nk3 set-config opcard.use_se050_backend true
Zakázání prvku Secure Element:
nitropy nk3 set-config opcard.use_se050_backend false
Algoritmy¶
Algorithm |
With Secure Element |
Bez zabezpečovacího prvku |
|---|---|---|
RSA 2048 bit |
✓ |
✓ |
RSA 3072 bit |
✓ |
⨯ |
RSA 4096 bit |
✓ |
⨯ |
AES 128/256 bit |
✓ |
✓ |
SHA 256/384/512 bitů |
✓ |
✓ |
NIST P-256 (secp256r1/prime256v1) |
✓ |
✓ |
NIST P-384 (secp384r1/prime384v1) |
✓ |
⨯ |
NIST P-521 (secp521r1/prime521v1) |
✓ |
⨯ |
Ed25519/Curve25519 |
✓ |
✓ |
brainpoolP256r1 |
✓ |
⨯ |
brainpoolP384r1 |
✓ |
⨯ |
brainpoolP512r1 |
✓ |
⨯ |
HOTP (RFC 4226) |
✓ |
✓ |
TOTP (RFC 6238) |
✓ |
✓ |
Fyzický generátor náhodných čísel (TRNG) |
✓ |
✓ |