Nitrokey HSM GYIK¶
- Q: Which Operating Systems are supported?
Windows, Linux és macOS.
- Q: What can I use the Nitrokey for?
A támogatott felhasználási esetekről lásd a áttekintést.
- Q: What is the maximum length of the PIN?
A Nitrokey jelszavak helyett PIN-kódokat használ. A fő különbség az, hogy a hardver háromra korlátozza a próbálkozások számát, míg a jelszavak esetében nincs ilyen korlát. Emiatt egy rövid PIN-kód még mindig biztonságos, és nem szükséges hosszú és összetett PIN-kódot választani.
A Nitrokey PIN-kódok legfeljebb 16 számjegy hosszúak lehetnek, és számokból, karakterekből és speciális karakterekből állhatnak. Megjegyzés: GnuPG vagy OpenSC használatakor 32 karakter hosszú PIN-kódok is használhatók, de a Nitrokey App nem támogatja őket.
- Q: What is the User PIN for?
A PIN-kód legalább 6 számjegyű, és a Nitrokey tartalmához való hozzáférésre szolgál. Ezt a PIN-kódot a mindennapi használat során gyakran fogja használni.
A PIN-kód legfeljebb 16 számjegyből és egyéb karakterekből (pl. betű- és speciális karakterek) állhat. Mivel azonban a PIN-kódot három rossz PIN-kódkísérlet után blokkolja a rendszer, elegendő biztonságot nyújt, ha csak 6 számjegyű PIN-kódot használ.
- Q: What is the SO PIN for?
Az SO PIN csak a Nitrokey HSM-ben használatos, és olyan, mint egy „master” PIN különleges tulajdonságokkal. Kérjük, olvassa el figyelmesen ezt az útmutatót, hogy megértse a Nitrokey HSM SO PIN-kódját.
Az SO PIN-kódnak pontosan 16 számjegyűnek kell lennie.
- Q: How many data objects (DF, EF) can be stored?
Összesen 76 KB EEPROM, amely a következőkhöz használható
max. 150 x ECC-521 billentyű vagy
max. 300 x ECC/AES-256 kulcs vagy
max. 19 x RSA-4096 kulcs vagy
max. 38 x RSA-2048 kulcs
- Q: How many keys can I store?
A Nitrokey HSM 20 RSA-2048 és 31 ECC-256 kulcspárt képes tárolni.
- Q: How fast is encryption and signing?
Kulcsgenerálás a kártyán: RSA 2048: 2 percenként
Kulcsgenerálás a kártyán: ECC 256: 10 percenként.
Aláírás létrehozása kártyán kívüli hash-val: RSA 2048; 100 percenként
Aláírás létrehozása kártyán kívüli hash-val: ECDSA 256: 360 percenként
Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: RSA 2048; 68 percenként
Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: ECDSA 256: 125 percenként
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Használja a
opensc-tool --list-algorithmsés hasonlítsa össze az alábbi táblázattal. Kérjük, tekintse meg a ezt a témát is a tényfeltáró táblázatokért és további részletekért.
- Q: Which algorithms and maximum key length are supported?
Lásd a következő táblázatot:
Indítsa el a oldalt. |
Pro + tárolás |
Pro 2 + tároló 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
A Nitrokey HSM használható a Botan és a TokenTools rendszerekkel az OpenSC PKCS#11 meghajtó használatával.
Az OpenSSL nem tudja közvetlenül használni a Nitrokey HSM-et, mert a engine-pkcs11 nem tartalmaz leképezést az OpenSSL-nek a C_GenerateRandomhoz.
- Q: How good is the Random Number Generator?
A Nitrokey HSM a JCOP 2.4.1r3 valódi véletlenszám-generátorát használja, amelynek minősége DRNG.2 (a német Szövetségi Információbiztonsági Hivatal (BSI) AIS 31 szerint).
- Q: Which API can I use?
OpenSC: Az OpenSC keretrendszerhez átfogó utasítások állnak rendelkezésre. Az OpenSC kényelmesebb frontendjeként létezik a nitrotool.
Beágyazott rendszerek: A minimális memóriaigényű rendszerek számára az sc-hsm-embedded projekt egy csak olvasható PKCS#11 modult biztosít. Ez a PKCS#11 modul olyan telepítéseknél hasznos, ahol nincs szükség kulcsgenerálásra a felhasználó munkahelyén. A PKCS#11 modul támogatja a német piacon kapható főbb elektronikus aláírási kártyákat is.
OpenSCDP: A SmartCard-HSM teljes mértékben integrálva van az OpenSCDP-vel, a nyílt intelligenskártya-fejlesztési platformmal. A részletekért lásd a nyilvános támogatási szkripteket. A meglévő kulcsok importálásához használhatja az SCSH vagy a NitroKeyWrapper programját.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
A biztonsági vezérlő (NXP JCOP 3 P60) Common Criteria EAL 5+ tanúsítvánnyal rendelkezik az operációs rendszer szintjéig (tanúsítvány, `tanúsítási jelentés <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, biztonsági cél, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
Először is, ` állítsa be a Nitrokey HSM-et a kulcsok mentésének és visszaállításának használatára. Ezután használja a Smart Card Shell-t az importáláshoz. Ha a kulcsát egy Java kulcstárolóban tárolja, használhatja helyette a NitroKeyWrapper programot.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
A Hashicorp Vault/Bank-Vault biztonságos kulcsok Nitrokey HSM-en történő biztosításának megközelítése megtalálható a banzaicloud.com oldalon.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch írt egy egyszerű, ingyenes python programot a Bitcoin tárca privát kulcsának biztosítására egy HSM-ben. Tezos már `jelentették, hogy működik a Nitrokey HSM-mel.