Nitrokey HSM GYIK#
- K: Mely operációs rendszerek támogatottak?
Windows, Linux és macOS.
- K: Mire használhatom a Nitrokey-t?
A támogatott felhasználási esetekről lásd a áttekintést.
- K: Mennyi a PIN-kód maximális hossza?
A Nitrokey jelszavak helyett PIN-kódokat használ. A fő különbség az, hogy a hardver háromra korlátozza a próbálkozások számát, míg a jelszavak esetében nincs ilyen korlát. Emiatt egy rövid PIN-kód még mindig biztonságos, és nem szükséges hosszú és összetett PIN-kódot választani.
A Nitrokey PIN-kódok legfeljebb 16 számjegy hosszúak lehetnek, és számokból, karakterekből és speciális karakterekből állhatnak. Megjegyzés: GnuPG vagy OpenSC használatakor 32 karakter hosszú PIN-kódok is használhatók, de a Nitrokey App nem támogatja őket.
- K: Mire szolgál a felhasználói PIN-kód?
A PIN-kód legalább 6 számjegyű, és a Nitrokey tartalmához való hozzáférésre szolgál. Ezt a PIN-kódot a mindennapi használat során gyakran fogja használni.
A PIN-kód legfeljebb 16 számjegyből és egyéb karakterekből (pl. betű- és speciális karakterek) állhat. Mivel azonban a PIN-kódot három rossz PIN-kódkísérlet után blokkolja a rendszer, elegendő biztonságot nyújt, ha csak 6 számjegyű PIN-kódot használ.
- K: Mire szolgál az SO PIN-kód?
Az SO PIN csak a Nitrokey HSM-ben használatos, és olyan, mint egy „master” PIN különleges tulajdonságokkal. Kérjük, olvassa el figyelmesen ezt az útmutatót, hogy megértse a Nitrokey HSM SO PIN-kódját.
Az SO PIN-kódnak pontosan 16 számjegyűnek kell lennie.
- K: Hány adatobjektum (DF, EF) tárolható?
Összesen 76 KB EEPROM, amely a következőkhöz használható
max. 150 x ECC-521 billentyű vagy
max. 300 x ECC/AES-256 kulcs vagy
max. 19 x RSA-4096 kulcs vagy
max. 38 x RSA-2048 kulcs
- K: Hány kulcsot tárolhatok?
A Nitrokey HSM 20 RSA-2048 és 31 ECC-256 kulcspárt képes tárolni.
- K: Milyen gyors a titkosítás és az aláírás?
Kulcsgenerálás a kártyán: RSA 2048: 2 percenként
Kulcsgenerálás a kártyán: ECC 256: 10 percenként.
Aláírás létrehozása kártyán kívüli hash-val: RSA 2048; 100 percenként
Aláírás létrehozása kártyán kívüli hash-val: ECDSA 256: 360 percenként
Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: RSA 2048; 68 percenként
Aláírás létrehozása a kártyán lévő SHA-256 és 1 kb adat segítségével: ECDSA 256: 125 percenként
- K: Hogyan tudom megkülönböztetni a Nitrokey HSM 1-et a Nitrokey HSM 2-től?
Használja a
opensc-tool --list-algorithms
és hasonlítsa össze az alábbi táblázattal. Kérjük, tekintse meg a ezt a témát is a tényfeltáró táblázatokért és további részletekért.
- K: Milyen algoritmusok és maximális kulcshosszúságok támogatottak?
Lásd a következő táblázatot:
Indítsa el a oldalt. |
Pro + tárolás |
Pro 2 + tároló 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- K: Hogyan használhatom a Nitrokey HSM valódi véletlenszám-generátorát (TRNG) az alkalmazásaimhoz?
A Nitrokey HSM használható a Botan és a TokenTools rendszerekkel az OpenSC PKCS#11 meghajtó használatával.
Az OpenSSL nem tudja közvetlenül használni a Nitrokey HSM-et, mert a engine-pkcs11 nem tartalmaz leképezést az OpenSSL-nek a C_GenerateRandomhoz.
- K: Mennyire jó a véletlenszám-generátor?
A Nitrokey HSM a JCOP 2.4.1r3 valódi véletlenszám-generátorát használja, amelynek minősége DRNG.2 (a német Szövetségi Információbiztonsági Hivatal (BSI) AIS 31 szerint).
- K: Melyik API-t használhatom?
OpenSC: Az OpenSC keretrendszerhez átfogó utasítások állnak rendelkezésre. Az OpenSC kényelmesebb frontendjeként létezik a nitrotool.
Beágyazott rendszerek: A minimális memóriaigényű rendszerek számára az sc-hsm-embedded projekt egy csak olvasható PKCS#11 modult biztosít. Ez a PKCS#11 modul olyan telepítéseknél hasznos, ahol nincs szükség kulcsgenerálásra a felhasználó munkahelyén. A PKCS#11 modul támogatja a német piacon kapható főbb elektronikus aláírási kártyákat is.
OpenSCDP: A SmartCard-HSM teljes mértékben integrálva van az OpenSCDP-vel, a nyílt intelligenskártya-fejlesztési platformmal. A részletekért lásd a nyilvános támogatási szkripteket. A meglévő kulcsok importálásához használhatja az SCSH vagy a NitroKeyWrapper programját.
- K: A Nitrokey 3 Common Criteria vagy FIPS tanúsítvánnyal rendelkezik?
A biztonsági vezérlő (NXP JCOP 3 P60) Common Criteria EAL 5+ tanúsítvánnyal rendelkezik az operációs rendszer szintjéig (tanúsítvány, `tanúsítási jelentés <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, biztonsági cél, Java Card System Protection Profile Open Configuration, Version 3.0).
- K: Hogyan lehet egy meglévő kulcsot importálni a Nitrokey HSM-be?
Először is, ` állítsa be a Nitrokey HSM-et a kulcsok mentésének és visszaállításának használatára. Ezután használja a Smart Card Shell-t az importáláshoz. Ha a kulcsát egy Java kulcstárolóban tárolja, használhatja helyette a NitroKeyWrapper programot.
- K: Hogyan tudom biztosítani a felhőinfrastruktúrámat/Kubernetesemet a Nitrokey HSM-mel?
A Hashicorp Vault/Bank-Vault biztonságos kulcsok Nitrokey HSM-en történő biztosításának megközelítése megtalálható a banzaicloud.com oldalon.
- K: Használhatom a Nitrokey HSM-et kriptovalutákkal?
J.v.d.Bosch írt egy egyszerű, ingyenes python programot a Bitcoin tárca privát kulcsának biztosítására egy HSM-ben. Tezos már `jelentették, hogy működik a Nitrokey HSM-mel.