Nitrokey HSM FAQ¶
- Q: Welche Betriebssysteme werden unterstützt?
Windows, Linux und macOS.
- Q: Wofür kann ich den Nitrokey verwenden?
Siehe die Übersicht der unterstützten Anwendungsfälle.
- Q: Wie lang darf die PIN maximal sein?
Nitrokey verwendet PINs anstelle von Passwörtern. Der Hauptunterschied besteht darin, dass die Hardware die Anzahl der Versuche auf drei begrenzt, während es bei Passwörtern kein Limit gibt. Aus diesem Grund ist eine kurze PIN immer noch sicher und es besteht keine Notwendigkeit, eine lange und komplexe PIN zu wählen.
Nitrokey-PINs können bis zu 16 Ziffern lang sein und aus Zahlen, Buchstaben und Sonderzeichen bestehen. Hinweis: Bei der Verwendung von GnuPG oder OpenSC können 32 Zeichen lange PINs verwendet werden, die jedoch von Nitrokey App nicht unterstützt werden.
- Q: Wofür ist die Benutzer-PIN?
Die PIN ist mindestens 6-stellig und wird verwendet, um Zugriff auf den Inhalt des Nitrokeys zu erhalten. Dies ist die PIN, die Sie im Alltag häufig verwenden werden.
Die PIN kann bis zu 16 Ziffern und weitere Zeichen (z. B. Buchstaben und Sonderzeichen) enthalten. Da die PIN jedoch gesperrt wird, sobald drei falsche PIN-Versuche unternommen wurden, ist es ausreichend sicher, nur eine 6-stellige PIN zu verwenden.
- Q: Wofür ist die SO-PIN gedacht?
Die SO PIN wird nur im Nitrokey HSM verwendet und ist so etwas wie eine „Master“ PIN mit besonderen Eigenschaften. Bitte lesen Sie diese Anleitung sorgfältig durch, um die SO PIN des Nitrokey HSM zu verstehen.
Die SO-PIN muss genau 16 Ziffern lang sein.
- Q: Wie viele Datenobjekte (DF, EF) können gespeichert werden?
76 KB EEPROM insgesamt, die verwendet werden können für
max. 150 x ECC-521 Tasten oder
max. 300 x ECC/AES-256 Schlüssel oder
max. 19 x RSA-4096 Schlüssel oder
max. 38 x RSA-2048-Schlüssel
- Q: Wie viele Schlüssel kann ich speichern?
Nitrokey HSM kann 20 RSA-2048 und 31 ECC-256 Schlüsselpaare speichern.
- Q: Wie schnell sind Verschlüsselung und Signierung?
Schlüsselerzeugung auf der Karte: RSA 2048: 2 pro Minute
Schlüsselerzeugung auf der Karte: ECC 256: 10 pro Minute.
Signaturerstellung mit Off-Card-Hash: RSA 2048; 100 pro Minute
Signaturerstellung mit Off-Card-Hash: ECDSA 256: 360 pro Minute
Signaturerstellung mit SHA-256 auf der Karte und 1 kb Daten: RSA 2048; 68 pro Minute
Signaturerstellung mit karteneigenem SHA-256 und 1 kb Daten: ECDSA 256: 125 pro Minute
- Q: Wie kann ich einen Nitrokey HSM 1 von einem Nitrokey HSM 2 unterscheiden?
Verwenden Sie
opensc-tool --list-algorithms
und vergleichen Sie mit der untenstehenden Tabelle. Siehe auch diesen Thread für die Merkblätter und weitere Einzelheiten.
- Q: Welche Algorithmen und maximale Schlüssellänge werden unterstützt?
Siehe die folgende Tabelle:
Start |
Pro + Storage |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Wie kann ich den True Random Number Generator (TRNG) des Nitrokey HSM für meine Anwendungen nutzen?
Nitrokey HSM kann mit Botan und TokenTools unter Verwendung von OpenSC als PKCS#11-Treiber verwendet werden.
OpenSSL kann Nitrokey HSM’s RNG nicht direkt verwenden, da engine-pkcs11’kein Mapping für OpenSSL auf C_GenerateRandom enthält.
- Q: Wie gut ist der Zufallszahlengenerator?
Nitrokey HSM verwendet den True Random Number Generator von JCOP 2.4.1r3, der eine Qualität von DRNG.2 hat (gemäß AIS 31 des Bundesamtes für Sicherheit in der Informationstechnik, BSI).
- Q: Welche API kann ich verwenden?
OpenSC: Für das OpenSC-Framework gibt es eine ausführliche Anleitung. Als komfortableres Frontend zu OpenSC gibt es nitrotool.
Eingebettete Systeme: Für Systeme mit minimalem Speicherbedarf bietet das Projekt sc-hsm-embedded ein PKCS#11-Modul, das nur gelesen werden kann. Dieses PKCS#11-Modul ist nützlich für Einsätze, bei denen die Schlüsselerzeugung am Arbeitsplatz des Benutzers nicht erforderlich ist. Das PKCS#11-Modul unterstützt auch die wichtigsten auf dem deutschen Markt erhältlichen elektronischen Signaturkarten.
OpenSCDP: Die SmartCard-HSM ist vollständig in OpenSCDP, die offene Smartcard-Entwicklungsplattform, integriert. Siehe die öffentlichen Support-Skripte für Details. Um vorhandene Schlüssel zu importieren, können Sie den SCSH oder NitroKeyWrapper verwenden.
- Q: Ist der Nitrokey HSM 2 nach Common Criteria oder FIPS zertifiziert?
Der Sicherheitscontroller (NXP JCOP 3 P60) ist nach Common Criteria EAL 5+ bis zur Betriebssystemebene zertifiziert (Zertifikat, Zertifizierungsbericht, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: Wie importiere ich einen vorhandenen Schlüssel in das Nitrokey HSM?
Richten Sie zunächst ` Ihr Nitrokey HSM für die Sicherung und Wiederherstellung von Schlüsseln ein. Dann verwenden Sie Smart Card Shell zum Importieren. Wenn Ihr Schlüssel in einem Java-Schlüsselspeicher gespeichert ist, können Sie stattdessen NitroKeyWrapper verwenden.
- Q: Wie kann ich meine Cloud-Infrastruktur/Kubernetes mit Nitrokey HSM sichern?
Einen Ansatz zur Sicherung von Schlüsseln für Hashicorp Vault/Bank-Vault auf einem Nitrokey HSM finden Sie unter banzaicloud.com.
- Q: Kann ich Nitrokey HSM mit Kryptowährungen verwenden?
J.v.d.Bosch schrieb ein einfaches, kostenloses Python Programm, um den privaten Schlüssel einer Bitcoin-Wallet in einem HSM zu sichern. Tezos wurde berichtet, dass es mit Nitrokey HSM funktioniert.