Nitrokey HSM KKK

K: Milliseid operatsioonisüsteeme toetatakse?

Windows, Linux ja macOS.

K: Milleks ma saan Nitrokey’t kasutada?

Vt `ülevaade toetatud kasutusjuhtumitest.

K: Milline on PIN-koodi maksimaalne pikkus?

Nitrokey kasutab paroolide asemel PIN-koode. Peamine erinevus seisneb selles, et riistvara piirab katsete arvu kolmele, samas kui paroolide puhul piirangut ei ole. Selle tõttu on lühike PIN-kood endiselt turvaline ning ei ole vaja valida pikka ja keerulist PIN-koodi.

Nitrokey PIN-koodid võivad olla kuni 16-kohalised ja koosneda numbritest, tähemärkidest ja erimärkidest. Märkus: GnuPG või OpenSC kasutamisel saab kasutada 32 tähemärgi pikkuseid PIN-koode, kuid Nitrokey App ei toeta neid.

K: Milleks on kasutaja PIN-kood?

PIN-kood on vähemalt 6-kohaline ja seda kasutatakse Nitrokey sisule juurdepääsu saamiseks. Seda PIN-koodi kasutate igapäevaselt palju.

PIN-kood võib sisaldada kuni 16 numbrit ja muid sümboleid (nt tähestikku ja erimärke). Kuid kuna PIN-kood blokeeritakse kohe, kui on tehtud kolm vale PIN-koodi katset, on piisavalt turvaline kasutada ainult 6-kohalist PIN-koodi.

K: Milleks on SO PIN-kood?

SO PIN-koodi kasutatakse ainult Nitrokey HSMis ja see on midagi sellist nagu „master“ PIN-kood, millel on eriomadused. Palun lugege tähelepanelikult seda juhendit, et mõista Nitrokey HSM-i SO PIN-koodi.

SO PIN-kood peab olema täpselt 16-kohaline.

K: Mitu andmeobjekti (DF, EF) saab salvestada?

76 KB EEPROM kokku, mida saab kasutada järgmisteks eesmärkideks

• max. 150 x ECC-521 võtmed või

• max. 300 x ECC/AES-256 võtmed või

• max. 19 x RSA-4096 võtmed või

• max. 38 x RSA-2048 võtmed

K: Mitu võtit ma saan salvestada?

Nitrokey HSM suudab salvestada 20 RSA-2048 ja 31 ECC-256 võtmepaari.

K: Kui kiire on krüpteerimine ja allkirjastamine?

• Võtme genereerimine kaardil: RSA 2048: 2 minutis

• Võtme genereerimine kaardil: ECC 256: 10 minutis.

• Allkirja loomine kaardivälise hashiga: RSA 2048; 100 minutis

• Allkirja loomine kaardivälise hashiga: ECDSA 256: 360 minutis

• Allkirja loomine kaardil oleva SHA-256 ja 1 kb andmetega: RSA 2048; 68 minutis

• Allkirja loomine kaardil oleva SHA-256 ja 1 kb andmetega: ECDSA 256: 125 minutis

K: Kuidas saab Nitrokey HSM 1 ja Nitrokey HSM 2 vahet teha?

Kasutage opensc-tool --list-algorithms<x> ja võrrelge allpool esitatud tabeliga. Palun vaadake ka teda teemat, kus on esitatud teabelehti ja rohkem üksikasju.

K: Milliseid algoritme ja maksimaalset võtmepikkust toetatakse?

Vt järgmist tabelit:

	Start	Pro + ladustamine	Pro 2 + Storage 2	Nitrokey 3	HSM	HSM 2
rsa1024	✓	✓			✓	✓
rsa2048	✓	✓	✓	✓	✓	✓
rsa3072		✓	✓	✓		✓
rsa4096		✓	✓	✓		✓
curve25519	✓			✓
NIST-P 192						✓
NIST-P 256	✓		✓	✓		✓
NIST-P 384-521			✓			✓
Brainpool 192					✓	✓
Brainpool 256-320			✓		✓	✓
Brainpool 384-521			✓			✓
secp192					✓	✓
secp256	✓				✓	✓
secp521						✓

K: Kuidas saan kasutada Nitrokey HSM-i tõelist juhusliku numbri generaatorit (TRNG) oma rakendustes?

Nitrokey HSMi saab kasutada koos Botan ja `TokenTools`_ga, kasutades OpenSC-diiverit PKCS#11.

OpenSSL ei saa kasutada Nitrokey HSM’s RNG otse, sest engine-pkcs11 ei sisalda OpenSSL-i jaoks C_GenerateRandom’ile vastavust.

K: Kui hea on juhusliku numbri generaator?

Nitrokey HSM kasutab JCOP 2.4.1r3 True Random Number Generator’i, mille kvaliteet on DRNG.2 (vastavalt AIS 31 Saksamaa infoturbeameti (BSI) andmetele).

K: Millist API-d ma saan kasutada?

OpenSC: OpenSC raamistiku jaoks on olemas põhjalikud juhised. OpenSC jaoks on olemas nitrotool kui mugavam frontend.

Manussüsteemid: Minimaalse mälumahuga süsteemide jaoks pakub sc-hsm-embedded projekt ainult lugemiseks mõeldud PKCS#11 moodulit. See PKCS#11-moodul on kasulik sellistes rakendustes, kus võtme genereerimine kasutaja töökohal ei ole vajalik. PKCS#11-moodul toetab ka peamisi Saksa turul saadaolevaid elektroonilisi allkirjastamiskaarte.

OpenSCDP: SmartCard-HSM on täielikult integreeritud avatud kiipkaardi arendusplatvormiga OpenSCDP. Vaata üksikasjad avaliku toe skriptidest. Olemasolevate võtmete importimiseks saate kasutada selle SCSH või NitroKeyWrapper’i.

K: Kas Nitrokey 3 on Common Criteria või FIPS sertifitseeritud?

Turvakontroller (NXP JCOP 3 P60) on Common Criteria EAL 5+ sertifitseeritud kuni operatsioonisüsteemi tasemeni (sertifikaat, `sertifitseerimisaruanne <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, turvaeesmärk, Java Card System Protection Profile Open Configuration, Version 3.0).

K: Kuidas importida olemasolevat võtit Nitrokey HSM-i?

Esiteks, seadistage oma Nitrokey HSM, et kasutada võtmete varundamist ja taastamist. Seejärel kasutage Smart Card Shell’i importimiseks. Kui teie võti on salvestatud Java võtmehoidlasse, võite selle asemel kasutada `NitroKeyWrapper.

K: Kuidas ma kaitsen oma pilveinfrastruktuuri/Kubernetes’i Nitrokey HSMiga?

Hashicorp Vault/Bank-Vault’i turvaliste võtmete lähenemine Nitrokey HSMile on leitav aadressil banzaicloud.com.

K: Kas ma saan Nitrokey HSM-i kasutada krüptovaluutadega?

J.v.d.Bosch kirjutas lihtsa, tasuta python programmi Bitcoini rahakoti privaatvõtme kaitsmiseks HSM-is. Tezos on teavitatud, et see töötab Nitrokey HSMiga.