Nitrokey HSM GYIK¶
- Q: Which Operating Systems are supported?
Windows, Linux és macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What is the maximum length of the PIN?
A Nitrokey jelszavak helyett PIN-kódokat használ. A fő különbség az, hogy a hardver háromra korlátozza a próbálkozások számát, míg a jelszavak esetében nincs ilyen korlát. Emiatt egy rövid PIN-kód még mindig biztonságos, és nem szükséges hosszú és összetett PIN-kódot választani.
A Nitrokey PIN-kódok legfeljebb 16 számjegy hosszúak lehetnek, és számokból, karakterekből és speciális karakterekből állhatnak. Megjegyzés: GnuPG vagy OpenSC használatakor 32 karakter hosszú PIN-kódok is használhatók, de a Nitrokey App nem támogatja őket.
- Q: What is the User PIN for?
A PIN-kód legalább 6 számjegyű, és a Nitrokey tartalmához való hozzáférésre szolgál. Ezt a PIN-kódot a mindennapi használat során gyakran fogja használni.
A PIN-kód legfeljebb 16 számjegyből és egyéb karakterekből (pl. betű- és speciális karakterek) állhat. Mivel azonban a PIN-kódot három rossz PIN-kódkísérlet után blokkolja a rendszer, elegendő biztonságot nyújt, ha csak 6 számjegyű PIN-kódot használ.
- Q: What is the SO PIN for?
The SO PIN is used in the Nitrokey HSM only and is something like a „master” PIN with special properties. Please read these instructions carefully to understand the SO PIN of the Nitrokey HSM.
Az SO PIN-kódnak pontosan 16 számjegyűnek kell lennie.
- Q: How many data objects (DF, EF) can be stored?
Összesen 76 KB EEPROM, amely a következőkhöz használható
max. 150 x ECC-521 billentyű vagy
max. 300 x ECC/AES-256 kulcs vagy
max. 19 x RSA-4096 kulcs vagy
max. 38 x RSA-2048 kulcs
- Q: How many keys can I store?
A Nitrokey HSM 20 RSA-2048 és 31 ECC-256 kulcspárt képes tárolni.
- Q: How fast is encryption and signing?
Kulcsgenerálás a kártyán: RSA 2048: 2 percenként
Kulcsgenerálás a kártyán: ECC 256: 10 percenként.
Aláírás létrehozása kártyán kívüli hash-val: RSA 2048; 100 percenként
Aláírás létrehozása kártyán kívüli hash-val: ECDSA 256: 360 percenként
Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: RSA 2048; 68 percenként
Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: ECDSA 256: 125 percenként
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Használja a
opensc-tool --list-algorithms
és hasonlítsa össze az alábbi táblázattal. Kérjük, tekintse meg a ezt a témát is a tényfeltáró táblázatokért és további részletekért.
- Q: Which algorithms and maximum key length are supported?
Lásd a következő táblázatot:
HSM
HSM 2
RSA 1024
✓
✓
RSA 2048
✓
✓
RSA 3072
✓
RSA 4096
✓
Curve25519
NIST-P 192
✓
NIST-P 256
✓
NIST-P 384-521
✓
Brainpool 192
✓
✓
Brainpool 256-320
✓
✓
Brainpool 384-521
✓
secp192k1
✓
✓
secp256k1
✓
✓
secp521k1
✓
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
A Nitrokey HSM használható a Botan és a TokenTools rendszerekkel az OpenSC PKCS#11 meghajtó használatával.
Az OpenSSL nem tudja közvetlenül használni a Nitrokey HSM-et, mert a engine-pkcs11 nem tartalmaz leképezést az OpenSSL-nek a C_GenerateRandomhoz.
- Q: How good is the Random Number Generator?
A Nitrokey HSM a JCOP 2.4.1r3 valódi véletlenszám-generátorát használja, amelynek minősége DRNG.2 (a német Szövetségi Információbiztonsági Hivatal (BSI) AIS 31 szerint).
- Q: Which API can I use?
OpenSC: Az OpenSC keretrendszerhez átfogó utasítások állnak rendelkezésre. Az OpenSC kényelmesebb frontendjeként létezik a nitrotool.
Beágyazott rendszerek: A minimális memóriaigényű rendszerek számára az sc-hsm-embedded projekt egy csak olvasható PKCS#11 modult biztosít. Ez a PKCS#11 modul olyan telepítéseknél hasznos, ahol nincs szükség kulcsgenerálásra a felhasználó munkahelyén. A PKCS#11 modul támogatja a német piacon kapható főbb elektronikus aláírási kártyákat is.
OpenSCDP: A SmartCard-HSM teljes mértékben integrálva van az OpenSCDP-vel, a nyílt intelligenskártya-fejlesztési platformmal. A részletekért lásd a nyilvános támogatási szkripteket. A meglévő kulcsok importálásához használhatja az SCSH vagy a NitroKeyWrapper programját.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
A biztonsági vezérlő (NXP JCOP 3 P60) az operációs rendszer szintjéig Common Criteria EAL 5+ tanúsítvánnyal rendelkezik.
- Q: How to import an existing key into the Nitrokey HSM?
Először is, ` állítsa be a Nitrokey HSM-et a kulcsok mentésének és visszaállításának használatára. Ezután használja a Smart Card Shell-t az importáláshoz. Ha a kulcsát egy Java kulcstárolóban tárolja, használhatja helyette a NitroKeyWrapper programot.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
A Hashicorp Vault/Bank-Vault biztonságos kulcsok Nitrokey HSM-en történő biztosításának megközelítése megtalálható a banzaicloud.com oldalon.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch írt egy egyszerű, ingyenes python programot a Bitcoin tárca privát kulcsának biztosítására egy HSM-ben. Tezos már `jelentették, hogy működik a Nitrokey HSM-mel.