Nitrokey HSM GYIK

Q: Which Operating Systems are supported?

Windows, Linux és macOS.

Q: What can I use the Nitrokey for?

See the overview of supported use cases.

Q: What is the maximum length of the PIN?

A Nitrokey jelszavak helyett PIN-kódokat használ. A fő különbség az, hogy a hardver háromra korlátozza a próbálkozások számát, míg a jelszavak esetében nincs ilyen korlát. Emiatt egy rövid PIN-kód még mindig biztonságos, és nem szükséges hosszú és összetett PIN-kódot választani.

A Nitrokey PIN-kódok legfeljebb 16 számjegy hosszúak lehetnek, és számokból, karakterekből és speciális karakterekből állhatnak. Megjegyzés: GnuPG vagy OpenSC használatakor 32 karakter hosszú PIN-kódok is használhatók, de a Nitrokey App nem támogatja őket.

Q: What is the User PIN for?

A PIN-kód legalább 6 számjegyű, és a Nitrokey tartalmához való hozzáférésre szolgál. Ezt a PIN-kódot a mindennapi használat során gyakran fogja használni.

A PIN-kód legfeljebb 16 számjegyből és egyéb karakterekből (pl. betű- és speciális karakterek) állhat. Mivel azonban a PIN-kódot három rossz PIN-kódkísérlet után blokkolja a rendszer, elegendő biztonságot nyújt, ha csak 6 számjegyű PIN-kódot használ.

Q: What is the SO PIN for?

The SO PIN is used in the Nitrokey HSM only and is something like a „master” PIN with special properties. Please read these instructions carefully to understand the SO PIN of the Nitrokey HSM.

Az SO PIN-kódnak pontosan 16 számjegyűnek kell lennie.

Q: How many data objects (DF, EF) can be stored?

Összesen 76 KB EEPROM, amely a következőkhöz használható

  • max. 150 x ECC-521 billentyű vagy

  • max. 300 x ECC/AES-256 kulcs vagy

  • max. 19 x RSA-4096 kulcs vagy

  • max. 38 x RSA-2048 kulcs

Q: How many keys can I store?

A Nitrokey HSM 20 RSA-2048 és 31 ECC-256 kulcspárt képes tárolni.

Q: How fast is encryption and signing?

  • Kulcsgenerálás a kártyán: RSA 2048: 2 percenként

  • Kulcsgenerálás a kártyán: ECC 256: 10 percenként.

  • Aláírás létrehozása kártyán kívüli hash-val: RSA 2048; 100 percenként

  • Aláírás létrehozása kártyán kívüli hash-val: ECDSA 256: 360 percenként

  • Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: RSA 2048; 68 percenként

  • Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: ECDSA 256: 125 percenként

Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?

Használja a opensc-tool --list-algorithms és hasonlítsa össze az alábbi táblázattal. Kérjük, tekintse meg a ezt a témát is a tényfeltáró táblázatokért és további részletekért.

Q: Which algorithms and maximum key length are supported?

Lásd a következő táblázatot:

HSM

HSM 2

RSA 1024

RSA 2048

RSA 3072

RSA 4096

Curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192k1

secp256k1

secp521k1

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?

A Nitrokey HSM használható a Botan és a TokenTools rendszerekkel az OpenSC PKCS#11 meghajtó használatával.

Az OpenSSL nem tudja közvetlenül használni a Nitrokey HSM-et, mert a engine-pkcs11 nem tartalmaz leképezést az OpenSSL-nek a C_GenerateRandomhoz.

Q: How good is the Random Number Generator?

A Nitrokey HSM a JCOP 2.4.1r3 valódi véletlenszám-generátorát használja, amelynek minősége DRNG.2 (a német Szövetségi Információbiztonsági Hivatal (BSI) AIS 31 szerint).

Q: Which API can I use?

OpenSC: Az OpenSC keretrendszerhez átfogó utasítások állnak rendelkezésre. Az OpenSC kényelmesebb frontendjeként létezik a nitrotool.

Beágyazott rendszerek: A minimális memóriaigényű rendszerek számára az sc-hsm-embedded projekt egy csak olvasható PKCS#11 modult biztosít. Ez a PKCS#11 modul olyan telepítéseknél hasznos, ahol nincs szükség kulcsgenerálásra a felhasználó munkahelyén. A PKCS#11 modul támogatja a német piacon kapható főbb elektronikus aláírási kártyákat is.

OpenSCDP: A SmartCard-HSM teljes mértékben integrálva van az OpenSCDP-vel, a nyílt intelligenskártya-fejlesztési platformmal. A részletekért lásd a nyilvános támogatási szkripteket. A meglévő kulcsok importálásához használhatja az SCSH vagy a NitroKeyWrapper programját.

Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?

A biztonsági vezérlő (NXP JCOP 3 P60) az operációs rendszer szintjéig Common Criteria EAL 5+ tanúsítvánnyal rendelkezik.

Q: How to import an existing key into the Nitrokey HSM?

Először is, ` állítsa be a Nitrokey HSM-et a kulcsok mentésének és visszaállításának használatára. Ezután használja a Smart Card Shell-t az importáláshoz. Ha a kulcsát egy Java kulcstárolóban tárolja, használhatja helyette a NitroKeyWrapper programot.

Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?

A Hashicorp Vault/Bank-Vault biztonságos kulcsok Nitrokey HSM-en történő biztosításának megközelítése megtalálható a banzaicloud.com oldalon.

Q: Can I use Nitrokey HSM with cryptocurrencies?

J.v.d.Bosch írt egy egyszerű, ingyenes python programot a Bitcoin tárca privát kulcsának biztosítására egy HSM-ben. Tezos már `jelentették, hogy működik a Nitrokey HSM-mel.