Ofte stillede spørgsmål om Nitrokey HSM¶
- Q: Which Operating Systems are supported?
Windows, Linux og macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What is the maximum length of the PIN?
Nitrokey bruger PIN-koder i stedet for adgangskoder. Den største forskel er, at hardwaren begrænser antallet af forsøg til tre, mens der ikke findes en grænse for adgangskoder. På grund af dette er en kort pinkode stadig sikker, og der er ikke behov for at vælge en lang og kompleks pinkode.
Nitrokey PIN-koder kan være op til 16 cifre lange og kan bestå af tal, tegn og specialtegn. Bemærk: Når du bruger GnuPG eller OpenSC, kan der bruges pinkoder med 32 tegn, men de understøttes ikke af Nitrokey App.
- Q: What is the User PIN for?
PIN-koden er mindst 6 cifre lang og bruges til at få adgang til Nitrokey’s område. Dette er den PIN-kode, som du vil bruge meget i dagligdagen.
PIN-koden kan have op til 16 cifre og andre tegn (f.eks. alfabetiske tegn og specialtegn). Men da PIN-koden blokeres, så snart tre forkerte PIN-forsøg er foretaget, er det tilstrækkeligt sikkert kun at have en 6-cifret PIN-kode.
- Q: What is the SO PIN for?
SO PIN: SO PIN-koden bruges kun i Nitrokey HSM og er noget i retning af en »master« PIN-kode med særlige egenskaber. Læs venligst denne vejledning omhyggeligt for at forstå SO PIN-koden for Nitrokey HSM.
SO PIN-koden skal være præcis 16 cifre lang.
- Q: How many data objects (DF, EF) can be stored?
76 KB EEPROM i alt, som kan bruges til
max. 150 x ECC-521-nøgler eller
max. 300 x ECC/AES-256-nøgler eller
max. 19 x RSA-4096-nøgler eller
max. 38 x RSA-2048-nøgler
- Q: How many keys can I store?
Nitrokey HSM kan gemme 20 RSA-2048- og 31 ECC-256-nøglepar.
- Q: How fast is encryption and signing?
Nøglegenerering på kortet: RSA 2048: 2 pr. minut
Nøglegenerering på kortet: ECC 256: 10 pr. minut.
Oprettelse af signaturer med hash uden for kortet: RSA 2048; 100 pr. minut
Oprettelse af signaturer med hash uden for kortet: ECDSA 256: 360 pr. minut
Oprettelse af signaturer med SHA-256 på kortet og 1 kb data: RSA 2048; 68 pr. minut
Oprettelse af signaturer med SHA-256 på kortet og 1 kb data: ECDSA 256: 125 pr. minut
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Brug
opensc-tool --list-algorithmsog sammenlign med nedenstående tabel. Se også denne tråd for faktablade og flere oplysninger.
- Q: Which algorithms and maximum key length are supported?
Se følgende tabel:
Start |
Pro + opbevaring |
Pro 2 + opbevaring 2 |
Ofte stillede spørgsmål om Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM kan bruges sammen med Botan og TokenTools ved at bruge OpenSC som PKCS#11-driver.
OpenSSL kan ikke bruge Nitrokey HSM’s RNG direkte, fordi engine-pkcs11 ikke indeholder en mapping for OpenSSL til C_GenerateRandom.
- Q: How good is the Random Number Generator?
Nitrokey HSM bruger den sande tilfældige talgenerator i JCOP 2.4.1r3, som har en kvalitet på DRNG.2 (i henhold til AIS 31 fra det tyske forbundskontor for informationssikkerhed, BSI).
- Q: Which API can I use?
OpenSC: Der findes en omfattende vejledning til OpenSC-rammen. Der findes nitrotool som en mere komfortabel frontend til OpenSC.
Indlejrede systemer: Til systemer med minimal hukommelse er der et læse/kun læse-pKCS#11-modul, som leveres af sc-hsm-embedded-projektet. Dette PKCS#11-modul er nyttigt til implementeringer, hvor der ikke er behov for nøglegenerering på brugerens arbejdsplads. PKCS#11-modulet understøtter også de vigtigste elektroniske signaturkort, der findes på det tyske marked.
OpenSCDP: SmartCard-HSM er fuldt integreret med OpenSCDP, den åbne udviklingsplatform for smartkort. Se de offentlige supportskripter for at få flere oplysninger. For at importere eksisterende nøgler kan du bruge dens SCSH eller NitroKeyWrapper.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
Sikkerhedscontrolleren (NXP JCOP 3 P60) er Common Criteria EAL 5+ certificeret op til OS-niveau (Certifikat, `Certificeringsrapport <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
Først skal du opsætte din Nitrokey HSM til at bruge sikkerhedskopiering og gendannelse af nøgler. Brug derefter Smart Card Shell til at importere. Hvis din nøgle er gemt i et Java-nøglelager, kan du bruge NitroKeyWrapper i stedet.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
En metode til at sikre nøgler til Hashicorp Vault/Bank-Vault på en Nitrokey HSM kan findes på banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch skrev et simpelt, gratis python program til at sikre den private nøgle til en Bitcoin-tegnebog i en HSM. Tezos er blevet rapporteret til at fungere med Nitrokey HSM.