Nitrokey HSM FAQ#

Q: Mitä käyttöjärjestelmiä tuetaan?

Windows, Linux ja macOS.

Q: Mihin voin käyttää Nitrokeyta?

Katso yleiskatsaus tuetuista käyttötapauksista.

Q: Mikä on PIN-koodin enimmäispituus?

Nitrokey käyttää PIN-koodeja salasanojen sijaan. Tärkein ero on se, että laitteisto rajoittaa kokeilujen määrän kolmeen, kun taas salasanoilla ei ole rajoitusta. Tämän vuoksi lyhyt PIN-koodi on silti turvallinen, eikä pitkää ja monimutkaista PIN-koodia tarvitse valita.

Nitrokey PIN-koodit voivat olla enintään 16-numeroisia, ja ne voivat koostua numeroista, kirjaimista ja erikoismerkeistä. Huomautus: GnuPG:tä tai OpenSC:tä käytettäessä voidaan käyttää 32 merkin pituisia PIN-koodeja, mutta Nitrokey App ei tue niitä.

Q: Mitä varten on käyttäjän PIN-koodi?

PIN-koodi on vähintään 6-numeroinen, ja sitä käytetään Nitrokey-avaimen sisällön käyttämiseen. Tätä PIN-koodia käytät paljon jokapäiväisessä käytössä.

PIN-koodissa voi olla enintään 16 numeroa ja muita merkkejä (esim. aakkos- ja erikoismerkkejä). Koska PIN-koodi kuitenkin estetään heti, kun kolme väärää PIN-koodiyritystä on tehty, on riittävän turvallista käyttää vain 6-numeroista PIN-koodia.

Q: Mitä varten on SO PIN-koodi?

SO PIN-koodia käytetään vain Nitrokey HSM:ssä, ja se on eräänlainen ”master” PIN-koodi, jolla on erityisominaisuuksia. Lue nämä ohjeet huolellisesti, jotta ymmärrät Nitrokey HSM:n SO PIN-koodin.

SO PIN-koodin on oltava täsmälleen 16-numeroinen.

Q: Kuinka monta tieto-objektia (DF, EF) voidaan tallentaa?

76 KB EEPROM-muistia yhteensä, jota voidaan käyttää seuraavasti

  • max. 150 x ECC-521-näppäintä tai

  • max. 300 x ECC/AES-256-avainta tai

  • max. 19 x RSA-4096-avainta tai

  • max. 38 x RSA-2048-avainta

Q: Kuinka monta avainta voin tallentaa?

Nitrokey HSM voi tallentaa 20 RSA-2048- ja 31 ECC-256-avainparia.

Q: Kuinka nopeasti salaus ja allekirjoitus toimii?
  • Avaimen luominen kortilla: RSA 2048: 2 minuutissa

  • Avaimen luominen kortilla: ECC 256: 10 minuutissa.

  • Allekirjoituksen luominen kortin ulkopuolisella hashilla: RSA 2048; 100 minuutissa

  • Allekirjoituksen luominen kortin ulkopuolisella hashilla: ECDSA 256: 360 minuutissa

  • Allekirjoituksen luominen kortilla olevalla SHA-256:lla ja 1 kb:n tiedoilla: RSA 2048; 68 minuutissa

  • Allekirjoituksen luominen kortilla olevalla SHA-256:lla ja 1 kb:n tiedoilla: ECDSA 256: 125 minuutissa

Q: Miten voin erottaa Nitrokey HSM 1:n Nitrokey HSM 2:sta?

Käytä opensc-tool --list-algorithms ja vertaa alla olevaan taulukkoon. Katso myös tämän viestiketjun tietosivut ja lisätietoja.

Q: Mitä algoritmeja ja avaimen enimmäispituutta tuetaan?

Katso seuraava taulukko:

Aloita

Pro + varastointi

Pro 2 + varastointi 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Miten voin käyttää Nitrokey HSM:n True Random Number Generatoria (TRNG) sovelluksissani?

Nitrokey HSM:ää voidaan käyttää Botan ja TokenTools kanssa käyttämällä OpenSC:tä PKCS#11-ajurina.

OpenSSL ei voi käyttää Nitrokey HSM:n RNG:tä suoraan, koska engine-pkcs11 ei sisällä OpenSSL:n ja C_GenerateRandom-yhteyden yhdistämistä.

Q: Kuinka hyvä satunnaislukugeneraattori on?

Nitrokey HSM käyttää JCOP 2.4.1r3:n True Random Number Generatoria, jonka laatu on DRNG.2 (Saksan liittovaltion tietoturvaviraston (BSI) AIS 31 mukaan).

Q: Mitä API:ta voin käyttää?

OpenSC: OpenSC-kehystä varten on olemassa kattavat ohjeet. Nitrotool on mukavampi etusivu OpenSC:lle.

Sulautetut järjestelmät: Järjestelmiä varten, joissa muistin tarve on minimaalinen, sc-hsm-embedded-projekti tarjoaa PKCS#11-moduulin, jossa on vain lukuoikeus. Tämä PKCS#11-moduuli on hyödyllinen käyttöönotossa, jossa avainten tuottaminen käyttäjän työpaikalla ei ole tarpeen. PKCS#11-moduuli tukee myös tärkeimpiä Saksan markkinoilla saatavilla olevia sähköisiä allekirjoituskortteja.

OpenSCDP: SmartCard-HSM on täysin integroitu OpenSCDP:hen, joka on avoin älykorttien kehitysalusta. Katso lisätietoja julkisista tukikirjoituksista. Olemassa olevien avainten tuomiseen voit käyttää sen SCSH- tai NitroKeyWrapper-ohjelmia.

Q: Onko Nitrokey 3 Common Criteria- tai FIPS-sertifioitu?

Suojausohjain (NXP JCOP 3 P60) on sertifioitu Common Criteria EAL 5+ -sertifikaatilla käyttöjärjestelmätasolle asti (Sertifikaatti, `Sertifiointiraportti <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Turvakohde, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Miten tuoda olemassa oleva avain Nitrokey HSM:ään?

Määritä ensin Nitrokey HSM:n asetukset avainten varmuuskopiointia ja palauttamista varten. Käytä sitten Smart Card Shelliä tuontiin. Jos avaimesi on tallennettu Java-avainvarastoon, voit sen sijaan käyttää NitroKeyWrapper.

Q: Miten voin suojata pilvipalveluinfrastruktuurini/Kubernetesin Nitrokey HSM:llä?

Lähestymistapa Hashicorp Vault/Bank-Vaultin avainten suojaamiseen Nitrokey HSM:llä löytyy osoitteesta banzaicloud.com.

Q: Voinko käyttää Nitrokey HSM:ää kryptovaluuttojen kanssa?

J.v.d.Bosch kirjoitti yksinkertaisen, ilmaisen python ohjelman Bitcoin-lompakon yksityisen avaimen suojaamiseksi HSM:ssä. Tezos on raportoitu toimivan Nitrokey HSM:n kanssa.