Nitrokey HSMのよくある質問#
- **Q:**どのようなOSに対応していますか?
Windows、Linux、macOS。
- Q: Nitrokeyはどのような用途に使用できますか?
サポートされるユースケースについては、`概要<https://www.nitrokey.com/products/nitrokeys>`_ を参照のこと。
- Q: PINの長さはどのくらいですか?
Nitrokeyは、パスワードの代わりにPINを使用します。主な違いは、ハードウェアが試行回数を3回に制限しているのに対し、パスワードには制限がないことです。このため、短い暗証番号でも安全であり、長くて複雑な暗証番号を選択する必要はありません。
Nitrokey Storage'のPINは最大20桁の長さで、数字、文字、特殊文字で構成することができます。注:GnuPGまたはOpenSCを使用する場合、32文字の長さのPINを使用できますが、Nitrokey Appではサポートされていません。
- Q: ユーザーPINは何のためのものですか?
PIN は最低 6 桁の長さで、Nitrokey のコンテンツにアクセスするために使用されます。毎日の使用でたくさん使う暗証番号です。
PINは最大16桁の数字とその他の文字(アルファベットや特殊文字など)を使用することができます。しかし、PINを3回間違えるとすぐにブロックされるため、6桁のPINのみでも十分な安全性が確保されています。
- **Q:**「SO PIN」は何のためにあるのですか?
SO PIN は Nitrokey HSM でのみ使用され、特殊な特性を持つ "マスター"PIN のようなものです。Nitrokey HSM の SO PIN を理解するために、この説明書をよくお読みください。
SO PINは正確に16桁の長さでなければならない。
- Q: データオブジェクト(DF、EF)はいくつまで保存できますか?
合計76KBのEEPROMを使用することができます。
最大150 x ECC-521キーまたは
最大300 x ECC/AES-256キーまたは
最大19 x RSA-4096 キーまたは
最大RSA-2048鍵×38本
- **Q:**キーはいくつまで保存できますか?
Nitrokey HSMは、RSA-2048キーペアを20個、ECC-256キーペアを31個保存できます。
- **Q:**暗号化や署名の速度はどのくらいですか?
鍵の生成はオンカードで。RSA 2048:1分間に2個
カード上での鍵生成。ECC256:毎分10個。
オフカードハッシュによる署名の作成。RSA 2048、1分間に100個
オフカードハッシュによる署名作成。ECDSA 256: 360/分
オンカードSHA-256と1kbのデータで署名作成。RSA 2048、68個/分
カード上のSHA-256と1kbのデータで署名を作成。ECDSA 256: 125/分
- Q: Nitrokey HSM 1 と Nitrokey HSM 2 はどのように見分ければよいですか?
opensc-tool --list-algorithms
を使って、以下の表と比較してみてください。ファクトシートや詳細は`this thread`_もご覧ください。
スタート |
プロ+ストレージ |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
カーブ25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
ブレインプール 192 |
✓ |
✓ |
||||
ブレインプール 256-320 |
✓ |
✓ |
✓ |
|||
ブレインプール 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Nitrokey HSMのTRNG(True Random Number Generator)を自分のアプリケーションに使うにはどうしたらよいですか?
Nitrokey HSMは、PKCS#11ドライバとしてOpenSCを使用することにより、Botan や TokenTools で使用することが可能です。
engine-pkcs11 には OpenSSL と C_GenerateRandom のマッピングがないため、OpenSSL は Nitrokey HSM の RNG を直接使用できません。
- **Q:**乱数発生器の性能はどうですか?
Nitrokey HSM は、DRNG.2 の品質を持つ JCOP 2.4.1r3 の True Random Number Generator を使用しています(ドイツ連邦情報セキュリティ局、BSI の AIS 31 による)。
- Q: どのAPIが使えるのですか?
OpenSC: OpenSCフレームワークの包括的な説明書があります。また、OpenSCのフロントエンドとして、nitrotoolがあります。
組込みシステム。最小限のメモリしか必要としないシステムのために、読み取り専用のPKCS#11モジュールが sc-hsm-embedded プロジェクトで提供されています。 このPKCS#11モジュールは、ユーザーの職場で鍵の生成が必要でない場合に便利です。また、PKCS#11モジュールは、ドイツ市場で入手可能な主要な電子署名カードもサポートしています。
OpenSCDPです。SmartCard-HSMは、スマートカードのオープンな開発プラットフォームであるOpenSCDPと完全に統合されています。詳細については、公開されているサポートスクリプトを参照してください。既存のキーをインポートするには、そのSCSHまたはNitroKeyWrapperを使用します。
- Q: Nitrokey ProはCommon CriteriaまたはFIPS認証を取得していますか?
セキュリティコントローラ(NXP JCOP 3 P60)は、OSレベルまでコモンクライテリアEAL 5+認証を取得しています(`証明書<https://commoncriteriaportal.org/files/epfiles/NSCIB-certificate%2021-98209.pdf>`__,`認証レポート<https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20vversion%203.0%20(2022-10-14).pdf>`__,`セキュリティターゲット<https://commoncriteriaportal.org/files/epfiles/NSCIB-CC-98209_5-STLite.pdf>`__,`Java Card System Protection Profile Open Configuration, Version 3.0<https://commoncriteriaportal.org/files/ppfiles/ANSSI-CC-profil_PP-2010-03en.pdf>`__)。
- Q: Nitrokey HSM に既存の鍵をインポートするにはどうすればよいですか?
まず、Nitrokey HSM を設定して、キーのバックアップと復元を使用できるようにします。その後、Smart Card Shell を使用してインポートします。もし鍵がJavaキーストアに保存されている場合は、代わりに`NitroKeyWrapper を使用することができます。
- Q: Nitrokey HSMでクラウドインフラ/Kubernetesを保護するにはどうすればよいですか?
Hashicorp Vault/Bank-Vault の鍵を Nitrokey HSM で保護する方法は、banzaicloud.com で見ることができます。
- **Q:**暗号通貨でNitrokey HSMを使用することはできますか?
J.v.d.Bosch は、Bitcoin ウォレットの秘密鍵を HSM で保護するためのシンプルでフリーな python program を書きました。Tezos は、`Nitrokey HSMで動作することが報告されています</x>。