Nitrokey HSM FAQ#

Q: Quali sistemi operativi sono supportati?

Windows, Linux e macOS.

Q: Per cosa posso usare la Nitrokey?

Vedere la frontpage per una panoramica dei casi d’uso supportati.

Q: Qual è la lunghezza massima del PIN?

Nitrokey usa i PIN invece delle password. La differenza principale è che l’hardware limita la quantità di tentativi a tre mentre un limite non esiste per le password. Per questo motivo, un PIN breve è ancora sicuro e non è necessario scegliere un PIN lungo e complesso.

I PIN di Nitrokey possono essere lunghi fino a 16 cifre e possono essere composti da numeri, caratteri e caratteri speciali. Nota: Quando si usa GnuPG o OpenSC, si possono usare PIN lunghi 32 caratteri ma non sono supportati da Nitrokey App.

Q: A cosa serve il PIN utente?

Il PIN è lungo almeno 6 cifre e serve per accedere al contenuto della Nitrokey. Questo è il PIN che userete molto nell’uso quotidiano.

Il PIN può avere fino a 16 cifre e altri caratteri (per esempio alfabetici e speciali). Ma siccome il PIN viene bloccato non appena vengono fatti tre tentativi di PIN sbagliati, è sufficientemente sicuro avere solo un PIN di 6 cifre.

Q: A cosa serve il PIN SO?

Il SO PIN è usato solo nel Nitrokey HSM ed è qualcosa come un «master» PIN con proprietà speciali. Leggi attentamente queste istruzioni per capire il SO PIN di Nitrokey HSM.

Il PIN SO deve essere esattamente di 16 cifre.

Q: Quanti oggetti di dati (DF, EF) possono essere memorizzati?

76 KB di EEPROM totali, che possono essere utilizzati per

  • max. 150 chiavi ECC-521 o

  • max. 300 chiavi ECC/AES-256 o

  • max. 19 chiavi RSA-4096 o

  • max. 38 chiavi RSA-2048

Q: Quante chiavi posso memorizzare?

Nitrokey HSM può memorizzare 20 coppie di chiavi RSA-2048 e 31 ECC-256.

Q: Quanto è veloce la crittografia e la firma?
  • Generazione di chiavi sulla scheda: RSA 2048: 2 al minuto

  • Generazione della chiave sulla scheda: ECC 256: 10 al minuto.

  • Creazione della firma con hash fuori scheda: RSA 2048; 100 al minuto

  • Creazione della firma con hash fuori scheda: ECDSA 256: 360 al minuto

  • Creazione della firma con on-card SHA-256 e 1 kb di dati: RSA 2048; 68 al minuto

  • Creazione della firma con SHA-256 sulla scheda e 1 kb di dati: ECDSA 256: 125 al minuto

Q: Come posso distinguere un Nitrokey HSM 1 da un Nitrokey HSM 2?

Usate opensc-tool --list-algorithms e confrontate con la tabella sottostante. Vedi anche ` questo thread`_ per le schede informative e maggiori dettagli.

Q: Quali algoritmi e la lunghezza massima della chiave sono supportati?

Vedere la seguente tabella:

Iniziare

Pro + Storage

Pro 2 + Storage 2

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curva25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Come posso utilizzare il True Random Number Generator (TRNG) di Nitrokey HSM per le mie applicazioni?

Nitrokey HSM può essere utilizzato con Botan e TokenTools utilizzando OpenSC come driver PKCS#11.

OpenSSL non può utilizzare direttamente l’RNG di Nitrokey HSM’perché engine-pkcs11 non contiene una mappatura di OpenSSL per C_GenerateRandom.

Q: Quanto è buono il generatore di numeri casuali?

Nitrokey HSM utilizza il generatore di numeri casuali reali di JCOP 2.4.1r3 che ha una qualità di DRNG.2 (secondo AIS 31 del BSI).

Q: Quale API posso usare?

OpenSC: esistono istruzioni complete per il framework OpenSC. C’è nitrotool come frontend più comodo per OpenSC.

Sistemi embedded: Per sistemi con un minimo ingombro di memoria, il progetto sc-hsm-embedded fornisce un modulo PKCS#11 in sola lettura. Questo modulo PKCS#11 è utile per implementazioni in cui non è richiesta la generazione di chiavi sul posto di lavoro dell’utente. Il modulo PKCS#11 supporta anche le principali carte di firma elettronica disponibili sul mercato tedesco.

OpenSCDP: La SmartCard-HSM è completamente integrata con OpenSCDP, la piattaforma aperta di sviluppo di smart card. Vedi gli script di supporto pubblico per i dettagli. Per importare chiavi esistenti puoi usare il suo SCSH o NitroKeyWrapper.

Q: Il Nitrokey HSM 2 è certificato Common Criteria o FIPS?

L’hardware e il sistema operativo del controllore di sicurezza sono certificati Common Criteria (Security Target; HSM2 Report; Vedi qui, clicca «ICs, Smart Cards and Smart Card-Related Devices and Systems» e cerca «NXP JCOP 3 P60»).

Q: Come importare una chiave esistente in Nitrokey HSM?

Per prima cosa, ` configurate il vostro Nitrokey HSM per utilizzare il backup e il ripristino delle chiavi. Poi usate Smart Card Shell per l’importazione. Se la vostra chiave è memorizzata in un negozio di chiavi Java, potete usare invece NitroKeyWrapper.

Q: Come posso proteggere la mia infrastruttura cloud/Kubernetes con Nitrokey HSM?

Un approccio alla sicurezza delle chiavi per Hashicorp Vault/Bank-Vault su un HSM Nitrokey è disponibile all’indirizzo banzaicloud.com.

Q: Posso utilizzare Nitrokey HSM con le criptovalute?

J.v.d.Bosch ha scritto un semplice programma python gratuito ` per proteggere la chiave privata di un portafoglio Bitcoin in un HSM. Tezos è stato ` segnalato`_ per funzionare con Nitrokey HSM.