„Nitrokey HSM“ DUK

Q: Kokios operacinės sistemos palaikomos?

„Windows“, „Linux“ ir „MacOS“.

Q: Kam galiu naudoti „Nitrokey“?

See the overview of supported use cases.

Q: Koks yra didžiausias PIN kodo ilgis?

„Nitrokey“ vietoj slaptažodžių naudoja PIN kodus. Pagrindinis skirtumas yra tas, kad techninė įranga riboja bandymų skaičių iki trijų, o slaptažodžiams tokio apribojimo nėra. Dėl šios priežasties trumpas PIN kodas vis tiek yra saugus ir nereikia rinktis ilgo ir sudėtingo PIN kodo.

„Nitrokey“ PIN kodai gali būti iki 16 skaitmenų ilgio, juos gali sudaryti skaičiai, simboliai ir specialieji ženklai. Pastaba: naudojant „GnuPG“ arba „OpenSC“, galima naudoti 32 simbolių ilgio PIN kodus, tačiau „Nitrokey“ programa jų nepalaiko.

Q: Kam skirtas naudotojo PIN kodas?

PIN kodas yra bent 6 skaitmenų ilgio ir naudojamas norint gauti prieigą prie „Nitrokey“ turinio. Šį PIN kodą dažnai naudosite kiekvieną dieną.

PIN kodą gali sudaryti iki 16 skaitmenų ir kitų simbolių (pvz., raidžių ir specialiųjų ženklų). Tačiau kadangi PIN užblokuojamas, kai tik atliekami trys neteisingi PIN bandymai, pakankamai saugu turėti tik 6 skaitmenų PIN.

Q: Kam skirtas SO PIN kodas?

SO PIN kodas naudojamas tik „Nitrokey HSM“ ir yra tarsi „pagrindinis“ PIN kodas su specialiomis savybėmis. Atidžiai perskaitykite šią instrukciją, kad suprastumėte „Nitrokey HSM“ SO PIN kodą.

SO PIN kodas turi būti lygiai 16 skaitmenų ilgio.

Q: Kiek duomenų objektų (DF, EF) galima saugoti?

Iš viso 76 KB EEPROM, kurią galima naudoti

• max. 150 x ECC-521 klavišų arba

• max. 300 x ECC/AES-256 raktų arba

• max. 19 x RSA-4096 raktų arba

• max. 38 x RSA-2048 raktai

Q: Kiek raktų galima saugoti?

„Nitrokey HSM“ gali saugoti 20 RSA-2048 ir 31 ECC-256 raktų porą.

Q: Kaip greitai šifruojama ir pasirašoma?

• Raktas generuojamas kortelėje: RSA 2048: 2 per minutę

• Raktas generuojamas kortelėje: ECC 256: 10 per minutę.

• Parašo kūrimas naudojant ne kortelės hash: RSA 2048; 100 per minutę

• Parašo kūrimas naudojant ne kortelės hash: ECDSA 256: 360 per minutę

• Parašo kūrimas naudojant kortelėje esantį SHA-256 ir 1 kb duomenų: RSA 2048; 68 per minutę

• Parašo kūrimas naudojant kortelėje esantį SHA-256 ir 1 kb duomenų: ECDSA 256: 125 per minutę

Q: Kaip atskirti „Nitrokey HSM 1“ nuo „Nitrokey HSM 2“?

Naudokite opensc-tool --list-algorithms ir palyginkite su toliau pateikta lentele. Taip pat žr. šią temą, kurioje rasite faktų lenteles ir daugiau informacijos.

Q: Kokie algoritmai ir didžiausias rakto ilgis yra palaikomi?

Žr. šią lentelę:

	Pradžia	„Pro + Storage	„Pro 2“ + Storage 2	Nitrokey 3	HSM	HSM 2
rsa1024	✓	✓			✓	✓
rsa2048	✓	✓	✓	✓	✓	✓
rsa3072		✓	✓	✓		✓
rsa4096		✓	✓	✓		✓
kreivė25519	✓			✓
NIST-P 192						✓
NIST-P 256	✓		✓	✓		✓
NIST-P 384-521			✓			✓
„Brainpool“ 192					✓	✓
„Brainpool“ 256-320			✓		✓	✓
„Brainpool“ 384-521			✓			✓
Secp192					✓	✓
Secp256	✓				✓	✓
Secp521						✓

Q: Kaip galiu naudoti „Nitrokey HSM“ atsitiktinių skaičių generatorių (TRNG) savo programoms?

„Nitrokey HSM“ galima naudoti su „Botan“ ir „TokenTools“, naudojant „OpenSC“ kaip PKCS#11 tvarkyklę.

OpenSSL negali tiesiogiai naudoti Nitrokey HSM’s RNG, nes engine-pkcs11 neturi OpenSSL atvaizdavimo į C_GenerateRandom.

Q: Kaip gerai veikia atsitiktinių skaičių generatorius?

„Nitrokey HSM“ naudoja JCOP 2.4.1r3 tikrojo atsitiktinių skaičių generatorių, kurio kokybė yra DRNG.2 (pagal AIS 31 Vokietijos federalinio informacijos saugumo biuro BSI).

Q: Kurią API galiu naudoti?

„OpenSC“: yra išsamių „OpenSC“ sistemos instrukcijų. Yra nitrotool kaip patogesnis OpenSC priedėlis.

Įterptinės sistemos: Projektas sc-hsm-embedded skirtas sistemoms su minimaliu atminties kiekiu. Šis PKCS#11 modulis naudingas diegiant sistemas, kai nereikia generuoti raktų naudotojo darbo vietoje. PKCS#11 modulis taip pat palaiko pagrindines Vokietijos rinkoje esančias elektroninio parašo korteles.

OpenSCDP: „SmartCard-HSM“ yra visiškai integruota su OpenSCDP, atvira išmaniųjų kortelių kūrimo platforma. Išsamesnės informacijos rasite viešuosiuose palaikymo scenarijuose. Norėdami importuoti esamus raktus, galite naudoti jos SCSH arba NitroKeyWrapper.

Q: Ar „Nitrokey 3“ yra sertifikuotas pagal Bendruosius kriterijus arba FIPS?

Saugos valdiklis (NXP JCOP 3 P60) yra sertifikuotas pagal Common Criteria EAL 5+ iki OS lygmens (Sertifikatas, `Sertifikavimo ataskaita <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Saugos tikslas, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Kaip importuoti esamą raktą į „Nitrokey HSM“?

Pirmiausia nustatykite „Nitrokey HSM“, kad būtų galima naudoti atsarginę atsarginę raktų kopiją ir atkūrimą. Tada importui naudokite „Smart Card Shell“. Jei raktas saugomas „Java“ raktų saugykloje, vietoj jo galite naudoti `NitroKeyWrapper.

Q: Kaip apsaugoti savo debesų infrastruktūrą / „Kubernetes“ naudojant „Nitrokey HSM“?

„Hashicorp Vault/Bank-Vault“ saugyklų raktų saugumo metodą „Nitrokey HSM“ galima rasti adresu banzaicloud.com.

Q: Ar galiu naudoti „Nitrokey HSM“ su kriptovaliutomis?

J.v.d.Bosch parašė paprastą nemokamą python programą, skirtą apsaugoti Bitcoin piniginės privatų raktą HSM. Tezos buvo `pranešta, kad jis veikia su Nitrokey HSM.