Nitrokey HSM FAQ#

**Q:**どのようなOSに対応していますか?

Windows、Linux、macOS。

Q: Nitrokeyはどのような用途に使用できますか?

See the overview of supported use cases.

Q: PINの長さはどのくらいですか?

Nitrokeyは、パスワードの代わりにPINを使用します。主な違いは、ハードウェアが試行回数を3回に制限しているのに対し、パスワードには制限がないことです。このため、短い暗証番号でも安全であり、長くて複雑な暗証番号を選択する必要はありません。

NitrokeyのPINは最大16桁の長さで、数字、文字、特殊文字で構成することができます。注:GnuPGまたはOpenSCを使用する場合、32文字の長さのPINを使用できますが、Nitrokey Appではサポートされていません。

Q: ユーザーPINは何のためのものですか?

PIN は最低 6 桁の長さで、Nitrokey のコンテンツにアクセスするために使用されます。毎日の使用でたくさん使う暗証番号です。

暗証番号は、最大16桁の数字とその他の文字(アルファベットや特殊文字など)を使用することができます。しかし、暗証番号を3回間違えるとすぐにブロックされるため、6桁の暗証番号だけでも十分に安全です。

Q: SOのPINは何のためにあるのですか?

SO PINは、Nitrokey HSMでのみ使用され、特殊な性質を持つ"master"PINのようなものです。この説明書をよく読んで、Nitrokey HSMのSO PINについて理解してください。

SO PINは正確に16桁の長さでなければなりません。

Q: データオブジェクト(DF, EF)はいくつまで保存できますか?

合計76KBのEEPROMを使用することができます。

  • 最大150 x ECC-521キーまたは

  • 最大300 x ECC/AES-256キーまたは

  • 最大19 x RSA-4096 キーまたは

  • 最大RSA-2048鍵×38本

Q: 鍵は何本まで保存できますか?

Nitrokey HSMは20個のRSA-2048と31個のECC-256のキーペアを保存できます。

**Q:**暗号化や署名の速度はどのくらいですか?
  • 鍵の生成はカード上で行います。RSA 2048: 2個/分

  • 鍵の生成はカード上で行います。ECC 256:毎分10回。

  • オフカードハッシュによる署名作成RSA 2048; 100/分

  • オフカードハッシュでの署名作成ECDSA 256: 360/分

  • オンカードのSHA-256と1kbのデータで署名作成。RSA 2048; 68/分

  • オンカードのSHA-256と1kbのデータで署名作成。ECDSA 256: 125/分

Q: Nitrokey HSM 1 と Nitrokey HSM 2 はどのように見分ければよいですか?

``opensc-tool --list-algorithms``を使って、下の表と比較してみてください。また、ファクトシートや詳細については`このスレッド`_をご覧ください。

**Q:**どのようなアルゴリズムと最大鍵長に対応していますか?

次の表を参照してください。

スタート

プロ+ストレージ

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

カーブ25519

NIST-P 192

NIST-P 256

NIST-P 384-521

ブレインプール 192

ブレインプール 256-320

ブレインプール 384-521

secp192

secp256

secp521

Q: Nitrokey HSMのTRNG(True Random Number Generator)を自分のアプリケーションに使うにはどうしたらよいですか?

Nitrokey HSMは、PKCS#11ドライバとしてOpenSCを使用することにより、BotanTokenTools で使用することが可能です。

engine-pkcs11にはOpenSSLからC_GenerateRandomへのマッピングがないため、OpenSSLはNitrokey HSMのRNGを直接使用することができません。

**Q:**乱数発生器の性能はどうですか?

Nitrokey HSM は、DRNG.2 の品質を持つ JCOP 2.4.1r3 の True Random Number Generator を使用しています(ドイツ連邦情報セキュリティ局、BSI の AIS 31 による)。

Q: どのAPIを使用すればよいのでしょうか?

OpenSC: OpenSCフレームワークの包括的な説明書があります。OpenSCのより快適なフロントエンドとして、nitrotoolがあります。

組み込みシステム。sc-sm-embedded プロジェクトでは、メモリ使用量を最小限に抑えたシステム向けに、読み取り専用の PKCS#11 モジュールを提供しています。 この PKCS#11 モジュールは、ユーザーの職場での鍵生成が必要ない場合に便利です。PKCS#11モジュールは、ドイツ市場で入手可能な主要な電子署名カードにも対応しています。

OpenSCDPSmartCard-HSMは、オープンなスマートカード開発プラットフォームであるOpenSCDPと完全に統合されています。詳細は、パブリックサポートスクリプトをご覧ください。既存の鍵をインポートするには、SCSHまたはNitroKeyWrapperを使用できます。

Q: Nitrokey ProはCommon CriteriaまたはFIPS認証を取得していますか?

セキュリティコントローラ(NXP JCOP 3 P60)は、OSレベルまでコモンクライテリアEAL 5+認証を取得しています(`証明書<https://commoncriteriaportal.org/files/epfiles/NSCIB-certificate%2021-98209.pdf>`__,`認証レポート<https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20vversion%203.0%20(2022-10-14).pdf>`__,`セキュリティターゲット<https://commoncriteriaportal.org/files/epfiles/NSCIB-CC-98209_5-STLite.pdf>`__,`Java Card System Protection Profile Open Configuration, Version 3.0<https://commoncriteriaportal.org/files/ppfiles/ANSSI-CC-profil_PP-2010-03en.pdf>`__)。

Q: Nitrokey HSM に既存の鍵をインポートするにはどうすればよいですか?

まず、Nitrokey HSM を設定して、キーのバックアップと復元を使用できるようにします。その後、Smart Card Shell を使用してインポートします。もし鍵がJavaキーストアに保存されている場合は、代わりに`NitroKeyWrapper を使用することができます。

Q: Nitrokey HSMでクラウドインフラ/Kubernetesを保護するにはどうすればよいですか?

Hashicorp Vault/Bank-Vault の鍵を Nitrokey HSM で保護する方法は、banzaicloud.com で見ることができます。

**Q:**暗号通貨でNitrokey HSMを使用することはできますか?

J.v.d.Bosch は、Bitcoin ウォレットの秘密鍵を HSM で保護するためのシンプルでフリーな python program を書きました。Tezos は、`Nitrokey HSMで動作することが報告されています</x>。