Nitrokey HSM FAQ#
- Q: Quali sistemi operativi sono supportati?
Windows, Linux e macOS.
- Q: Per cosa posso usare la Nitrokey?
Vedere la frontpage per una panoramica dei casi d’uso supportati.
- Q: Qual è la lunghezza massima del PIN?
Nitrokey usa i PIN invece delle password. La differenza principale è che l’hardware limita la quantità di tentativi a tre mentre un limite non esiste per le password. Per questo motivo, un PIN breve è ancora sicuro e non è necessario scegliere un PIN lungo e complesso.
I PIN di Nitrokey possono essere lunghi fino a 16 cifre e possono essere composti da numeri, caratteri e caratteri speciali. Nota: Quando si usa GnuPG o OpenSC, si possono usare PIN lunghi 32 caratteri ma non sono supportati da Nitrokey App.
- Q: A cosa serve il PIN utente?
Il PIN è lungo almeno 6 cifre e serve per accedere al contenuto della Nitrokey. Questo è il PIN che userete molto nell’uso quotidiano.
Il PIN può avere fino a 16 cifre e altri caratteri (per esempio alfabetici e speciali). Ma siccome il PIN viene bloccato non appena vengono fatti tre tentativi di PIN sbagliati, è sufficientemente sicuro avere solo un PIN di 6 cifre.
- Q: A cosa serve il PIN SO?
Il SO PIN è usato solo nel Nitrokey HSM ed è qualcosa come un «master» PIN con proprietà speciali. Leggi attentamente queste istruzioni per capire il SO PIN di Nitrokey HSM.
Il PIN SO deve essere esattamente di 16 cifre.
- Q: Quanti oggetti di dati (DF, EF) possono essere memorizzati?
76 KB di EEPROM totali, che possono essere utilizzati per
max. 150 chiavi ECC-521 o
max. 300 chiavi ECC/AES-256 o
max. 19 chiavi RSA-4096 o
max. 38 chiavi RSA-2048
- Q: Quante chiavi posso memorizzare?
Nitrokey HSM può memorizzare 20 coppie di chiavi RSA-2048 e 31 ECC-256.
- Q: Quanto è veloce la crittografia e la firma?
Generazione di chiavi sulla scheda: RSA 2048: 2 al minuto
Generazione della chiave sulla scheda: ECC 256: 10 al minuto.
Creazione della firma con hash fuori scheda: RSA 2048; 100 al minuto
Creazione della firma con hash fuori scheda: ECDSA 256: 360 al minuto
Creazione della firma con on-card SHA-256 e 1 kb di dati: RSA 2048; 68 al minuto
Creazione della firma con SHA-256 sulla scheda e 1 kb di dati: ECDSA 256: 125 al minuto
- Q: Come posso distinguere un Nitrokey HSM 1 da un Nitrokey HSM 2?
Usate
opensc-tool --list-algorithmse confrontate con la tabella sottostante. Vedi anche ` questo thread`_ per le schede informative e maggiori dettagli.
- Q: Quali algoritmi e la lunghezza massima della chiave sono supportati?
Vedere la seguente tabella:
Iniziare |
Pro + Storage |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curva25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Come posso utilizzare il True Random Number Generator (TRNG) di Nitrokey HSM per le mie applicazioni?
Nitrokey HSM può essere utilizzato con Botan e TokenTools utilizzando OpenSC come driver PKCS#11.
OpenSSL non può utilizzare direttamente l’RNG di Nitrokey HSM’perché engine-pkcs11 non contiene una mappatura di OpenSSL per C_GenerateRandom.
- Q: Quanto è buono il generatore di numeri casuali?
Nitrokey HSM utilizza il generatore di numeri casuali reali di JCOP 2.4.1r3 che ha una qualità di DRNG.2 (secondo AIS 31 dell’Ufficio federale tedesco per la sicurezza informatica, BSI).
- Q: Quale API posso usare?
OpenSC: esistono istruzioni complete per il framework OpenSC. C’è nitrotool come frontend più comodo per OpenSC.
Sistemi embedded: Per sistemi con un minimo ingombro di memoria, il progetto sc-hsm-embedded fornisce un modulo PKCS#11 in sola lettura. Questo modulo PKCS#11 è utile per implementazioni in cui non è richiesta la generazione di chiavi sul posto di lavoro dell’utente. Il modulo PKCS#11 supporta anche le principali carte di firma elettronica disponibili sul mercato tedesco.
OpenSCDP: La SmartCard-HSM è completamente integrata con OpenSCDP, la piattaforma aperta di sviluppo di smart card. Vedi gli script di supporto pubblico per i dettagli. Per importare chiavi esistenti puoi usare il suo SCSH o NitroKeyWrapper.
- Q: Il Nitrokey HSM 2 è certificato Common Criteria o FIPS?
L’hardware e il sistema operativo del controllore di sicurezza sono certificati Common Criteria (Security Target; HSM2 Report; Vedi qui, clicca «ICs, Smart Cards and Smart Card-Related Devices and Systems» e cerca «NXP JCOP 3 P60»).
- Q: Come importare una chiave esistente in Nitrokey HSM?
Per prima cosa, ` configurate il vostro Nitrokey HSM per utilizzare il backup e il ripristino delle chiavi. Poi usate Smart Card Shell per l’importazione. Se la vostra chiave è memorizzata in un negozio di chiavi Java, potete usare invece NitroKeyWrapper.
- Q: Come posso proteggere la mia infrastruttura cloud/Kubernetes con Nitrokey HSM?
Un approccio alla sicurezza delle chiavi per Hashicorp Vault/Bank-Vault su un HSM Nitrokey è disponibile all’indirizzo banzaicloud.com.
- Q: Posso utilizzare Nitrokey HSM con le criptovalute?
J.v.d.Bosch ha scritto un semplice programma python gratuito ` per proteggere la chiave privata di un portafoglio Bitcoin in un HSM. Tezos è stato ` segnalato`_ per funzionare con Nitrokey HSM.