Nitrokey HSM FAQ¶
- Q: Mitä käyttöjärjestelmiä tuetaan?
Windows, Linux ja macOS.
- Q: Mihin voin käyttää Nitrokeyta?
Katso overview tuetuista käyttötapauksista.
- Q: Mikä on PIN-koodin enimmäispituus?
Nitrokey käyttää PIN-koodeja salasanojen sijaan. Tärkein ero on se, että laitteisto rajoittaa kokeilujen määrän kolmeen, kun taas salasanoilla ei ole rajoitusta. Tämän vuoksi lyhyt PIN-koodi on silti turvallinen, eikä pitkää ja monimutkaista PIN-koodia tarvitse valita.
Nitrokey PIN-koodit voivat olla enintään 16-numeroisia ja koostua numeroista, kirjaimista ja erikoismerkeistä. Huomautus: GnuPG:tä tai OpenSC:tä käytettäessä voidaan käyttää 32 merkin pituisia PIN-koodeja, mutta Nitrokey App ei tue niitä.
- Q: Mitä varten on käyttäjän PIN-koodi?
PIN-koodi on vähintään 6-numeroinen, ja sitä käytetään Nitrokey-avaimen sisällön käyttämiseen. Tätä PIN-koodia käytät paljon jokapäiväisessä käytössä.
PIN-koodissa voi olla enintään 16 numeroa ja muita merkkejä (esim. aakkos- ja erikoismerkkejä). Koska PIN-koodi kuitenkin estetään heti, kun kolme väärää PIN-koodiyritystä on tehty, on riittävän turvallista käyttää vain 6-numeroista PIN-koodia.
- Q: Mitä varten on SO PIN-koodi?
SO PIN-koodia käytetään vain Nitrokey HSM:ssä, ja se on eräänlainen ”master” PIN-koodi, jolla on erityisominaisuuksia. Lue nämä ohjeet huolellisesti, jotta ymmärrät Nitrokey HSM:n SO PIN-koodin.
SO PIN-koodin on oltava täsmälleen 16-numeroinen.
- Q: Kuinka monta tieto-objektia (DF, EF) voidaan tallentaa?
76 KB EEPROM-muistia yhteensä, jota voidaan käyttää seuraavasti
max. 150 x ECC-521-näppäintä tai
max. 300 x ECC/AES-256-avainta tai
max. 19 x RSA-4096-avainta tai
max. 38 x RSA-2048-avainta
- Q: Kuinka monta avainta voin tallentaa?
Nitrokey HSM voi tallentaa 20 RSA-2048- ja 31 ECC-256-avainparia.
- Q: Kuinka nopeasti salaus ja allekirjoitus toimii?
Avaimen luominen kortilla: RSA 2048: 2 minuutissa
Avaimen luominen kortilla: ECC 256: 10 minuutissa.
Allekirjoituksen luominen kortin ulkopuolisella hashilla: RSA 2048; 100 minuutissa
Allekirjoituksen luominen kortin ulkopuolisella hashilla: ECDSA 256: 360 minuutissa
Allekirjoituksen luominen kortilla olevalla SHA-256:lla ja 1 kb:n tiedoilla: RSA 2048; 68 minuutissa
Allekirjoituksen luominen kortilla olevalla SHA-256:lla ja 1 kb:n tiedoilla: ECDSA 256: 125 minuutissa
- Q: Miten voin erottaa Nitrokey HSM 1:n Nitrokey HSM 2:sta?
Käytä
opensc-tool --list-algorithmsja vertaa alla olevaan taulukkoon. Katso myös tämässä viestiketjussa olevat tietosivut ja lisätietoja.
- Q: Mitä algoritmeja ja avaimen enimmäispituutta tuetaan?
Katso seuraava taulukko:
Aloita |
Pro + varastointi |
Pro 2 + varastointi 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Miten voin käyttää Nitrokey HSM:n True Random Number Generatoria (TRNG) sovelluksissani?
Nitrokey HSM:ää voidaan käyttää Botan ja TokenTools kanssa käyttämällä OpenSC:tä PKCS#11-ajurina.
OpenSSL ei voi käyttää Nitrokey HSM:n RNG:tä suoraan, koska engine-pkcs11 ei sisällä OpenSSL:n ja C_GenerateRandom-yhteyden yhdistämistä.
- Q: Kuinka hyvä satunnaislukugeneraattori on?
Nitrokey HSM käyttää JCOP 2.4.1r3:n True Random Number Generatoria, jonka laatu on DRNG.2 (Saksan liittovaltion tietoturvaviraston (BSI) AIS 31 mukaan).
- Q: Mitä API:ta voin käyttää?
OpenSC: OpenSC-kehystä varten on olemassa kattavat ohjeet. Nitrotool on mukavampi etusovellus OpenSC:lle.
Sulautetut järjestelmät: Järjestelmiä varten, joissa muistin tarve on minimaalinen, sc-hsm-embedded-projekti tarjoaa PKCS#11-moduulin, jossa on vain lukuoikeus. Tämä PKCS#11-moduuli on hyödyllinen käyttöönotossa, jossa avainten tuottaminen käyttäjän työpaikalla ei ole tarpeen. PKCS#11-moduuli tukee myös tärkeimpiä Saksan markkinoilla saatavilla olevia sähköisiä allekirjoituskortteja.
OpenSCDP: SmartCard-HSM on täysin integroitu OpenSCDP:hen, joka on avoin älykorttien kehitysalusta. Katso lisätietoja julkisista tukikirjoituksista. Olemassa olevien avainten tuomiseen voit käyttää sen SCSH- tai NitroKeyWrapper-ohjelmia.
- Q: Onko Nitrokey 3 Common Criteria- tai FIPS-sertifioitu?
Suojausohjain (NXP JCOP 3 P60) on sertifioitu Common Criteria EAL 5+ -sertifikaatilla käyttöjärjestelmätasolle asti (Sertifikaatti, `Sertifiointiraportti <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Turvakohde, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: Miten tuoda olemassa oleva avain Nitrokey HSM:ään?
Määritä ensin Nitrokey HSM:n asetukset avainten varmuuskopiointia ja palauttamista varten. Käytä sitten Smart Card Shelliä tuontiin. Jos avaimesi on tallennettu Java-avainvarastoon, voit sen sijaan käyttää NitroKeyWrapper.
- Q: Miten voin suojata pilvipalveluinfrastruktuurini/Kubernetesin Nitrokey HSM:llä?
Lähestymistapa Hashicorp Vault/Bank-Vaultin avainten suojaamiseen Nitrokey HSM:llä löytyy osoitteesta banzaicloud.com.
- Q: Voinko käyttää Nitrokey HSM:ää kryptovaluuttojen kanssa?
J.v.d.Bosch kirjoitti yksinkertaisen, ilmaisen python ohjelman Bitcoin-lompakon yksityisen avaimen suojaamiseksi HSM:ssä. Tezos on raportoitu toimivan Nitrokey HSM:n kanssa.