Nitrokey HSM GYIK#

K: Mely operációs rendszerek támogatottak?

Windows, Linux és macOS.

K: Mire használhatom a Nitrokey-t?

A támogatott felhasználási esetekről lásd a áttekintést.

K: Mennyi a PIN-kód maximális hossza?

A Nitrokey jelszavak helyett PIN-kódokat használ. A fő különbség az, hogy a hardver háromra korlátozza a próbálkozások számát, míg a jelszavak esetében nincs ilyen korlát. Emiatt egy rövid PIN-kód még mindig biztonságos, és nem szükséges hosszú és összetett PIN-kódot választani.

A Nitrokey PIN-kódok legfeljebb 16 számjegy hosszúak lehetnek, és számokból, karakterekből és speciális karakterekből állhatnak. Megjegyzés: GnuPG vagy OpenSC használatakor 32 karakter hosszú PIN-kódok is használhatók, de a Nitrokey App nem támogatja őket.

K: Mire szolgál a felhasználói PIN-kód?

A PIN-kód legalább 6 számjegyű, és a Nitrokey tartalmához való hozzáférésre szolgál. Ezt a PIN-kódot a mindennapi használat során gyakran fogja használni.

A PIN-kód legfeljebb 16 számjegyből és egyéb karakterekből (pl. betű- és speciális karakterek) állhat. Mivel azonban a PIN-kódot három rossz PIN-kódkísérlet után blokkolja a rendszer, elegendő biztonságot nyújt, ha csak 6 számjegyű PIN-kódot használ.

K: Mire szolgál az SO PIN-kód?

Az SO PIN csak a Nitrokey HSM-ben használatos, és olyan, mint egy „master” PIN különleges tulajdonságokkal. Kérjük, olvassa el figyelmesen ezt az útmutatót, hogy megértse a Nitrokey HSM SO PIN-kódját.

Az SO PIN-kódnak pontosan 16 számjegyűnek kell lennie.

K: Hány adatobjektum (DF, EF) tárolható?

Összesen 76 KB EEPROM, amely a következőkhöz használható

  • max. 150 x ECC-521 billentyű vagy

  • max. 300 x ECC/AES-256 kulcs vagy

  • max. 19 x RSA-4096 kulcs vagy

  • max. 38 x RSA-2048 kulcs

K: Hány kulcsot tárolhatok?

A Nitrokey HSM 20 RSA-2048 és 31 ECC-256 kulcspárt képes tárolni.

K: Milyen gyors a titkosítás és az aláírás?
  • Kulcsgenerálás a kártyán: RSA 2048: 2 percenként

  • Kulcsgenerálás a kártyán: ECC 256: 10 percenként.

  • Aláírás létrehozása kártyán kívüli hash-val: RSA 2048; 100 percenként

  • Aláírás létrehozása kártyán kívüli hash-val: ECDSA 256: 360 percenként

  • Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: RSA 2048; 68 percenként

  • Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: ECDSA 256: 125 percenként

K: Hogyan tudom megkülönböztetni a Nitrokey HSM 1-et a Nitrokey HSM 2-től?

Használja a opensc-tool --list-algorithms és hasonlítsa össze az alábbi táblázattal. Kérjük, tekintse meg a ezt a témát is a tényfeltáró táblázatokért és további részletekért.

K: Milyen algoritmusok és maximális kulcshosszúságok támogatottak?

Lásd a következő táblázatot:

Indítsa el a oldalt.

Pro + tárolás

Pro 2 + tároló 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

K: Hogyan használhatom a Nitrokey HSM valódi véletlenszám-generátorát (TRNG) az alkalmazásaimhoz?

A Nitrokey HSM használható a Botan és a TokenTools rendszerekkel az OpenSC PKCS#11 meghajtó használatával.

Az OpenSSL nem tudja közvetlenül használni a Nitrokey HSM-et, mert a engine-pkcs11 nem tartalmaz leképezést az OpenSSL-nek a C_GenerateRandomhoz.

K: Mennyire jó a véletlenszám-generátor?

A Nitrokey HSM a JCOP 2.4.1r3 valódi véletlenszám-generátorát használja, amelynek minősége DRNG.2 (a német Szövetségi Információbiztonsági Hivatal (BSI) AIS 31 szerint).

K: Melyik API-t használhatom?

OpenSC: Az OpenSC keretrendszerhez átfogó utasítások állnak rendelkezésre. Az OpenSC kényelmesebb frontendjeként létezik a nitrotool.

Beágyazott rendszerek: A minimális memóriaigényű rendszerek számára az sc-hsm-embedded projekt egy csak olvasható PKCS#11 modult biztosít. Ez a PKCS#11 modul olyan telepítéseknél hasznos, ahol nincs szükség kulcsgenerálásra a felhasználó munkahelyén. A PKCS#11 modul támogatja a német piacon kapható főbb elektronikus aláírási kártyákat is.

OpenSCDP: A SmartCard-HSM teljes mértékben integrálva van az OpenSCDP-vel, a nyílt intelligenskártya-fejlesztési platformmal. A részletekért lásd a nyilvános támogatási szkripteket. A meglévő kulcsok importálásához használhatja az SCSH vagy a NitroKeyWrapper programját.

K: A Nitrokey 3 Common Criteria vagy FIPS tanúsítvánnyal rendelkezik?

A biztonsági vezérlő (NXP JCOP 3 P60) Common Criteria EAL 5+ tanúsítvánnyal rendelkezik az operációs rendszer szintjéig (tanúsítvány, `tanúsítási jelentés <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, biztonsági cél, Java Card System Protection Profile Open Configuration, Version 3.0).

K: Hogyan lehet egy meglévő kulcsot importálni a Nitrokey HSM-be?

Először is, ` állítsa be a Nitrokey HSM-et a kulcsok mentésének és visszaállításának használatára. Ezután használja a Smart Card Shell-t az importáláshoz. Ha a kulcsát egy Java kulcstárolóban tárolja, használhatja helyette a NitroKeyWrapper programot.

K: Hogyan tudom biztosítani a felhőinfrastruktúrámat/Kubernetesemet a Nitrokey HSM-mel?

A Hashicorp Vault/Bank-Vault biztonságos kulcsok Nitrokey HSM-en történő biztosításának megközelítése megtalálható a banzaicloud.com oldalon.

K: Használhatom a Nitrokey HSM-et kriptovalutákkal?

J.v.d.Bosch írt egy egyszerű, ingyenes python programot a Bitcoin tárca privát kulcsának biztosítására egy HSM-ben. Tezos már `jelentették, hogy működik a Nitrokey HSM-mel.