Nitrokey HSM FAQ

Q: Welche Betriebssysteme werden unterstützt?

Windows, Linux und macOS.

Q: Wofür kann ich den Nitrokey verwenden?

Siehe die Übersicht der unterstützten Anwendungsfälle.

Q: Wie lang darf die PIN maximal sein?

Nitrokey verwendet PINs anstelle von Passwörtern. Der Hauptunterschied besteht darin, dass die Hardware die Anzahl der Versuche auf drei begrenzt, während es bei Passwörtern kein Limit gibt. Aus diesem Grund ist eine kurze PIN immer noch sicher und es besteht keine Notwendigkeit, eine lange und komplexe PIN zu wählen.

Nitrokey-PINs können bis zu 16 Ziffern lang sein und aus Zahlen, Buchstaben und Sonderzeichen bestehen. Hinweis: Bei der Verwendung von GnuPG oder OpenSC können 32 Zeichen lange PINs verwendet werden, die jedoch von Nitrokey App nicht unterstützt werden.

Q: Wofür ist die Benutzer-PIN?

Die PIN ist mindestens 6-stellig und wird verwendet, um Zugriff auf den Inhalt des Nitrokeys zu erhalten. Dies ist die PIN, die Sie im Alltag häufig verwenden werden.

Die PIN kann bis zu 16 Ziffern und weitere Zeichen (z. B. Buchstaben und Sonderzeichen) enthalten. Da die PIN jedoch gesperrt wird, sobald drei falsche PIN-Versuche unternommen wurden, ist es ausreichend sicher, nur eine 6-stellige PIN zu verwenden.

Q: Wofür ist die SO-PIN gedacht?

Die SO PIN wird nur im Nitrokey HSM verwendet und ist so etwas wie eine „Master“ PIN mit besonderen Eigenschaften. Bitte lesen Sie diese Anleitung sorgfältig durch, um die SO PIN des Nitrokey HSM zu verstehen.

Die SO-PIN muss genau 16 Ziffern lang sein.

Q: Wie viele Datenobjekte (DF, EF) können gespeichert werden?

76 KB EEPROM insgesamt, die verwendet werden können für

  • max. 150 x ECC-521 Tasten oder

  • max. 300 x ECC/AES-256 Schlüssel oder

  • max. 19 x RSA-4096 Schlüssel oder

  • max. 38 x RSA-2048-Schlüssel

Q: Wie viele Schlüssel kann ich speichern?

Nitrokey HSM kann 20 RSA-2048 und 31 ECC-256 Schlüsselpaare speichern.

Q: Wie schnell sind Verschlüsselung und Signierung?
  • Schlüsselerzeugung auf der Karte: RSA 2048: 2 pro Minute

  • Schlüsselerzeugung auf der Karte: ECC 256: 10 pro Minute.

  • Signaturerstellung mit Off-Card-Hash: RSA 2048; 100 pro Minute

  • Signaturerstellung mit Off-Card-Hash: ECDSA 256: 360 pro Minute

  • Signaturerstellung mit SHA-256 auf der Karte und 1 kb Daten: RSA 2048; 68 pro Minute

  • Signaturerstellung mit karteneigenem SHA-256 und 1 kb Daten: ECDSA 256: 125 pro Minute

Q: Wie kann ich einen Nitrokey HSM 1 von einem Nitrokey HSM 2 unterscheiden?

Verwenden Sie opensc-tool --list-algorithms und vergleichen Sie mit der untenstehenden Tabelle. Siehe auch diesen Thread für die Merkblätter und weitere Einzelheiten.

Q: Welche Algorithmen und maximale Schlüssellänge werden unterstützt?

Siehe die folgende Tabelle:

Start

Pro + Storage

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Wie kann ich den True Random Number Generator (TRNG) des Nitrokey HSM für meine Anwendungen nutzen?

Nitrokey HSM kann mit Botan und TokenTools unter Verwendung von OpenSC als PKCS#11-Treiber verwendet werden.

OpenSSL kann Nitrokey HSM’s RNG nicht direkt verwenden, da engine-pkcs11’kein Mapping für OpenSSL auf C_GenerateRandom enthält.

Q: Wie gut ist der Zufallszahlengenerator?

Nitrokey HSM verwendet den True Random Number Generator von JCOP 2.4.1r3, der eine Qualität von DRNG.2 hat (gemäß AIS 31 des Bundesamtes für Sicherheit in der Informationstechnik, BSI).

Q: Welche API kann ich verwenden?

OpenSC: Für das OpenSC-Framework gibt es eine ausführliche Anleitung. Als komfortableres Frontend zu OpenSC gibt es nitrotool.

Eingebettete Systeme: Für Systeme mit minimalem Speicherbedarf bietet das Projekt sc-hsm-embedded ein PKCS#11-Modul, das nur gelesen werden kann. Dieses PKCS#11-Modul ist nützlich für Einsätze, bei denen die Schlüsselerzeugung am Arbeitsplatz des Benutzers nicht erforderlich ist. Das PKCS#11-Modul unterstützt auch die wichtigsten auf dem deutschen Markt erhältlichen elektronischen Signaturkarten.

OpenSCDP: Die SmartCard-HSM ist vollständig in OpenSCDP, die offene Smartcard-Entwicklungsplattform, integriert. Siehe die öffentlichen Support-Skripte für Details. Um vorhandene Schlüssel zu importieren, können Sie den SCSH oder NitroKeyWrapper verwenden.

Q: Ist der Nitrokey HSM 2 nach Common Criteria oder FIPS zertifiziert?

Der Sicherheitscontroller (NXP JCOP 3 P60) ist nach Common Criteria EAL 5+ bis zur Betriebssystemebene zertifiziert (Zertifikat, Zertifizierungsbericht, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Wie importiere ich einen vorhandenen Schlüssel in das Nitrokey HSM?

Richten Sie zunächst ` Ihr Nitrokey HSM für die Sicherung und Wiederherstellung von Schlüsseln ein. Dann verwenden Sie Smart Card Shell zum Importieren. Wenn Ihr Schlüssel in einem Java-Schlüsselspeicher gespeichert ist, können Sie stattdessen NitroKeyWrapper verwenden.

Q: Wie kann ich meine Cloud-Infrastruktur/Kubernetes mit Nitrokey HSM sichern?

Einen Ansatz zur Sicherung von Schlüsseln für Hashicorp Vault/Bank-Vault auf einem Nitrokey HSM finden Sie unter banzaicloud.com.

Q: Kann ich Nitrokey HSM mit Kryptowährungen verwenden?

J.v.d.Bosch schrieb ein einfaches, kostenloses Python Programm, um den privaten Schlüssel einer Bitcoin-Wallet in einem HSM zu sichern. Tezos wurde berichtet, dass es mit Nitrokey HSM funktioniert.