Συχνές ερωτήσεις Nitrokey HSM#

Q: Ποια λειτουργικά συστήματα υποστηρίζονται;

Windows, Linux και macOS.

Q: Για ποιο λόγο μπορώ να χρησιμοποιήσω το Nitrokey;

See the overview of supported use cases.

Q: Ποιο είναι το μέγιστο μήκος του PIN;

Το Nitrokey χρησιμοποιεί PIN αντί για κωδικούς πρόσβασης. Η κύρια διαφορά είναι ότι το υλικό περιορίζει τον αριθμό των προσπαθειών σε τρεις, ενώ για τους κωδικούς πρόσβασης δεν υπάρχει όριο. Εξαιτίας αυτού, ένα σύντομο PIN εξακολουθεί να είναι ασφαλές και δεν χρειάζεται να επιλέξετε ένα μακρύ και πολύπλοκο PIN.

Οι κωδικοί PIN του Nitrokey μπορούν να έχουν μήκος έως και 16 ψηφία και να αποτελούνται από αριθμούς, χαρακτήρες και ειδικούς χαρακτήρες. Σημείωση: Όταν χρησιμοποιείτε το GnuPG ή το OpenSC, μπορούν να χρησιμοποιηθούν PIN με 32 χαρακτήρες, αλλά δεν υποστηρίζονται από την εφαρμογή Nitrokey App.

Ερώτηση: Για ποιο λόγο χρησιμοποιείται το PIN χρήστη;

Το PIN είναι τουλάχιστον 6ψήφιο και χρησιμοποιείται για την πρόσβαση στο περιεχόμενο του Nitrokey. Αυτό είναι το PIN που θα χρησιμοποιείτε συχνά σε καθημερινή χρήση.

Το PIN μπορεί να έχει έως και 16 ψηφία και άλλους χαρακτήρες (π.χ. αλφαβητικούς και ειδικούς χαρακτήρες). Καθώς όμως το PIN μπλοκάρεται μόλις γίνουν τρεις λανθασμένες απόπειρες PIN, είναι αρκετά ασφαλές να έχετε μόνο 6 ψηφία PIN.

Q: Για ποιο λόγο χρησιμοποιείται το SO PIN;

Το SO PIN χρησιμοποιείται μόνο στο Nitrokey HSM και είναι κάτι σαν ένα «master» PIN με ειδικές ιδιότητες. Παρακαλούμε διαβάστε προσεκτικά τις παρούσες οδηγίες για να κατανοήσετε το SO PIN του Nitrokey HSM.

Το SO PIN πρέπει να είναι ακριβώς 16 ψηφία.

Q: Πόσα αντικείμενα δεδομένων (DF, EF) μπορούν να αποθηκευτούν;

76 KB EEPROM συνολικά, που μπορούν να χρησιμοποιηθούν για

  • max. 150 x πλήκτρα ECC-521 ή

  • max. 300 x κλειδιά ECC/AES-256 ή

  • max. 19 x κλειδιά RSA-4096 ή

  • max. 38 x κλειδιά RSA-2048

Q: Πόσα κλειδιά μπορώ να αποθηκεύσω;

Το Nitrokey HSM μπορεί να αποθηκεύσει 20 ζεύγη κλειδιών RSA-2048 και 31 ζεύγη κλειδιών ECC-256.

Q: Πόσο γρήγορη είναι η κρυπτογράφηση και η υπογραφή;
  • Δημιουργία κλειδιού στην κάρτα: RSA 2048: 2 ανά λεπτό

  • Δημιουργία κλειδιού στην κάρτα: ECC 256: 10 ανά λεπτό.

  • Δημιουργία υπογραφής με κατακερματισμό εκτός κάρτας: 100 ανά λεπτό

  • Δημιουργία υπογραφής με κατακερματισμό εκτός κάρτας: ECDSA 256: 360 ανά λεπτό

  • Δημιουργία υπογραφής με SHA-256 στην κάρτα και δεδομένα 1 kb: RSA 2048; 68 ανά λεπτό

  • Δημιουργία υπογραφής με SHA-256 στην κάρτα και δεδομένα 1 kb: ECDSA 256: 125 ανά λεπτό

Q: Πώς μπορώ να διακρίνω ένα Nitrokey HSM 1 από ένα Nitrokey HSM 2;

Χρησιμοποιήστε opensc-tool --list-algorithms και συγκρίνετε με τον παρακάτω πίνακα. Δείτε επίσης το αυτό το νήμα για τα ενημερωτικά δελτία και περισσότερες λεπτομέρειες.

Q: Ποιοι αλγόριθμοι και μέγιστο μήκος κλειδιού υποστηρίζονται;

Δείτε τον ακόλουθο πίνακα:

Έναρξη

Pro + Αποθήκευση

Pro 2 + Αποθήκευση 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Πώς μπορώ να χρησιμοποιήσω τη γεννήτρια αληθινών τυχαίων αριθμών (TRNG) του Nitrokey HSM για τις εφαρμογές μου;

Το Nitrokey HSM μπορεί να χρησιμοποιηθεί με τα Botan και TokenTools χρησιμοποιώντας το OpenSC ως οδηγό PKCS#11.

Το OpenSSL δεν μπορεί να χρησιμοποιήσει άμεσα το RNG του Nitrokey HSM, επειδή το engine-pkcs11 δεν περιέχει αντιστοίχιση για το OpenSSL στο C_GenerateRandom.

Q: Πόσο καλή είναι η γεννήτρια τυχαίων αριθμών;

Το Nitrokey HSM χρησιμοποιεί τη γεννήτρια αληθινών τυχαίων αριθμών της JCOP 2.4.1r3, η οποία έχει ποιότητα DRNG.2 (σύμφωνα με την AIS 31 της Γερμανικής Ομοσπονδιακής Υπηρεσίας για την Ασφάλεια Πληροφοριών, BSI).

Q: Ποιο API μπορώ να χρησιμοποιήσω;

OpenSC: Υπάρχουν ολοκληρωμένες οδηγίες για το πλαίσιο OpenSC. Υπάρχει το nitrotool ως ένα πιο άνετο frontend για το OpenSC.

Ενσωματωμένα συστήματα: Μια ενότητα PKCS#11 μόνο για ανάγνωση παρέχεται από το έργο sc-hsm-embedded. Αυτή η ενότητα PKCS#11 είναι χρήσιμη για εφαρμογές όπου δεν απαιτείται η παραγωγή κλειδιών στο χώρο εργασίας του χρήστη. Η ενότητα PKCS#11 υποστηρίζει επίσης τις σημαντικότερες κάρτες ηλεκτρονικής υπογραφής που είναι διαθέσιμες στη γερμανική αγορά.

OpenSCDP: Η SmartCard-HSM είναι πλήρως ενσωματωμένη με το OpenSCDP, την ανοικτή πλατφόρμα ανάπτυξης έξυπνων καρτών. Ανατρέξτε στα δημόσια σενάρια υποστήριξης για λεπτομέρειες. Για την εισαγωγή υφιστάμενων κλειδιών μπορείτε να χρησιμοποιήσετε το SCSH ή το NitroKeyWrapper.

Q: Είναι το Nitrokey HSM 2 πιστοποιημένο με Common Criteria ή FIPS;

Ο ελεγκτής ασφαλείας (NXP JCOP 3 P60) είναι πιστοποιημένος με Common Criteria EAL 5+ μέχρι το επίπεδο λειτουργικού συστήματος (Πιστοποιητικό, `Έκθεση πιστοποίησης <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Στόχος ασφαλείας, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Πώς να εισαγάγετε ένα υπάρχον κλειδί στο Nitrokey HSM;

Πρώτον, ρυθμίστε το Nitrokey HSM σας ώστε να χρησιμοποιεί τη δημιουργία αντιγράφων ασφαλείας και την επαναφορά κλειδιών. Στη συνέχεια, χρησιμοποιήστε το Smart Card Shell για την εισαγωγή. Εάν το κλειδί σας είναι αποθηκευμένο σε ένα αποθηκευτικό χώρο κλειδιών Java, μπορείτε να χρησιμοποιήσετε το `NitroKeyWrapper αντί αυτού.

Q: Πώς μπορώ να ασφαλίσω την υποδομή Cloud/Kubernetes με το Nitrokey HSM;

Μια προσέγγιση για ασφαλή κλειδιά για το Hashicorp Vault/Bank-Vault σε ένα Nitrokey HSM μπορείτε να βρείτε στη διεύθυνση banzaicloud.com.

Q: Μπορώ να χρησιμοποιήσω το Nitrokey HSM με κρυπτονομίσματα;

Ο J.v.d.Bosch έγραψε ένα απλό, δωρεάν python πρόγραμμα για να ασφαλίσει το ιδιωτικό κλειδί ενός πορτοφολιού Bitcoin σε ένα HSM. Το Tezos έχει αναφερθεί ότι λειτουργεί με το Nitrokey HSM.