FAQ sur le HSM de Nitrokey¶
- Q: Which Operating Systems are supported?
Windows, Linux et macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What is the maximum length of the PIN?
Nitrokey utilise des codes PIN au lieu de mots de passe. La principale différence est que le matériel limite le nombre d’essais à trois, alors qu’il n’y a pas de limite pour les mots de passe. De ce fait, un code PIN court est toujours sûr et il n’est pas nécessaire de choisir un code PIN long et complexe.
Les PIN Nitrokey peuvent comporter jusqu’à 16 chiffres et peuvent être composés de chiffres, de caractères et de caractères spéciaux. Remarque : lorsque vous utilisez GnuPG ou OpenSC, vous pouvez utiliser des codes PIN de 32 caractères mais ils ne sont pas pris en charge par Nitrokey App.
- Q: What is the User PIN for?
Le code PIN est composé d’au moins 6 chiffres et est utilisé pour accéder au contenu de la Nitrokey. Il s’agit du code PIN que vous utiliserez souvent dans votre vie quotidienne.
Le PIN peut comporter jusqu’à 16 chiffres et d’autres caractères (par exemple, des caractères alphabétiques et spéciaux). Mais comme le PIN est bloqué dès que trois tentatives de PIN erroné ont été effectuées, il est suffisamment sûr de n’avoir qu’un PIN à 6 chiffres.
- Q: What is the SO PIN for?
Le SO PIN est utilisé uniquement dans le Nitrokey HSM et est en quelque sorte un PIN « maître » avec des propriétés spéciales. Veuillez lire attentivement ces instructions pour comprendre le SO PIN du Nitrokey HSM.
Le code PIN du SO doit comporter exactement 16 chiffres.
- Q: How many data objects (DF, EF) can be stored?
76 KB EEPROM au total, qui peuvent être utilisés pour
max. 150 x clés ECC-521 ou
max. 300 x clés ECC/AES-256 ou
max. 19 x clés RSA-4096 ou
max. 38 x clés RSA-2048
- Q: How many keys can I store?
Le Nitrokey HSM peut stocker 20 paires de clés RSA-2048 et 31 paires de clés ECC-256.
- Q: How fast is encryption and signing?
Génération de clés sur la carte : RSA 2048 : 2 par minute
Génération de clés sur carte : ECC 256 : 10 par minute.
Création de signature avec hachage hors carte : RSA 2048 ; 100 par minute
Création de signature avec hachage hors carte : ECDSA 256 : 360 par minute
Création de signature avec SHA-256 sur la carte et 1 kb de données : RSA 2048 ; 68 par minute
Création de signature avec SHA-256 sur la carte et 1 kb de données : ECDSA 256 : 125 par minute
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Utilisez
opensc-tool --list-algorithmset comparez avec le tableau ci-dessous. Veuillez également consulter cette discussion pour les fiches techniques et plus de détails.
- Q: Which algorithms and maximum key length are supported?
Voir le tableau suivant :
Début |
Pro + Storage |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM peut être utilisé avec Botan et TokenTools en utilisant OpenSC comme pilote PKCS#11.
OpenSSL ne peut pas utiliser directement le RNG de Nitrokey HSM car engine-pkcs11 ne contient pas de mappage pour OpenSSL vers C_GenerateRandom.
- Q: How good is the Random Number Generator?
Le Nitrokey HSM utilise le True Random Number Generator de JCOP 2.4.1r3 qui a une qualité de DRNG.2 (selon AIS 31 de l’Office fédéral allemand pour la sécurité de l’information, BSI).
- Q: Which API can I use?
OpenSC : Des instructions complètes existent pour le framework OpenSC. Il y a nitrotool comme un frontal plus confortable pour OpenSC.
Systèmes embarqués : Pour les systèmes ayant une empreinte mémoire minimale, un module PKCS#11 en lecture seule est fourni par le projet sc-hsm-embedded. Ce module PKCS#11 est utile pour les déploiements où la génération de clés sur le lieu de travail de l’utilisateur n’est pas nécessaire. Le module PKCS#11 supporte également les principales cartes de signature électronique disponibles sur le marché allemand.
OpenSCDP : Le SmartCard-HSM est entièrement intégré à OpenSCDP, la plateforme ouverte de développement de cartes à puce. Voir les scripts de support public pour plus de détails. Pour importer des clés existantes, vous pouvez utiliser son SCSH ou NitroKeyWrapper.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
Le contrôleur de sécurité (NXP JCOP 3 P60) est certifié Critères Communs EAL 5+ jusqu’au niveau OS (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
Tout d’abord, configurez votre HSM Nitrokey pour utiliser la sauvegarde et la restauration des clés. Utilisez ensuite Smart Card Shell pour l’importation. Si votre clé est stockée dans un magasin de clés Java, vous pouvez utiliser NitroKeyWrapper à la place.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
Une approche pour sécuriser les clés pour Hashicorp Vault/Bank-Vault sur un HSM Nitrokey peut être trouvée à banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch a écrit un programme python simple et gratuit pour sécuriser la clé privée d’un portefeuille Bitcoin dans un HSM. Tezos a été reporté pour fonctionner avec le HSM Nitrokey.