Nitrokey HSM FAQ¶
- **Q:**どのようなOSに対応していますか?
Windows、Linux、macOS。
- Q: Nitrokeyはどのような用途に使用できますか?
See the overview of supported use cases.
- Q: PINの長さはどのくらいですか?
Nitrokeyは、パスワードの代わりにPINを使用します。主な違いは、ハードウェアが試行回数を3回に制限しているのに対し、パスワードには制限がないことです。このため、短い暗証番号でも安全であり、長くて複雑な暗証番号を選択する必要はありません。
NitrokeyのPINは最大16桁の長さで、数字、文字、特殊文字で構成することができます。注:GnuPGまたはOpenSCを使用する場合、32文字の長さのPINを使用できますが、Nitrokey Appではサポートされていません。
- Q: ユーザーPINは何のためのものですか?
PIN は最低 6 桁の長さで、Nitrokey のコンテンツにアクセスするために使用されます。毎日の使用でたくさん使う暗証番号です。
暗証番号は、最大16桁の数字とその他の文字(アルファベットや特殊文字など)を使用することができます。しかし、暗証番号を3回間違えるとすぐにブロックされるため、6桁の暗証番号だけでも十分に安全です。
- Q: SOのPINは何のためにあるのですか?
SO PINは、Nitrokey HSMでのみ使用され、特殊な性質を持つ"master"PINのようなものです。この説明書をよく読んで、Nitrokey HSMのSO PINについて理解してください。
SO PINは正確に16桁の長さでなければなりません。
- Q: データオブジェクト(DF, EF)はいくつまで保存できますか?
合計76KBのEEPROMを使用することができます。
最大150 x ECC-521キーまたは
最大300 x ECC/AES-256キーまたは
最大19 x RSA-4096 キーまたは
最大RSA-2048鍵×38本
- Q: 鍵は何本まで保存できますか?
Nitrokey HSMは20個のRSA-2048と31個のECC-256のキーペアを保存できます。
- **Q:**暗号化や署名の速度はどのくらいですか?
鍵の生成はカード上で行います。RSA 2048: 2個/分
鍵の生成はカード上で行います。ECC 256:毎分10回。
オフカードハッシュによる署名作成RSA 2048; 100/分
オフカードハッシュでの署名作成ECDSA 256: 360/分
オンカードのSHA-256と1kbのデータで署名作成。RSA 2048; 68/分
オンカードのSHA-256と1kbのデータで署名作成。ECDSA 256: 125/分
- Q: Nitrokey HSM 1 と Nitrokey HSM 2 はどのように見分ければよいですか?
``opensc-tool --list-algorithms``を使って、下の表と比較してみてください。また、ファクトシートや詳細については`このスレッド`_をご覧ください。
スタート |
プロ+ストレージ |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
カーブ25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
ブレインプール 192 |
✓ |
✓ |
||||
ブレインプール 256-320 |
✓ |
✓ |
✓ |
|||
ブレインプール 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Nitrokey HSMのTRNG(True Random Number Generator)を自分のアプリケーションに使うにはどうしたらよいですか?
Nitrokey HSMは、PKCS#11ドライバとしてOpenSCを使用することにより、Botan や TokenTools で使用することが可能です。
engine-pkcs11にはOpenSSLからC_GenerateRandomへのマッピングがないため、OpenSSLはNitrokey HSMのRNGを直接使用することができません。
- **Q:**乱数発生器の性能はどうですか?
Nitrokey HSM は、DRNG.2 の品質を持つ JCOP 2.4.1r3 の True Random Number Generator を使用しています(ドイツ連邦情報セキュリティ局、BSI の AIS 31 による)。
- Q: どのAPIを使用すればよいのでしょうか?
OpenSC: OpenSCフレームワークの包括的な説明書があります。OpenSCのより快適なフロントエンドとして、nitrotoolがあります。
組み込みシステム。sc-sm-embedded プロジェクトでは、メモリ使用量を最小限に抑えたシステム向けに、読み取り専用の PKCS#11 モジュールを提供しています。 この PKCS#11 モジュールは、ユーザーの職場での鍵生成が必要ない場合に便利です。PKCS#11モジュールは、ドイツ市場で入手可能な主要な電子署名カードにも対応しています。
OpenSCDPSmartCard-HSMは、オープンなスマートカード開発プラットフォームであるOpenSCDPと完全に統合されています。詳細は、パブリックサポートスクリプトをご覧ください。既存の鍵をインポートするには、SCSHまたはNitroKeyWrapperを使用できます。
- Q: Nitrokey ProはCommon CriteriaまたはFIPS認証を取得していますか?
セキュリティコントローラ(NXP JCOP 3 P60)は、OSレベルまでコモンクライテリアEAL 5+認証を取得しています(`証明書<https://commoncriteriaportal.org/files/epfiles/NSCIB-certificate%2021-98209.pdf>`__,`認証レポート<https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20vversion%203.0%20(2022-10-14).pdf>`__,`セキュリティターゲット<https://commoncriteriaportal.org/files/epfiles/NSCIB-CC-98209_5-STLite.pdf>`__,`Java Card System Protection Profile Open Configuration, Version 3.0<https://commoncriteriaportal.org/files/ppfiles/ANSSI-CC-profil_PP-2010-03en.pdf>`__)。
- Q: Nitrokey HSM に既存の鍵をインポートするにはどうすればよいですか?
まず、Nitrokey HSM を設定して、キーのバックアップと復元を使用できるようにします。その後、Smart Card Shell を使用してインポートします。もし鍵がJavaキーストアに保存されている場合は、代わりに`NitroKeyWrapper を使用することができます。
- Q: Nitrokey HSMでクラウドインフラ/Kubernetesを保護するにはどうすればよいですか?
Hashicorp Vault/Bank-Vault の鍵を Nitrokey HSM で保護する方法は、banzaicloud.com で見ることができます。
- **Q:**暗号通貨でNitrokey HSMを使用することはできますか?
J.v.d.Bosch は、Bitcoin ウォレットの秘密鍵を HSM で保護するためのシンプルでフリーな python program を書きました。Tezos は、`Nitrokey HSMで動作することが報告されています</x>。