Ofte stillede spørgsmål om Nitrokey HSM#

Q: Hvilke operativsystemer understøttes?

Windows, Linux og macOS.

Q: Hvad kan jeg bruge Nitrokey til?

Se forside for at få en oversigt over understøttede anvendelsestilfælde.

Q: Hvad er den maksimale længde af PIN-koden?

Nitrokey bruger PIN-koder i stedet for adgangskoder. Den største forskel er, at hardwaren begrænser antallet af forsøg til tre, mens der ikke findes en grænse for adgangskoder. På grund af dette er en kort pinkode stadig sikker, og der er ikke behov for at vælge en lang og kompleks pinkode.

Nitrokey PIN-koder kan være op til 16 cifre lange og kan bestå af tal, tegn og specialtegn. Bemærk: Når du bruger GnuPG eller OpenSC, kan der bruges pinkoder med 32 tegn, men de understøttes ikke af Nitrokey App.

Q: Hvad er bruger-PIN-koden til?

PIN-koden er mindst 6 cifre lang og bruges til at få adgang til Nitrokey’s område. Dette er den PIN-kode, som du vil bruge meget i dagligdagen.

PIN-koden kan have op til 16 cifre og andre tegn (f.eks. alfabetiske tegn og specialtegn). Men da PIN-koden blokeres, så snart tre forkerte PIN-forsøg er foretaget, er det tilstrækkeligt sikkert kun at have en 6-cifret PIN-kode.

Q: Hvad er SO PIN-koden til?

SO PIN: SO PIN-koden bruges kun i Nitrokey HSM og er noget i retning af en »master« PIN-kode med særlige egenskaber. Læs venligst denne vejledning omhyggeligt for at forstå SO PIN-koden for Nitrokey HSM.

SO PIN-koden skal være præcis 16 cifre lang.

Q: Hvor mange dataobjekter (DF, EF) kan gemmes?

76 KB EEPROM i alt, som kan bruges til

  • max. 150 x ECC-521-nøgler eller

  • max. 300 x ECC/AES-256-nøgler eller

  • max. 19 x RSA-4096-nøgler eller

  • max. 38 x RSA-2048-nøgler

Q: Hvor mange nøgler kan jeg gemme?

Nitrokey HSM kan gemme 20 RSA-2048- og 31 ECC-256-nøglepar.

Q: Hvor hurtigt er kryptering og signering?
  • Nøglegenerering på kortet: RSA 2048: 2 pr. minut

  • Nøglegenerering på kortet: ECC 256: 10 pr. minut.

  • Oprettelse af signaturer med hash uden for kortet: RSA 2048; 100 pr. minut

  • Oprettelse af signaturer med hash uden for kortet: ECDSA 256: 360 pr. minut

  • Oprettelse af signaturer med SHA-256 på kortet og 1 kb data: RSA 2048; 68 pr. minut

  • Oprettelse af signaturer med SHA-256 på kortet og 1 kb data: ECDSA 256: 125 pr. minut

Q: Hvordan kan jeg skelne en Nitrokey HSM1 fra en Nitrokey HSM2?

Brug opensc-tool --list-algorithms og sammenlign med nedenstående tabel. Se også denne tråd for faktablade og flere oplysninger.

Q: Hvilke algoritmer og maksimal nøglelængde understøttes?

Se følgende tabel:

Start

Pro + opbevaring

Pro 2 + opbevaring 2

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Hvordan kan jeg bruge Nitrokey HSM’s True Random Number Generator (TRNG) til mine applikationer?

Nitrokey HSM kan bruges sammen med Botan og TokenTools ved at bruge OpenSC som PKCS#11-driver.

OpenSSL kan ikke bruge Nitrokey HSM’s RNG direkte, fordi engine-pkcs11 ikke indeholder en mapping for OpenSSL til C_GenerateRandom.

Q: Hvor god er generatoren af tilfældige tal?

Nitrokey HSM bruger den sande tilfældige talgenerator i JCOP 2.4.1r3, som har en kvalitet på DRNG.2 (i henhold til AIS 31 fra BSI).

Q: Hvilket API kan jeg bruge?

OpenSC: Der findes en omfattende vejledning til OpenSC-rammen. Der findes nitrotool som en mere komfortabel frontend til OpenSC.

Indlejrede systemer: Til systemer med minimal hukommelse er der et læse/kun læse-pKCS#11-modul, som leveres af sc-hsm-embedded-projektet. Dette PKCS#11-modul er nyttigt til implementeringer, hvor der ikke er behov for nøglegenerering på brugerens arbejdsplads. PKCS#11-modulet understøtter også de vigtigste elektroniske signaturkort, der findes på det tyske marked.

OpenSCDP: SmartCard-HSM er fuldt integreret med OpenSCDP, den åbne udviklingsplatform for smartkort. Se de offentlige supportskripter for at få flere oplysninger. For at importere eksisterende nøgler kan du bruge dens SCSH eller NitroKeyWrapper.

Q: Er Nitrokey 3 Common Criteria- eller FIPS-certificeret?

Nitrokey HSM2: Sikkerhedskontrollen’s hardware og operativsystem er Common Criteria-certificeret (Security Target; HSM2 Report; Se her, klik på »ICs, Smart Cards and Smart Card-Related Devices and Systems« og søg efter »NXP JCOP 3 P60«).

Q: Hvordan importerer jeg en eksisterende nøgle til Nitrokey HSM?

Først skal du opsætte din Nitrokey HSM til at bruge sikkerhedskopiering og gendannelse af nøgler. Brug derefter Smart Card Shell til at importere. Hvis din nøgle er gemt i et Java-nøglelager, kan du bruge NitroKeyWrapper i stedet.

Q: Hvordan sikrer jeg min cloud-infrastruktur/Kubernetes med Nitrokey HSM?

En metode til at sikre nøgler til Hashicorp Vault/Bank-Vault på en Nitrokey HSM kan findes på banzaicloud.com.

Q: Kan jeg bruge Nitrokey HSM med kryptovalutaer?

J.v.d.Bosch skrev et simpelt, gratis python program til at sikre den private nøgle til en Bitcoin-tegnebog i en HSM. Tezos er blevet rapporteret til at fungere med Nitrokey HSM.