Nitrokey HSM KKK#

K: Milliseid operatsioonisüsteeme toetatakse?

Windows, Linux ja macOS.

K: Milleks ma saan Nitrokey’t kasutada?

Vt frontpage, et saada ülevaade toetatud kasutusjuhtumitest.

K: Milline on PIN-koodi maksimaalne pikkus?

Nitrokey kasutab paroolide asemel PIN-koode. Peamine erinevus seisneb selles, et riistvara piirab katsete arvu kolmele, samas kui paroolide puhul piirangut ei ole. Selle tõttu on lühike PIN-kood endiselt turvaline ning ei ole vaja valida pikka ja keerulist PIN-koodi.

Nitrokey PIN-koodid võivad olla kuni 16-kohalised ja koosneda numbritest, tähemärkidest ja erimärkidest. Märkus: GnuPG või OpenSC kasutamisel saab kasutada 32 tähemärgi pikkuseid PIN-koode, kuid Nitrokey App ei toeta neid.

K: Milleks on kasutaja PIN-kood?

PIN-kood on vähemalt 6-kohaline ja seda kasutatakse Nitrokey sisule juurdepääsu saamiseks. Seda PIN-koodi kasutate igapäevaselt palju.

PIN-kood võib sisaldada kuni 16 numbrit ja muid sümboleid (nt tähestikku ja erimärke). Kuid kuna PIN-kood blokeeritakse kohe, kui on tehtud kolm vale PIN-koodi katset, on piisavalt turvaline kasutada ainult 6-kohalist PIN-koodi.

K: Milleks on SO PIN-kood?

SO PIN-koodi kasutatakse ainult Nitrokey HSMis ja see on midagi sellist nagu „master“ PIN-kood, millel on eriomadused. Palun lugege tähelepanelikult seda juhendit, et mõista Nitrokey HSM-i SO PIN-koodi.

SO PIN-kood peab olema täpselt 16-kohaline.

K: Mitu andmeobjekti (DF, EF) saab salvestada?

76 KB EEPROM kokku, mida saab kasutada järgmisteks eesmärkideks

  • max. 150 x ECC-521 võtmed või

  • max. 300 x ECC/AES-256 võtmed või

  • max. 19 x RSA-4096 võtmed või

  • max. 38 x RSA-2048 võtmed

K: Mitu võtit ma saan salvestada?

Nitrokey HSM suudab salvestada 20 RSA-2048 ja 31 ECC-256 võtmepaari.

K: Kui kiire on krüpteerimine ja allkirjastamine?
  • Võtme genereerimine kaardil: RSA 2048: 2 minutis

  • Võtme genereerimine kaardil: ECC 256: 10 minutis.

  • Allkirja loomine kaardivälise hashiga: RSA 2048; 100 minutis

  • Allkirja loomine kaardivälise hashiga: ECDSA 256: 360 minutis

  • Allkirja loomine kaardil oleva SHA-256 ja 1 kb andmetega: RSA 2048; 68 minutis

  • Allkirja loomine kaardil oleva SHA-256 ja 1 kb andmetega: ECDSA 256: 125 minutis

K: Kuidas saab Nitrokey HSM 1 ja Nitrokey HSM 2 vahet teha?

Kasutage opensc-tool --list-algorithms<x> ja võrrelge alloleva tabeliga. Palun vaadake ka teda teemat, kus on esitatud teabelehti ja rohkem üksikasju.

K: Milliseid algoritme ja maksimaalset võtmepikkust toetatakse?

Vt järgmist tabelit:

Start

Pro + ladustamine

Pro 2 + Storage 2

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

K: Kuidas saan kasutada Nitrokey HSM-i tõelist juhusliku numbri generaatorit (TRNG) oma rakendustes?

Nitrokey HSMi saab kasutada koos Botan ja `TokenTools`_ga, kasutades OpenSC-diiverit PKCS#11.

OpenSSL ei saa kasutada Nitrokey HSM’s RNG-d otse, sest engine-pkcs11 ei sisalda OpenSSL-i jaoks C_GenerateRandom’i kaardistust.

K: Kui hea on juhusliku numbri generaator?

Nitrokey HSM kasutab JCOP 2.4.1r3 True Random Number Generator’i, mille kvaliteet on DRNG.2 (vastavalt BSI AIS 31-le).

K: Millist API-d ma saan kasutada?

OpenSC: OpenSC raamistiku jaoks on olemas põhjalikud juhised. OpenSC jaoks on olemas nitrotool kui mugavam frontend.

Manussüsteemid: Minimaalse mälumahuga süsteemide jaoks pakub sc-hsm-embedded projekt ainult lugemiseks mõeldud PKCS#11 moodulit. See PKCS#11-moodul on kasulik sellistes rakendustes, kus võtme genereerimine kasutaja töökohal ei ole vajalik. PKCS#11-moodul toetab ka peamisi Saksa turul saadaolevaid elektroonilisi allkirjastamiskaarte.

OpenSCDP: SmartCard-HSM on täielikult integreeritud avatud kiipkaardi arendusplatvormiga OpenSCDP. Vaata üksikasjad avaliku toe skriptidest. Olemasolevate võtmete importimiseks saate kasutada selle SCSH või NitroKeyWrapper’i.

K: Kas Nitrokey 3 on Common Criteria või FIPS sertifitseeritud?

Turvakontrolleri’riistvara ja operatsioonisüsteem on Common Criteria sertifitseeritud (Turvalisuse sihtmärk; HSM2 aruanne; Vt tema, klõpsake „ICs, Smart Cards and Smart Card-Related Devices and Systems“ ja otsige „NXP JCOP 3 P60“).

K: Kuidas importida olemasolevat võtit Nitrokey HSM-i?

Esiteks, seadistage oma Nitrokey HSM, et kasutada võtmete varundamist ja taastamist. Seejärel kasutage Smart Card Shell’i importimiseks. Kui teie võti on salvestatud Java võtmehoidlasse, võite selle asemel kasutada `NitroKeyWrapper.

K: Kuidas ma kaitsen oma pilveinfrastruktuuri/Kubernetes’i Nitrokey HSMiga?

Hashicorp Vault/Bank-Vault’i turvaliste võtmete lähenemine Nitrokey HSMile on leitav aadressil banzaicloud.com.

K: Kas ma saan Nitrokey HSM-i kasutada krüptovaluutadega?

J.v.d.Bosch kirjutas lihtsa, tasuta python programmi Bitcoini rahakoti privaatvõtme kaitsmiseks HSM-is. Tezos on teavitatud, et see töötab Nitrokey HSMiga.