FAQ sur le HSM de Nitrokey#

Q: Quels sont les systèmes d’exploitation pris en charge ?

Windows, Linux et macOS.

Q: A quoi peut me servir la Nitrokey ?

See the overview of supported use cases.

Q: Quelle est la longueur maximale du code PIN ?

Nitrokey utilise des codes PIN au lieu de mots de passe. La principale différence est que le matériel limite le nombre d’essais à trois, alors qu’il n’y a pas de limite pour les mots de passe. De ce fait, un code PIN court est toujours sûr et il n’est pas nécessaire de choisir un code PIN long et complexe.

Les PIN Nitrokey peuvent comporter jusqu’à 16 chiffres et peuvent être composés de chiffres, de caractères et de caractères spéciaux. Remarque : lorsque vous utilisez GnuPG ou OpenSC, vous pouvez utiliser des codes PIN de 32 caractères mais ils ne sont pas pris en charge par Nitrokey App.

Q: A quoi sert le code PIN de l’utilisateur ?

Le code PIN est composé d’au moins 6 chiffres et est utilisé pour accéder au contenu de la Nitrokey. Il s’agit du code PIN que vous utiliserez souvent dans votre vie quotidienne.

Le PIN peut comporter jusqu’à 16 chiffres et d’autres caractères (par exemple, des caractères alphabétiques et spéciaux). Mais comme le PIN est bloqué dès que trois tentatives de PIN erroné ont été effectuées, il est suffisamment sûr de n’avoir qu’un PIN à 6 chiffres.

Q: A quoi sert le code PIN SO ?

Le SO PIN est utilisé uniquement dans le Nitrokey HSM et est en quelque sorte un PIN « maître » avec des propriétés spéciales. Veuillez lire attentivement ces instructions pour comprendre le SO PIN du Nitrokey HSM.

Le code PIN du SO doit comporter exactement 16 chiffres.

Q: Combien d’objets de données (DF, EF) peuvent être stockés ?

76 KB EEPROM au total, qui peuvent être utilisés pour

  • max. 150 x clés ECC-521 ou

  • max. 300 x clés ECC/AES-256 ou

  • max. 19 x clés RSA-4096 ou

  • max. 38 x clés RSA-2048

Q: Combien de clés puis-je stocker ?

Le Nitrokey HSM peut stocker 20 paires de clés RSA-2048 et 31 paires de clés ECC-256.

Q: Quelle est la rapidité du cryptage et de la signature ?
  • Génération de clés sur la carte : RSA 2048 : 2 par minute

  • Génération de clés sur carte : ECC 256 : 10 par minute.

  • Création de signature avec hachage hors carte : RSA 2048 ; 100 par minute

  • Création de signature avec hachage hors carte : ECDSA 256 : 360 par minute

  • Création de signature avec SHA-256 sur la carte et 1 kb de données : RSA 2048 ; 68 par minute

  • Création de signature avec SHA-256 sur la carte et 1 kb de données : ECDSA 256 : 125 par minute

Q: Comment distinguer un Nitrokey HSM 1 d’un Nitrokey HSM 2 ?

Utilisez opensc-tool --list-algorithms et comparez avec le tableau ci-dessous. Veuillez également consulter cette discussion pour les fiches techniques et plus de détails.

Q: Quels algorithmes et quelle longueur maximale de clé sont pris en charge ?

Voir le tableau suivant :

Début

Pro + Storage

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Comment puis-je utiliser le générateur de nombres aléatoires (TRNG) du Nitrokey HSM pour mes applications ?

Nitrokey HSM peut être utilisé avec Botan et TokenTools en utilisant OpenSC comme pilote PKCS#11.

OpenSSL ne peut pas utiliser directement le RNG de Nitrokey HSM car engine-pkcs11 ne contient pas de mappage pour OpenSSL vers C_GenerateRandom.

Q: Quelle est la qualité du générateur de nombres aléatoires ?

Le Nitrokey HSM utilise le True Random Number Generator de JCOP 2.4.1r3 qui a une qualité de DRNG.2 (selon AIS 31 de l’Office fédéral allemand pour la sécurité de l’information, BSI).

Q: Quelle API puis-je utiliser ?

OpenSC : Des instructions complètes existent pour le framework OpenSC. Il y a nitrotool comme un frontal plus confortable pour OpenSC.

Systèmes embarqués : Pour les systèmes ayant une empreinte mémoire minimale, un module PKCS#11 en lecture seule est fourni par le projet sc-hsm-embedded. Ce module PKCS#11 est utile pour les déploiements où la génération de clés sur le lieu de travail de l’utilisateur n’est pas nécessaire. Le module PKCS#11 supporte également les principales cartes de signature électronique disponibles sur le marché allemand.

OpenSCDP : Le SmartCard-HSM est entièrement intégré à OpenSCDP, la plateforme ouverte de développement de cartes à puce. Voir les scripts de support public pour plus de détails. Pour importer des clés existantes, vous pouvez utiliser son SCSH ou NitroKeyWrapper.

Q: Le Nitrokey HSM 2 est-il certifié Critères communs ou FIPS ?

Le contrôleur de sécurité (NXP JCOP 3 P60) est certifié Critères Communs EAL 5+ jusqu’au niveau OS (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Comment importer une clé existante dans le Nitrokey HSM ?

Tout d’abord, configurez votre HSM Nitrokey pour utiliser la sauvegarde et la restauration des clés. Utilisez ensuite Smart Card Shell pour l’importation. Si votre clé est stockée dans un magasin de clés Java, vous pouvez utiliser NitroKeyWrapper à la place.

Q: Comment puis-je sécuriser mon infrastructure Cloud/Kubernetes avec le HSM de Nitrokey ?

Une approche pour sécuriser les clés pour Hashicorp Vault/Bank-Vault sur un HSM Nitrokey peut être trouvée à banzaicloud.com.

Q: Puis-je utiliser Nitrokey HSM avec des crypto-monnaies ?

J.v.d.Bosch a écrit un programme python simple et gratuit pour sécuriser la clé privée d’un portefeuille Bitcoin dans un HSM. Tezos a été reporté pour fonctionner avec le HSM Nitrokey.