Nitrokey HSM FAQ

Q: Which Operating Systems are supported?

Windows, Linux e macOS.

Q: What can I use the Nitrokey for?

See the overview of supported use cases.

Q: What is the maximum length of the PIN?

Nitrokey usa i PIN invece delle password. La differenza principale è che l’hardware limita la quantità di tentativi a tre mentre un limite non esiste per le password. Per questo motivo, un PIN breve è ancora sicuro e non è necessario scegliere un PIN lungo e complesso.

I PIN di Nitrokey possono essere lunghi fino a 16 cifre e possono essere composti da numeri, caratteri e caratteri speciali. Nota: Quando si usa GnuPG o OpenSC, si possono usare PIN lunghi 32 caratteri ma non sono supportati da Nitrokey App.

Q: What is the User PIN for?

Il PIN è lungo almeno 6 cifre e serve per accedere al contenuto della Nitrokey. Questo è il PIN che userete molto nell’uso quotidiano.

Il PIN può avere fino a 16 cifre e altri caratteri (per esempio alfabetici e speciali). Ma siccome il PIN viene bloccato non appena vengono fatti tre tentativi di PIN sbagliati, è sufficientemente sicuro avere solo un PIN di 6 cifre.

Q: What is the SO PIN for?

The SO PIN is used in the Nitrokey HSM only and is something like a «master» PIN with special properties. Please read these instructions carefully to understand the SO PIN of the Nitrokey HSM.

Il PIN SO deve essere esattamente di 16 cifre.

Q: How many data objects (DF, EF) can be stored?

76 KB di EEPROM totali, che possono essere utilizzati per

• max. 150 chiavi ECC-521 o

• max. 300 chiavi ECC/AES-256 o

• max. 19 chiavi RSA-4096 o

• max. 38 chiavi RSA-2048

Q: How many keys can I store?

Nitrokey HSM può memorizzare 20 coppie di chiavi RSA-2048 e 31 ECC-256.

Q: How fast is encryption and signing?

• Generazione di chiavi sulla scheda: RSA 2048: 2 al minuto

• Generazione della chiave sulla scheda: ECC 256: 10 al minuto.

• Creazione della firma con hash fuori scheda: RSA 2048; 100 al minuto

• Creazione della firma con hash fuori scheda: ECDSA 256: 360 al minuto

• Creazione della firma con on-card SHA-256 e 1 kb di dati: RSA 2048; 68 al minuto

• Creazione della firma con SHA-256 sulla scheda e 1 kb di dati: ECDSA 256: 125 al minuto

Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?

Usate opensc-tool --list-algorithms e confrontate con la tabella sottostante. Vedi anche questo thread per le schede informative e maggiori dettagli.

Q: Which algorithms and maximum key length are supported?

Vedere la seguente tabella:

	HSM	HSM 2
RSA 1024	✓	✓
RSA 2048	✓	✓
RSA 3072		✓
RSA 4096		✓
Curve25519
NIST-P 192		✓
NIST-P 256		✓
NIST-P 384-521		✓
Brainpool 192	✓	✓
Brainpool 256-320	✓	✓
Brainpool 384-521		✓
secp192k1	✓	✓
secp256k1	✓	✓
secp521k1		✓

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?

Nitrokey HSM può essere utilizzato con Botan e TokenTools utilizzando OpenSC come driver PKCS#11.

OpenSSL non può utilizzare direttamente il RNG di Nitrokey HSM perché engine-pkcs11 non contiene una mappatura per OpenSSL a C_GenerateRandom.

Q: How good is the Random Number Generator?

Nitrokey HSM utilizza il generatore di numeri casuali reali di JCOP 2.4.1r3 che ha una qualità di DRNG.2 (secondo AIS 31 dell’Ufficio federale tedesco per la sicurezza informatica, BSI).

Q: Which API can I use?

OpenSC: esistono istruzioni complete per il framework OpenSC. C’è nitrotool come frontend più comodo per OpenSC.

Sistemi embedded: Per sistemi con un minimo ingombro di memoria, il progetto sc-hsm-embedded fornisce un modulo PKCS#11 in sola lettura. Questo modulo PKCS#11 è utile per implementazioni in cui non è richiesta la generazione di chiavi sul posto di lavoro dell’utente. Il modulo PKCS#11 supporta anche le principali carte di firma elettronica disponibili sul mercato tedesco.

OpenSCDP: La SmartCard-HSM è completamente integrata con OpenSCDP, la piattaforma aperta di sviluppo di smart card. Vedi gli script di supporto pubblici per i dettagli. Per importare chiavi esistenti puoi usare il suo SCSH o NitroKeyWrapper.

Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?

Il controller di sicurezza (NXP JCOP 3 P60) è certificato Common Criteria EAL 5+ fino al livello OS.

• Certificato

• `Rapporto di certificazione <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20versione%203.0%20(2022-10-14).pdf>`__

• Obiettivo sicurezza

• Java Card System Protection Profile Open Configuration, versione 3.0)

Q: How to import an existing key into the Nitrokey HSM?

Per prima cosa, ` configurate il vostro Nitrokey HSM per utilizzare il backup e il ripristino delle chiavi. Poi usate Smart Card Shell per l’importazione. Se la vostra chiave è memorizzata in un negozio di chiavi Java, potete usare invece NitroKeyWrapper.

Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?

Un approccio alla sicurezza delle chiavi per Hashicorp Vault/Bank-Vault su un HSM Nitrokey è disponibile all’indirizzo banzaicloud.com.

Q: Can I use Nitrokey HSM with cryptocurrencies?

J.v.d.Bosch ha scritto un semplice programma python gratuito ` per proteggere la chiave privata di un portafoglio Bitcoin in un HSM. Tezos è stato segnalato per funzionare con Nitrokey HSM.