Preguntas frecuentes sobre Nitrokey HSM¶
- Q: Which Operating Systems are supported?
Windows, Linux y macOS.
- Q: What can I use the Nitrokey for?
Consulte la overview de casos de uso compatibles.
- Q: What is the maximum length of the PIN?
Nitrokey utiliza PINs en lugar de contraseñas. La principal diferencia es que el hardware limita la cantidad de intentos a tres, mientras que no existe un límite para las contraseñas. Por ello, un PIN corto sigue siendo seguro y no es necesario elegir un PIN largo y complejo.
Los PINs de Nitrokey pueden tener hasta 16 dígitos y pueden consistir en números, caracteres y caracteres especiales. Nota: Cuando se utiliza GnuPG u OpenSC, se pueden utilizar PINs de 32 caracteres, pero no son compatibles con Nitrokey App.
- Q: What is the User PIN for?
El PIN tiene al menos 6 dígitos y se utiliza para acceder al contenido de la Nitrokey. Este es el PIN que usará mucho en el uso diario.
El PIN puede tener hasta 16 dígitos y otros caracteres (por ejemplo, caracteres alfabéticos y especiales). Pero como el PIN se bloquea en cuanto se hacen tres intentos de PIN erróneos, es suficientemente seguro tener sólo un PIN de 6 dígitos.
- Q: What is the SO PIN for?
El SO PIN se utiliza únicamente en el Nitrokey HSM y es algo así como un «maestro» PIN con propiedades especiales. Por favor, lea atentamente estas instrucciones para entender el SO PIN del Nitrokey HSM.
El PIN SO debe tener exactamente 16 dígitos.
- Q: How many data objects (DF, EF) can be stored?
76 KB de EEPROM en total, que pueden utilizarse para
máx. 150 teclas ECC-521 o
máx. 300 claves ECC/AES-256 o
máx. 19 llaves RSA-4096 o
máx. 38 llaves RSA-2048
- Q: How many keys can I store?
Nitrokey HSM puede almacenar 20 pares de claves RSA-2048 y 31 ECC-256.
- Q: How fast is encryption and signing?
Generación de claves en la tarjeta: RSA 2048: 2 por minuto
Generación de claves en la tarjeta: ECC 256: 10 por minuto.
Creación de firmas con hash fuera de la tarjeta: RSA 2048; 100 por minuto
Creación de firmas con hash fuera de la tarjeta: ECDSA 256: 360 por minuto
Creación de firmas con SHA-256 en la tarjeta y datos de 1 kb: RSA 2048; 68 por minuto
Creación de firmas con SHA-256 en la tarjeta y 1 kb de datos: ECDSA 256: 125 por minuto
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Utiliza
opensc-tool --list-algorithmsy compáralo con la siguiente tabla. Consulta también este hilo para ver las fichas y más detalles.
- Q: Which algorithms and maximum key length are supported?
Consulte la siguiente tabla:
Inicie |
Pro + Almacenamiento |
Pro 2 + Almacenamiento 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curva25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM puede utilizarse con Botan y TokenTools utilizando OpenSC como controlador PKCS#11.
OpenSSL no puede’usar el RNG de Nitrokey HSM’s directamente porque engine-pkcs11 no’contiene un mapeo para OpenSSL a C_GenerateRandom.
- Q: How good is the Random Number Generator?
Nitrokey HSM utiliza el Generador de Números Aleatorios Verdaderos de JCOP 2.4.1r3 que tiene una calidad de DRNG.2 (según AIS 31 de la Oficina Federal Alemana de Seguridad de la Información, BSI).
- Q: Which API can I use?
OpenSC: Existen instrucciones completas para el framework OpenSC. Existe nitrotool como un frontend más cómodo para OpenSC.
Sistemas embebidos: Para los sistemas con una huella de memoria mínima, el proyecto sc-hsm-embedded proporciona un módulo PKCS#11 de sólo lectura. Este módulo PKCS#11 es útil para implementaciones en las que no se requiere la generación de claves en el lugar de trabajo del usuario. El módulo PKCS#11 también es compatible con las principales tarjetas de firma electrónica disponibles en el mercado alemán.
OpenSCDP: La SmartCard-HSM está totalmente integrada con OpenSCDP, la plataforma abierta de desarrollo de tarjetas inteligentes. Consulte los scripts de soporte público para obtener más detalles. Para importar las claves existentes puede utilizar su SCSH o NitroKeyWrapper.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
El controlador de seguridad (NXP JCOP 3 P60) cuenta con la certificación Common Criteria EAL 5+ hasta el nivel de sistema operativo (Certificado, `Informe de certificación <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Objetivo de seguridad, Configuración abierta del perfil de protección del sistema de tarjetas Java, versión 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
En primer lugar, ` configure`_ su HSM Nitrokey para utilizar la copia de seguridad y restauración de claves. A continuación, utilice Smart Card Shell para la importación. Si su clave se almacena en un almacén de claves Java, puede utilizar NitroKeyWrapper en su lugar.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
Una aproximación a las claves seguras para Hashicorp Vault/Bank-Vault en un HSM Nitrokey se puede encontrar en banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch escribió un sencillo y gratuito programa en python ` para asegurar la clave privada de un monedero Bitcoin en un HSM. Tezos ha sido reportado para trabajar con Nitrokey HSM.