Nitrokey HSM FAQ

Q: Which Operating Systems are supported?

Windows, Linux ja macOS.

Q: What can I use the Nitrokey for?

See the overview of supported use cases.

Q: What is the maximum length of the PIN?

Nitrokey käyttää PIN-koodeja salasanojen sijaan. Tärkein ero on se, että laitteisto rajoittaa kokeilujen määrän kolmeen, kun taas salasanoilla ei ole rajoitusta. Tämän vuoksi lyhyt PIN-koodi on silti turvallinen, eikä pitkää ja monimutkaista PIN-koodia tarvitse valita.

Nitrokey PIN-koodit voivat olla enintään 16-numeroisia ja koostua numeroista, kirjaimista ja erikoismerkeistä. Huomautus: GnuPG:tä tai OpenSC:tä käytettäessä voidaan käyttää 32 merkin pituisia PIN-koodeja, mutta Nitrokey App ei tue niitä.

Q: What is the User PIN for?

PIN-koodi on vähintään 6-numeroinen, ja sitä käytetään Nitrokey-avaimen sisällön käyttämiseen. Tätä PIN-koodia käytät paljon jokapäiväisessä käytössä.

PIN-koodissa voi olla enintään 16 numeroa ja muita merkkejä (esim. aakkos- ja erikoismerkkejä). Koska PIN-koodi kuitenkin estetään heti, kun kolme väärää PIN-koodiyritystä on tehty, on riittävän turvallista käyttää vain 6-numeroista PIN-koodia.

Q: What is the SO PIN for?

The SO PIN is used in the Nitrokey HSM only and is something like a ”master” PIN with special properties. Please read these instructions carefully to understand the SO PIN of the Nitrokey HSM.

SO PIN-koodin on oltava täsmälleen 16-numeroinen.

Q: How many data objects (DF, EF) can be stored?

76 KB EEPROM-muistia yhteensä, jota voidaan käyttää seuraavasti

  • max. 150 x ECC-521-näppäintä tai

  • max. 300 x ECC/AES-256-avainta tai

  • max. 19 x RSA-4096-avainta tai

  • max. 38 x RSA-2048-avainta

Q: How many keys can I store?

Nitrokey HSM voi tallentaa 20 RSA-2048- ja 31 ECC-256-avainparia.

Q: How fast is encryption and signing?

  • Avaimen luominen kortilla: RSA 2048: 2 minuutissa

  • Avaimen luominen kortilla: ECC 256: 10 minuutissa.

  • Allekirjoituksen luominen kortin ulkopuolisella hashilla: RSA 2048; 100 minuutissa

  • Allekirjoituksen luominen kortin ulkopuolisella hashilla: ECDSA 256: 360 minuutissa

  • Allekirjoituksen luominen kortilla olevalla SHA-256:lla ja 1 kb:n tiedoilla: RSA 2048; 68 minuutissa

  • Allekirjoituksen luominen kortilla olevalla SHA-256:lla ja 1 kb:n tiedoilla: ECDSA 256: 125 minuutissa

Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?

Käytä opensc-tool --list-algorithms ja vertaa alla olevaan taulukkoon. Katso myös tämässä viestiketjussa olevat tietosivut ja lisätietoja.

Q: Which algorithms and maximum key length are supported?

Katso seuraava taulukko:

HSM

HSM 2

RSA 1024

RSA 2048

RSA 3072

RSA 4096

Curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192k1

secp256k1

secp521k1

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?

Nitrokey HSM:ää voidaan käyttää Botan ja TokenTools kanssa käyttämällä OpenSC:tä PKCS#11-ajurina.

OpenSSL ei voi käyttää Nitrokey HSM:n RNG:tä suoraan, koska engine-pkcs11 ei sisällä OpenSSL:n ja C_GenerateRandom-yhteyden yhdistämistä.

Q: How good is the Random Number Generator?

Nitrokey HSM käyttää JCOP 2.4.1r3:n True Random Number Generatoria, jonka laatu on DRNG.2 (Saksan liittovaltion tietoturvaviraston (BSI) AIS 31 mukaan).

Q: Which API can I use?

OpenSC: OpenSC-kehystä varten on olemassa kattavat ohjeet. Nitrotool on mukavampi etusovellus OpenSC:lle.

Sulautetut järjestelmät: Järjestelmiä varten, joissa muistin tarve on minimaalinen, sc-hsm-embedded-projekti tarjoaa PKCS#11-moduulin, jossa on vain lukuoikeus. Tämä PKCS#11-moduuli on hyödyllinen käyttöönotossa, jossa avainten tuottaminen käyttäjän työpaikalla ei ole tarpeen. PKCS#11-moduuli tukee myös tärkeimpiä Saksan markkinoilla saatavilla olevia sähköisiä allekirjoituskortteja.

OpenSCDP: SmartCard-HSM on täysin integroitu OpenSCDP:hen, joka on avoin älykorttien kehitysalusta. Katso lisätietoja julkisista tukikirjoituksista. Olemassa olevien avainten tuomiseen voit käyttää sen SCSH- tai NitroKeyWrapper-ohjelmia.

Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?

Tietoturvaohjain (NXP JCOP 3 P60) on Common Criteria EAL 5+ -sertifioitu käyttöjärjestelmätasolle asti.

Q: How to import an existing key into the Nitrokey HSM?

Määritä ensin Nitrokey HSM:n asetukset avainten varmuuskopiointia ja palauttamista varten. Käytä sitten Smart Card Shelliä tuontiin. Jos avaimesi on tallennettu Java-avainvarastoon, voit sen sijaan käyttää NitroKeyWrapper.

Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?

Lähestymistapa Hashicorp Vault/Bank-Vaultin avainten suojaamiseen Nitrokey HSM:llä löytyy osoitteesta banzaicloud.com.

Q: Can I use Nitrokey HSM with cryptocurrencies?

J.v.d.Bosch kirjoitti yksinkertaisen, ilmaisen python ohjelman Bitcoin-lompakon yksityisen avaimen suojaamiseksi HSM:ssä. Tezos on raportoitu toimivan Nitrokey HSM:n kanssa.