Nitrokey HSM FAQ#
- Q: Quali sistemi operativi sono supportati?
Windows, Linux e macOS.
- Q: Per cosa posso usare la Nitrokey?
Vedere la frontpage per una panoramica dei casi d’uso supportati.
- Q: Qual è la lunghezza massima del PIN?
Nitrokey usa i PIN invece delle password. La differenza principale è che l’hardware limita la quantità di tentativi a tre mentre un limite non esiste per le password. Per questo motivo, un PIN breve è ancora sicuro e non è necessario scegliere un PIN lungo e complesso.
I PIN di Nitrokey possono essere lunghi fino a 16 cifre e possono essere composti da numeri, caratteri e caratteri speciali. Nota: Quando si usa GnuPG o OpenSC, si possono usare PIN lunghi 32 caratteri ma non sono supportati da Nitrokey App.
- Q: A cosa serve il PIN utente?
Il PIN è lungo almeno 6 cifre e serve per accedere al contenuto della Nitrokey. Questo è il PIN che userete molto nell’uso quotidiano.
Il PIN può avere fino a 16 cifre e altri caratteri (per esempio alfabetici e speciali). Ma siccome il PIN viene bloccato non appena vengono fatti tre tentativi di PIN sbagliati, è sufficientemente sicuro avere solo un PIN di 6 cifre.
- Q: A cosa serve il PIN SO?
Il SO PIN è usato solo nel Nitrokey HSM ed è qualcosa come un «master» PIN con proprietà speciali. Leggi attentamente queste istruzioni per capire il SO PIN di Nitrokey HSM.
Il PIN SO deve essere esattamente di 16 cifre.
- Q: Quanti oggetti di dati (DF, EF) possono essere memorizzati?
76 KB di EEPROM totali, che possono essere utilizzati per
max. 150 chiavi ECC-521 o
max. 300 chiavi ECC/AES-256 o
max. 19 chiavi RSA-4096 o
max. 38 chiavi RSA-2048
- Q: Quante chiavi posso memorizzare?
Nitrokey HSM può memorizzare 20 coppie di chiavi RSA-2048 e 31 ECC-256.
- Q: Quanto è veloce la crittografia e la firma?
Generazione di chiavi sulla scheda: RSA 2048: 2 al minuto
Generazione della chiave sulla scheda: ECC 256: 10 al minuto.
Creazione della firma con hash fuori scheda: RSA 2048; 100 al minuto
Creazione della firma con hash fuori scheda: ECDSA 256: 360 al minuto
Creazione della firma con on-card SHA-256 e 1 kb di dati: RSA 2048; 68 al minuto
Creazione della firma con SHA-256 sulla scheda e 1 kb di dati: ECDSA 256: 125 al minuto
- Q: Come posso distinguere un Nitrokey HSM 1 da un Nitrokey HSM 2?
Usate
opensc-tool --list-algorithms
e confrontate con la tabella sottostante. Vedi anche ` questo thread`_ per le schede informative e maggiori dettagli.
- Q: Quali algoritmi e la lunghezza massima della chiave sono supportati?
Vedere la seguente tabella:
Iniziare |
Pro + Storage |
Pro 2 + Storage 2 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
|
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
||
curva25519 |
✓ |
||||
NIST-P 192 |
✓ |
||||
NIST-P 256 |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
|||
Brainpool 192 |
✓ |
✓ |
|||
Brainpool 256-320 |
✓ |
✓ |
✓ |
||
Brainpool 384-521 |
✓ |
✓ |
|||
secp192 |
✓ |
✓ |
|||
secp256 |
✓ |
✓ |
✓ |
||
secp521 |
✓ |
- Q: Come posso utilizzare il True Random Number Generator (TRNG) di Nitrokey HSM per le mie applicazioni?
Nitrokey HSM può essere utilizzato con Botan e TokenTools utilizzando OpenSC come driver PKCS#11.
OpenSSL non può utilizzare direttamente l’RNG di Nitrokey HSM’perché engine-pkcs11 non contiene una mappatura di OpenSSL per C_GenerateRandom.
- Q: Quanto è buono il generatore di numeri casuali?
Nitrokey HSM utilizza il generatore di numeri casuali reali di JCOP 2.4.1r3 che ha una qualità di DRNG.2 (secondo AIS 31 del BSI).
- Q: Quale API posso usare?
OpenSC: esistono istruzioni complete per il framework OpenSC. C’è nitrotool come frontend più comodo per OpenSC.
Sistemi embedded: Per sistemi con un minimo ingombro di memoria, il progetto sc-hsm-embedded fornisce un modulo PKCS#11 in sola lettura. Questo modulo PKCS#11 è utile per implementazioni in cui non è richiesta la generazione di chiavi sul posto di lavoro dell’utente. Il modulo PKCS#11 supporta anche le principali carte di firma elettronica disponibili sul mercato tedesco.
OpenSCDP: La SmartCard-HSM è completamente integrata con OpenSCDP, la piattaforma aperta di sviluppo di smart card. Vedi gli script di supporto pubblico per i dettagli. Per importare chiavi esistenti puoi usare il suo SCSH o NitroKeyWrapper.
- Q: Il Nitrokey HSM 2 è certificato Common Criteria o FIPS?
L’hardware e il sistema operativo del controllore di sicurezza sono certificati Common Criteria (Security Target; HSM2 Report; Vedi qui, clicca «ICs, Smart Cards and Smart Card-Related Devices and Systems» e cerca «NXP JCOP 3 P60»).
- Q: Come importare una chiave esistente in Nitrokey HSM?
Per prima cosa, ` configurate il vostro Nitrokey HSM per utilizzare il backup e il ripristino delle chiavi. Poi usate Smart Card Shell per l’importazione. Se la vostra chiave è memorizzata in un negozio di chiavi Java, potete usare invece NitroKeyWrapper.
- Q: Come posso proteggere la mia infrastruttura cloud/Kubernetes con Nitrokey HSM?
Un approccio alla sicurezza delle chiavi per Hashicorp Vault/Bank-Vault su un HSM Nitrokey è disponibile all’indirizzo banzaicloud.com.
- Q: Posso utilizzare Nitrokey HSM con le criptovalute?
J.v.d.Bosch ha scritto un semplice programma python gratuito ` per proteggere la chiave privata di un portafoglio Bitcoin in un HSM. Tezos è stato ` segnalato`_ per funzionare con Nitrokey HSM.