Nitrokey Pro 2 FAQ#

Q: Které operační systémy jsou podporovány?

Windows, Linux a macOS.

Q: K čemu mohu Nitrokey použít?

Přehled podporovaných případů použití naleznete na frontpage.

Q: Jaké jsou výchozí kódy PIN?
  • Uživatelský kód PIN: „123456“

  • Administrátorský PIN: „12345678“

Důrazně doporučujeme změnit tyto kódy PIN/hesla na hodnoty zvolené uživatelem před použitím klíče Nitrokey.

Q: Jaká je maximální délka kódu PIN?

Nitrokey používá místo hesel kódy PIN. Hlavní rozdíl spočívá v tom, že hardware omezuje počet pokusů na tři, zatímco u hesel tento limit neexistuje. Z tohoto důvodu je krátký kód PIN stále bezpečný a není nutné volit dlouhý a složitý kód PIN.

PINy úložiště Nitrokey mohou mít až 20 číslic a mohou se skládat z čísel, znaků a speciálních znaků. Poznámka: Při použití GnuPG nebo OpenSC lze použít 32 znaků dlouhé kódy PIN, které však aplikace Nitrokey nepodporuje.

Q: K čemu slouží uživatelský kód PIN?

Uživatelský kód PIN je nejméně šestimístný a slouží k získání přístupu ke kontejneru Nitrokey. Tento kód PIN budete často používat při každodenním používání, např. pro dešifrování zpráv, pro odemknutí zašifrovaného úložiště (pouze úložiště NK) atd.

Uživatelský PIN může mít až 20 číslic a dalších znaků (např. abecedních a speciálních). Protože je však uživatelský kód PIN zablokován, jakmile dojde ke třem chybným pokusům o zadání kódu PIN, je dostatečně bezpečné mít pouze šestimístný kód PIN. Výchozí kód PIN je 123456.

Q: K čemu slouží kód PIN správce?

Správcovský PIN je nejméně 8místný a slouží ke změně obsahu/nastavení klíče Nitrokey. To znamená, že po inicializaci klíče Nitrokey pravděpodobně nebudete tento kód PIN’potřebovat příliš často (např. pokud budete chtít přidat další heslo do trezoru na hesla klíče Nitrokey Pro nebo Nitrokey Storage).

Správcovský PIN může mít až 20 číslic a dalších znaků (např. abecedních a speciálních). Protože je však kód PIN správce zablokován, jakmile byly provedeny tři chybné pokusy o zadání kódu PIN, je dostatečně bezpečné mít pouze 8místný kód PIN. Výchozí PIN je 12345678.

Q: Proč se mi Nitrokey Pro zasekne při přepínání mezi nitrokey-app a GnuPG?

GnuPG a nitrokey-app si někdy vzájemně překážejí. Jedná se o známý problém, který lze odstranit opětovným vložením nitrokey do slotu USB.

Q: Jaké ovladače/nástroje lze použít?

GnuPG je vyžadován pro mnoho případů použití. Jedná se o nástroj příkazového řádku, ale obvykle jej nepotřebujete vyvolat přímo, ale použijete jinou aplikaci s uživatelským rozhraním.

Nepoužívejte GnuPG souběžně s OpenSC nebo jiným ovladačem PKCS#11, protože oba ovladače se mohou vzájemně ovlivňovat a může dojít k neočekávaným problémům.

Nainstalujte si program GPG4Win, který obsahuje Gnu Privacy Assistant (GPA) a GnuPG (GPG). Spusťte Gnu Privacy Assistant (GPA) nebo jinou aplikaci, například e-mailového klienta, abyste mohli používat GnuPG. Pokročilí uživatelé mohou použít GnuPG přímo (příkazový řádek). Poznámka: Chytrá karta Fellowship je podobná kartě Nitrokey Pro, takže tento návod funguje i na Nitrokey. Obecně se doporučuje používat oficiální dokumentaci.

Q: Jak rychlé je šifrování a podepisování?

Šifrování 50kiB dat:

  • 256 bitů AES, 2048 bajtů na příkaz -> 880 bajtů za sekundu

  • 128 bitů AES, 2048 bajtů na příkaz -> 893 bajtů za sekundu

  • 256 bitů AES, 240 bajtů na příkaz -> 910 bajtů za sekundu

  • 128bitový AES, 240 bajtů na příkaz -> 930 bajtů za sekundu

Q: Jaké algoritmy a maximální délka klíče jsou podporovány?

Viz následující tabulka:

Start

Pro + úložiště

Pro 2 + úložiště 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

křivka25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Obsahuje Nitrokey Pro zabezpečený čip nebo jen běžný mikrokontrolér?

Nitrokey Pro obsahuje čipovou kartu odolnou proti manipulaci.

Q: Má Nitrokey Pro certifikaci Common Criteria nebo FIPS?

Bezpečnostní řadič (NXP Smart Card Controller P5CD081V1A a jeho hlavní konfigurace P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A a P5CD016V1A, každá s dedikovaným softwarem IC) je certifikována podle Common Criteria EAL 5+ až do úrovně OS (Certification Report, Security Target, Maintenance Report, Maintenance ST).

Q: Jak mohu použít generátor náhodných čísel (TRNG) v systému Nitrokey Pro pro své aplikace?

Obě zařízení jsou kompatibilní s kartou OpenPGP, takže scdrand by měl fungovat. Tento skript může být užitečný. Uživatel comio vytvořil soubor systemd pro použití scdrand a tím i TRNG obecněji. Vytvořil také sestavení pro Gentoo.

Q: Jak dobrý je generátor náhodných čísel?

Zařízení Nitrokey Pro a Nitrokey Storage používají ke generování klíčů v zařízení generátor náhodných čísel (TRNG). Entropie generovaná generátorem TRNG se používá pro celou délku klíče. Proto je TRNG v souladu s normou BSI TR-03116.

TRNG poskytuje rychlost přibližně 40 kbit/s.

Q: Jak velká je kapacita úložiště?

Nitrokey 3 neobsahuje možnost ukládání běžných dat (lze ukládat pouze kryptografické klíče a certifikáty).