Nitrokey HSM FAQ¶
- Q: Which Operating Systems are supported?
Windows, Linux und macOS.
- Q: What can I use the Nitrokey for?
Siehe die Übersicht der unterstützten Anwendungsfälle.
- Q: What is the maximum length of the PIN?
Nitrokey verwendet PINs anstelle von Passwörtern. Der Hauptunterschied besteht darin, dass die Hardware die Anzahl der Versuche auf drei begrenzt, während es bei Passwörtern kein Limit gibt. Aus diesem Grund ist eine kurze PIN immer noch sicher und es besteht keine Notwendigkeit, eine lange und komplexe PIN zu wählen.
Nitrokey-PINs können bis zu 16 Ziffern lang sein und aus Zahlen, Buchstaben und Sonderzeichen bestehen. Hinweis: Bei der Verwendung von GnuPG oder OpenSC können 32 Zeichen lange PINs verwendet werden, die jedoch von Nitrokey App nicht unterstützt werden.
- Q: What is the User PIN for?
Die PIN ist mindestens 6-stellig und wird verwendet, um Zugriff auf den Inhalt des Nitrokeys zu erhalten. Dies ist die PIN, die Sie im Alltag häufig verwenden werden.
Die PIN kann bis zu 16 Ziffern und weitere Zeichen (z. B. Buchstaben und Sonderzeichen) enthalten. Da die PIN jedoch gesperrt wird, sobald drei falsche PIN-Versuche unternommen wurden, ist es ausreichend sicher, nur eine 6-stellige PIN zu verwenden.
- Q: What is the SO PIN for?
Die SO PIN wird nur im Nitrokey HSM verwendet und ist so etwas wie eine „Master“ PIN mit besonderen Eigenschaften. Bitte lesen Sie diese Anleitung sorgfältig durch, um die SO PIN des Nitrokey HSM zu verstehen.
Die SO-PIN muss genau 16 Ziffern lang sein.
- Q: How many data objects (DF, EF) can be stored?
76 KB EEPROM insgesamt, die verwendet werden können für
max. 150 x ECC-521 Tasten oder
max. 300 x ECC/AES-256 Schlüssel oder
max. 19 x RSA-4096 Schlüssel oder
max. 38 x RSA-2048-Schlüssel
- Q: How many keys can I store?
Nitrokey HSM kann 20 RSA-2048 und 31 ECC-256 Schlüsselpaare speichern.
- Q: How fast is encryption and signing?
Schlüsselerzeugung auf der Karte: RSA 2048: 2 pro Minute
Schlüsselerzeugung auf der Karte: ECC 256: 10 pro Minute.
Signaturerstellung mit Off-Card-Hash: RSA 2048; 100 pro Minute
Signaturerstellung mit Off-Card-Hash: ECDSA 256: 360 pro Minute
Signaturerstellung mit SHA-256 auf der Karte und 1 kb Daten: RSA 2048; 68 pro Minute
Signaturerstellung mit karteneigenem SHA-256 und 1 kb Daten: ECDSA 256: 125 pro Minute
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Verwenden Sie
opensc-tool --list-algorithmsund vergleichen Sie mit der untenstehenden Tabelle. Siehe auch diesen Thread für die Merkblätter und weitere Einzelheiten.
- Q: Which algorithms and maximum key length are supported?
Siehe die folgende Tabelle:
Start |
Pro + Storage |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM kann mit Botan und TokenTools unter Verwendung von OpenSC als PKCS#11-Treiber verwendet werden.
OpenSSL kann Nitrokey HSM’s RNG nicht direkt verwenden, da engine-pkcs11’kein Mapping für OpenSSL auf C_GenerateRandom enthält.
- Q: How good is the Random Number Generator?
Nitrokey HSM verwendet den True Random Number Generator von JCOP 2.4.1r3, der eine Qualität von DRNG.2 hat (gemäß AIS 31 des Bundesamtes für Sicherheit in der Informationstechnik, BSI).
- Q: Which API can I use?
OpenSC: Für das OpenSC-Framework gibt es eine ausführliche Anleitung. Als komfortableres Frontend zu OpenSC gibt es nitrotool.
Eingebettete Systeme: Für Systeme mit minimalem Speicherbedarf bietet das Projekt sc-hsm-embedded ein PKCS#11-Modul, das nur gelesen werden kann. Dieses PKCS#11-Modul ist nützlich für Einsätze, bei denen die Schlüsselerzeugung am Arbeitsplatz des Benutzers nicht erforderlich ist. Das PKCS#11-Modul unterstützt auch die wichtigsten auf dem deutschen Markt erhältlichen elektronischen Signaturkarten.
OpenSCDP: Die SmartCard-HSM ist vollständig in OpenSCDP, die offene Smartcard-Entwicklungsplattform, integriert. Siehe die öffentlichen Support-Skripte für Details. Um vorhandene Schlüssel zu importieren, können Sie den SCSH oder NitroKeyWrapper verwenden.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
Der Sicherheitscontroller (NXP JCOP 3 P60) ist nach Common Criteria EAL 5+ bis zur Betriebssystemebene zertifiziert (Zertifikat, Zertifizierungsbericht, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
Richten Sie zunächst ` Ihr Nitrokey HSM für die Sicherung und Wiederherstellung von Schlüsseln ein. Dann verwenden Sie Smart Card Shell zum Importieren. Wenn Ihr Schlüssel in einem Java-Schlüsselspeicher gespeichert ist, können Sie stattdessen NitroKeyWrapper verwenden.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
Einen Ansatz zur Sicherung von Schlüsseln für Hashicorp Vault/Bank-Vault auf einem Nitrokey HSM finden Sie unter banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch schrieb ein einfaches, kostenloses Python Programm, um den privaten Schlüssel einer Bitcoin-Wallet in einem HSM zu sichern. Tezos wurde berichtet, dass es mit Nitrokey HSM funktioniert.