Preguntas frecuentes sobre Nitrokey HSM

Q: ¿Qué sistemas operativos son compatibles?

Windows, Linux y macOS.

Q: ¿Para qué puedo utilizar la Nitrokey?

Consulte la overview de casos de uso compatibles.

P: ¿Cuál es la longitud máxima del PIN?

Nitrokey utiliza PINs en lugar de contraseñas. La principal diferencia es que el hardware limita la cantidad de intentos a tres, mientras que no existe un límite para las contraseñas. Por ello, un PIN corto sigue siendo seguro y no es necesario elegir un PIN largo y complejo.

Los PINs de Nitrokey pueden tener hasta 16 dígitos y pueden consistir en números, caracteres y caracteres especiales. Nota: Cuando se utiliza GnuPG u OpenSC, se pueden utilizar PINs de 32 caracteres, pero no son compatibles con Nitrokey App.

**P: ** ¿Para qué sirve el PIN de usuario?

El PIN tiene al menos 6 dígitos y se utiliza para acceder al contenido de la Nitrokey. Este es el PIN que usará mucho en el uso diario.

El PIN puede tener hasta 16 dígitos y otros caracteres (por ejemplo, caracteres alfabéticos y especiales). Pero como el PIN se bloquea en cuanto se hacen tres intentos de PIN erróneos, es suficientemente seguro tener sólo un PIN de 6 dígitos.

**P: ** ¿Para qué sirve el PIN del SO?

El SO PIN se utiliza únicamente en el Nitrokey HSM y es algo así como un «maestro» PIN con propiedades especiales. Por favor, lea atentamente estas instrucciones para entender el SO PIN del Nitrokey HSM.

El PIN SO debe tener exactamente 16 dígitos.

Q: ¿Cuántos objetos de datos (DF, EF) se pueden almacenar?

76 KB de EEPROM en total, que pueden utilizarse para

  • máx. 150 teclas ECC-521 o

  • máx. 300 claves ECC/AES-256 o

  • máx. 19 llaves RSA-4096 o

  • máx. 38 llaves RSA-2048

Q: ¿Cuántas llaves puedo almacenar?

Nitrokey HSM puede almacenar 20 pares de claves RSA-2048 y 31 ECC-256.

**P: ** ¿Cómo de rápido es el cifrado y la firma?
  • Generación de claves en la tarjeta: RSA 2048: 2 por minuto

  • Generación de claves en la tarjeta: ECC 256: 10 por minuto.

  • Creación de firmas con hash fuera de la tarjeta: RSA 2048; 100 por minuto

  • Creación de firmas con hash fuera de la tarjeta: ECDSA 256: 360 por minuto

  • Creación de firmas con SHA-256 en la tarjeta y datos de 1 kb: RSA 2048; 68 por minuto

  • Creación de firmas con SHA-256 en la tarjeta y 1 kb de datos: ECDSA 256: 125 por minuto

**P: ¿Cómo puedo distinguir un Nitrokey HSM 1 de un Nitrokey HSM 2?

Utiliza opensc-tool --list-algorithms y compáralo con la siguiente tabla. Consulta también este hilo para ver las fichas y más detalles.

Q: ¿Qué algoritmos y longitudes máximas de clave se admiten?

Consulte la siguiente tabla:

Inicie

Pro + Almacenamiento

Pro 2 + Almacenamiento 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curva25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

**P: ¿Cómo puedo utilizar el generador de números aleatorios (TRNG) de Nitrokey HSM para mis aplicaciones?

Nitrokey HSM puede utilizarse con Botan y TokenTools utilizando OpenSC como controlador PKCS#11.

OpenSSL no puede’usar el RNG de Nitrokey HSM’s directamente porque engine-pkcs11 no’contiene un mapeo para OpenSSL a C_GenerateRandom.

**P: ** ¿Qué tan bueno es el generador de números aleatorios?

Nitrokey HSM utiliza el Generador de Números Aleatorios Verdaderos de JCOP 2.4.1r3 que tiene una calidad de DRNG.2 (según AIS 31 de la Oficina Federal Alemana de Seguridad de la Información, BSI).

Q: ¿Qué API puedo utilizar?

OpenSC: Existen instrucciones completas para el framework OpenSC. Existe nitrotool como un frontend más cómodo para OpenSC.

Sistemas embebidos: Para los sistemas con una huella de memoria mínima, el proyecto sc-hsm-embedded proporciona un módulo PKCS#11 de sólo lectura. Este módulo PKCS#11 es útil para implementaciones en las que no se requiere la generación de claves en el lugar de trabajo del usuario. El módulo PKCS#11 también es compatible con las principales tarjetas de firma electrónica disponibles en el mercado alemán.

OpenSCDP: La SmartCard-HSM está totalmente integrada con OpenSCDP, la plataforma abierta de desarrollo de tarjetas inteligentes. Consulte los scripts de soporte público para obtener más detalles. Para importar las claves existentes puede utilizar su SCSH o NitroKeyWrapper.

**P: ** ¿Está el Nitrokey HSM 2 certificado por Common Criteria o FIPS?

El controlador de seguridad (NXP JCOP 3 P60) cuenta con la certificación Common Criteria EAL 5+ hasta el nivel de sistema operativo (Certificado, `Informe de certificación <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Objetivo de seguridad, Configuración abierta del perfil de protección del sistema de tarjetas Java, versión 3.0).

Q: ¿Cómo importar una llave existente en el Nitrokey HSM?

En primer lugar, ` configure`_ su HSM Nitrokey para utilizar la copia de seguridad y restauración de claves. A continuación, utilice Smart Card Shell para la importación. Si su clave se almacena en un almacén de claves Java, puede utilizar NitroKeyWrapper en su lugar.

**P: ¿Cómo puedo asegurar mi infraestructura de nube/Kubernetes con Nitrokey HSM?

Una aproximación a las claves seguras para Hashicorp Vault/Bank-Vault en un HSM Nitrokey se puede encontrar en banzaicloud.com.

Q: ¿Puedo utilizar Nitrokey HSM con criptomonedas?

J.v.d.Bosch escribió un sencillo y gratuito programa en python ` para asegurar la clave privada de un monedero Bitcoin en un HSM. Tezos ha sido reportado para trabajar con Nitrokey HSM.