Nitrokey HSMのよくある質問#

**Q:**どのようなOSに対応していますか?

Windows、Linux、macOS。

Q: Nitrokeyはどのような用途に使用できますか?

サポートされているユースケースの概要については、`frontpage`_をご覧ください。

Q: PINの長さはどのくらいですか?

Nitrokeyは、パスワードの代わりにPINを使用します。主な違いは、ハードウェアが試行回数を3回に制限しているのに対し、パスワードには制限がないことです。このため、短い暗証番号でも安全であり、長くて複雑な暗証番号を選択する必要はありません。

Nitrokey Storage'のPINは最大20桁の長さで、数字、文字、特殊文字で構成することができます。注:GnuPGまたはOpenSCを使用する場合、32文字の長さのPINを使用できますが、Nitrokey Appではサポートされていません。

Q: ユーザーPINは何のためのものですか?

PIN は最低 6 桁の長さで、Nitrokey のコンテンツにアクセスするために使用されます。毎日の使用でたくさん使う暗証番号です。

PINは最大16桁の数字とその他の文字(アルファベットや特殊文字など)を使用することができます。しかし、PINを3回間違えるとすぐにブロックされるため、6桁のPINのみでも十分な安全性が確保されています。

**Q:**「SO PIN」は何のためにあるのですか?

SO PIN は Nitrokey HSM でのみ使用され、特殊な特性を持つ "マスター"PIN のようなものです。Nitrokey HSM の SO PIN を理解するために、この説明書をよくお読みください。

SO PINは正確に16桁の長さでなければならない。

Q: データオブジェクト(DF、EF)はいくつまで保存できますか?

合計76KBのEEPROMを使用することができます。

  • 最大150 x ECC-521キーまたは

  • 最大300 x ECC/AES-256キーまたは

  • 最大19 x RSA-4096 キーまたは

  • 最大RSA-2048鍵×38本

**Q:**キーはいくつまで保存できますか?

Nitrokey HSMは、RSA-2048キーペアを20個、ECC-256キーペアを31個保存できます。

**Q:**暗号化や署名の速度はどのくらいですか?
  • 鍵の生成はオンカードで。RSA 2048:1分間に2個

  • カード上での鍵生成。ECC256:毎分10個。

  • オフカードハッシュによる署名の作成。RSA 2048、1分間に100個

  • オフカードハッシュによる署名作成。ECDSA 256: 360/分

  • オンカードSHA-256と1kbのデータで署名作成。RSA 2048、68個/分

  • カード上のSHA-256と1kbのデータで署名を作成。ECDSA 256: 125/分

Q: Nitrokey HSM 1 と Nitrokey HSM 2 はどのように見分ければよいですか?

opensc-tool --list-algorithms を使って、以下の表と比較してみてください。ファクトシートや詳細は`this thread`_もご覧ください。

**Q:**どのようなアルゴリズムと最大鍵長に対応していますか?

次の表を参照してください。

スタート

プロ+ストレージ

Pro 2 + Storage 2

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

カーブ25519

NIST-P 192

NIST-P 256

NIST-P 384-521

ブレインプール 192

ブレインプール 256-320

ブレインプール 384-521

secp192

secp256

secp521

Q: Nitrokey HSMのTRNG(True Random Number Generator)を自分のアプリケーションに使うにはどうしたらよいですか?

Nitrokey HSMは、PKCS#11ドライバとしてOpenSCを使用することにより、BotanTokenTools で使用することが可能です。

engine-pkcs11 には OpenSSL と C_GenerateRandom のマッピングがないため、OpenSSL は Nitrokey HSM の RNG を直接使用できません。

**Q:**乱数発生器の性能はどうですか?

Nitrokey HSM は、JCOP 2.4.1r3 の DRNG.2 (BSI の AIS 31 による) の品質を持つ True Random Number Generator を使用しています。

Q: どのAPIが使えるのですか?

OpenSC: OpenSCフレームワークの包括的な説明書があります。また、OpenSCのフロントエンドとして、nitrotoolがあります。

組込みシステム。最小限のメモリしか必要としないシステムのために、読み取り専用のPKCS#11モジュールが sc-hsm-embedded プロジェクトで提供されています。 このPKCS#11モジュールは、ユーザーの職場で鍵の生成が必要でない場合に便利です。また、PKCS#11モジュールは、ドイツ市場で入手可能な主要な電子署名カードもサポートしています。

OpenSCDPです。SmartCard-HSMは、スマートカードのオープンな開発プラットフォームであるOpenSCDPと完全に統合されています。詳細については、公開されているサポートスクリプトを参照してください。既存のキーをインポートするには、そのSCSHまたはNitroKeyWrapperを使用します。

Q: Nitrokey ProはCommon CriteriaまたはFIPS認証を取得していますか?

セキュリティ コントローラーのハードウェアとオペレーティング システムは Common Criteria 認証を受けています (Security Target; HSM2 Report; here, click "IC, Smart Cards and Smart Card-Related Devices and Systems" and search for "NXP JCOP 3 P60参照。).

Q: Nitrokey HSM に既存の鍵をインポートするにはどうすればよいですか?

まず、Nitrokey HSM を設定して、キーのバックアップと復元を使用できるようにします。その後、Smart Card Shell を使用してインポートします。もし鍵がJavaキーストアに保存されている場合は、代わりに`NitroKeyWrapper を使用することができます。

Q: Nitrokey HSMでクラウドインフラ/Kubernetesを保護するにはどうすればよいですか?

Hashicorp Vault/Bank-Vault の鍵を Nitrokey HSM で保護する方法は、banzaicloud.com で見ることができます。

**Q:**暗号通貨でNitrokey HSMを使用することはできますか?

J.v.d.Bosch は、Bitcoin ウォレットの秘密鍵を HSM で保護するためのシンプルでフリーな python program を書きました。Tezos は、`Nitrokey HSMで動作することが報告されています</x>。