Nitrokey HSM KKK#
- K: Milliseid operatsioonisüsteeme toetatakse?
Windows, Linux ja macOS.
- K: Milleks ma saan Nitrokey’t kasutada?
Vt `ülevaade toetatud kasutusjuhtumitest.
- K: Milline on PIN-koodi maksimaalne pikkus?
Nitrokey kasutab paroolide asemel PIN-koode. Peamine erinevus seisneb selles, et riistvara piirab katsete arvu kolmele, samas kui paroolide puhul piirangut ei ole. Selle tõttu on lühike PIN-kood endiselt turvaline ning ei ole vaja valida pikka ja keerulist PIN-koodi.
Nitrokey PIN-koodid võivad olla kuni 16-kohalised ja koosneda numbritest, tähemärkidest ja erimärkidest. Märkus: GnuPG või OpenSC kasutamisel saab kasutada 32 tähemärgi pikkuseid PIN-koode, kuid Nitrokey App ei toeta neid.
- K: Milleks on kasutaja PIN-kood?
PIN-kood on vähemalt 6-kohaline ja seda kasutatakse Nitrokey sisule juurdepääsu saamiseks. Seda PIN-koodi kasutate igapäevaselt palju.
PIN-kood võib sisaldada kuni 16 numbrit ja muid sümboleid (nt tähestikku ja erimärke). Kuid kuna PIN-kood blokeeritakse kohe, kui on tehtud kolm vale PIN-koodi katset, on piisavalt turvaline kasutada ainult 6-kohalist PIN-koodi.
- K: Milleks on SO PIN-kood?
SO PIN-koodi kasutatakse ainult Nitrokey HSMis ja see on midagi sellist nagu „master“ PIN-kood, millel on eriomadused. Palun lugege tähelepanelikult seda juhendit, et mõista Nitrokey HSM-i SO PIN-koodi.
SO PIN-kood peab olema täpselt 16-kohaline.
- K: Mitu andmeobjekti (DF, EF) saab salvestada?
76 KB EEPROM kokku, mida saab kasutada järgmisteks eesmärkideks
max. 150 x ECC-521 võtmed või
max. 300 x ECC/AES-256 võtmed või
max. 19 x RSA-4096 võtmed või
max. 38 x RSA-2048 võtmed
- K: Mitu võtit ma saan salvestada?
Nitrokey HSM suudab salvestada 20 RSA-2048 ja 31 ECC-256 võtmepaari.
- K: Kui kiire on krüpteerimine ja allkirjastamine?
Võtme genereerimine kaardil: RSA 2048: 2 minutis
Võtme genereerimine kaardil: ECC 256: 10 minutis.
Allkirja loomine kaardivälise hashiga: RSA 2048; 100 minutis
Allkirja loomine kaardivälise hashiga: ECDSA 256: 360 minutis
Allkirja loomine kaardil oleva SHA-256 ja 1 kb andmetega: RSA 2048; 68 minutis
Allkirja loomine kaardil oleva SHA-256 ja 1 kb andmetega: ECDSA 256: 125 minutis
- K: Kuidas saab Nitrokey HSM 1 ja Nitrokey HSM 2 vahet teha?
Kasutage
opensc-tool --list-algorithms<x>
ja võrrelge allpool esitatud tabeliga. Palun vaadake ka teda teemat, kus on esitatud teabelehti ja rohkem üksikasju.
- K: Milliseid algoritme ja maksimaalset võtmepikkust toetatakse?
Vt järgmist tabelit:
Start |
Pro + ladustamine |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- K: Kuidas saan kasutada Nitrokey HSM-i tõelist juhusliku numbri generaatorit (TRNG) oma rakendustes?
Nitrokey HSMi saab kasutada koos Botan ja `TokenTools`_ga, kasutades OpenSC-diiverit PKCS#11.
OpenSSL ei saa kasutada Nitrokey HSM’s RNG otse, sest engine-pkcs11 ei sisalda OpenSSL-i jaoks C_GenerateRandom’ile vastavust.
- K: Kui hea on juhusliku numbri generaator?
Nitrokey HSM kasutab JCOP 2.4.1r3 True Random Number Generator’i, mille kvaliteet on DRNG.2 (vastavalt AIS 31 Saksamaa infoturbeameti (BSI) andmetele).
- K: Millist API-d ma saan kasutada?
OpenSC: OpenSC raamistiku jaoks on olemas põhjalikud juhised. OpenSC jaoks on olemas nitrotool kui mugavam frontend.
Manussüsteemid: Minimaalse mälumahuga süsteemide jaoks pakub sc-hsm-embedded projekt ainult lugemiseks mõeldud PKCS#11 moodulit. See PKCS#11-moodul on kasulik sellistes rakendustes, kus võtme genereerimine kasutaja töökohal ei ole vajalik. PKCS#11-moodul toetab ka peamisi Saksa turul saadaolevaid elektroonilisi allkirjastamiskaarte.
OpenSCDP: SmartCard-HSM on täielikult integreeritud avatud kiipkaardi arendusplatvormiga OpenSCDP. Vaata üksikasjad avaliku toe skriptidest. Olemasolevate võtmete importimiseks saate kasutada selle SCSH või NitroKeyWrapper’i.
- K: Kas Nitrokey 3 on Common Criteria või FIPS sertifitseeritud?
Turvakontroller (NXP JCOP 3 P60) on Common Criteria EAL 5+ sertifitseeritud kuni operatsioonisüsteemi tasemeni (sertifikaat, `sertifitseerimisaruanne <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, turvaeesmärk, Java Card System Protection Profile Open Configuration, Version 3.0).
- K: Kuidas importida olemasolevat võtit Nitrokey HSM-i?
- K: Kuidas ma kaitsen oma pilveinfrastruktuuri/Kubernetes’i Nitrokey HSMiga?
Hashicorp Vault/Bank-Vault’i turvaliste võtmete lähenemine Nitrokey HSMile on leitav aadressil banzaicloud.com.
- K: Kas ma saan Nitrokey HSM-i kasutada krüptovaluutadega?
J.v.d.Bosch kirjutas lihtsa, tasuta python programmi Bitcoini rahakoti privaatvõtme kaitsmiseks HSM-is. Tezos on teavitatud, et see töötab Nitrokey HSMiga.