„Nitrokey HSM“ DUK

Q: Which Operating Systems are supported?

„Windows“, „Linux“ ir „MacOS“.

Q: What can I use the Nitrokey for?

See the overview of supported use cases.

Q: What is the maximum length of the PIN?

„Nitrokey“ vietoj slaptažodžių naudoja PIN kodus. Pagrindinis skirtumas yra tas, kad techninė įranga riboja bandymų skaičių iki trijų, o slaptažodžiams tokio apribojimo nėra. Dėl šios priežasties trumpas PIN kodas vis tiek yra saugus ir nereikia rinktis ilgo ir sudėtingo PIN kodo.

„Nitrokey“ PIN kodai gali būti iki 16 skaitmenų ilgio, juos gali sudaryti skaičiai, simboliai ir specialieji ženklai. Pastaba: naudojant „GnuPG“ arba „OpenSC“, galima naudoti 32 simbolių ilgio PIN kodus, tačiau „Nitrokey“ programa jų nepalaiko.

Q: What is the User PIN for?

PIN kodas yra bent 6 skaitmenų ilgio ir naudojamas norint gauti prieigą prie „Nitrokey“ turinio. Šį PIN kodą dažnai naudosite kiekvieną dieną.

PIN kodą gali sudaryti iki 16 skaitmenų ir kitų simbolių (pvz., raidžių ir specialiųjų ženklų). Tačiau kadangi PIN užblokuojamas, kai tik atliekami trys neteisingi PIN bandymai, pakankamai saugu turėti tik 6 skaitmenų PIN.

Q: What is the SO PIN for?

SO PIN kodas naudojamas tik „Nitrokey HSM“ ir yra tarsi „pagrindinis“ PIN kodas su specialiomis savybėmis. Atidžiai perskaitykite šią instrukciją, kad suprastumėte „Nitrokey HSM“ SO PIN kodą.

SO PIN kodas turi būti lygiai 16 skaitmenų ilgio.

Q: How many data objects (DF, EF) can be stored?

Iš viso 76 KB EEPROM, kurią galima naudoti

• max. 150 x ECC-521 klavišų arba

• max. 300 x ECC/AES-256 raktų arba

• max. 19 x RSA-4096 raktų arba

• max. 38 x RSA-2048 raktai

Q: How many keys can I store?

„Nitrokey HSM“ gali saugoti 20 RSA-2048 ir 31 ECC-256 raktų porą.

Q: How fast is encryption and signing?

• Raktas generuojamas kortelėje: RSA 2048: 2 per minutę

• Raktas generuojamas kortelėje: ECC 256: 10 per minutę.

• Parašo kūrimas naudojant ne kortelės hash: RSA 2048; 100 per minutę

• Parašo kūrimas naudojant ne kortelės hash: ECDSA 256: 360 per minutę

• Parašo kūrimas naudojant kortelėje esantį SHA-256 ir 1 kb duomenų: RSA 2048; 68 per minutę

• Parašo kūrimas naudojant kortelėje esantį SHA-256 ir 1 kb duomenų: ECDSA 256: 125 per minutę

Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?

Naudokite opensc-tool --list-algorithms ir palyginkite su toliau pateikta lentele. Taip pat žr. šią temą, kurioje rasite faktų lenteles ir daugiau informacijos.

Q: Which algorithms and maximum key length are supported?

Žr. šią lentelę:

	Pradžia	„Pro + Storage	„Pro 2“ + Storage 2	Nitrokey 3	HSM	HSM 2
rsa1024	✓	✓			✓	✓
rsa2048	✓	✓	✓	✓	✓	✓
rsa3072		✓	✓	✓		✓
rsa4096		✓	✓	✓		✓
kreivė25519	✓			✓
NIST-P 192						✓
NIST-P 256	✓		✓	✓		✓
NIST-P 384-521			✓			✓
„Brainpool“ 192					✓	✓
„Brainpool“ 256-320			✓		✓	✓
„Brainpool“ 384-521			✓			✓
Secp192					✓	✓
Secp256	✓				✓	✓
Secp521						✓

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?

„Nitrokey HSM“ galima naudoti su „Botan“ ir „TokenTools“, naudojant „OpenSC“ kaip PKCS#11 tvarkyklę.

OpenSSL negali tiesiogiai naudoti Nitrokey HSM’s RNG, nes engine-pkcs11 neturi OpenSSL atvaizdavimo į C_GenerateRandom.

Q: How good is the Random Number Generator?

„Nitrokey HSM“ naudoja JCOP 2.4.1r3 tikrojo atsitiktinių skaičių generatorių, kurio kokybė yra DRNG.2 (pagal AIS 31 Vokietijos federalinio informacijos saugumo biuro BSI).

Q: Which API can I use?

„OpenSC“: yra išsamių „OpenSC“ sistemos instrukcijų. Yra nitrotool kaip patogesnis OpenSC priedėlis.

Įterptinės sistemos: Projektas sc-hsm-embedded skirtas sistemoms su minimaliu atminties kiekiu. Šis PKCS#11 modulis naudingas diegiant sistemas, kai nereikia generuoti raktų naudotojo darbo vietoje. PKCS#11 modulis taip pat palaiko pagrindines Vokietijos rinkoje esančias elektroninio parašo korteles.

OpenSCDP: „SmartCard-HSM“ yra visiškai integruota su OpenSCDP, atvira išmaniųjų kortelių kūrimo platforma. Išsamesnės informacijos rasite viešuosiuose palaikymo scenarijuose. Norėdami importuoti esamus raktus, galite naudoti jos SCSH arba NitroKeyWrapper.

Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?

Saugos valdiklis (NXP JCOP 3 P60) yra sertifikuotas pagal Common Criteria EAL 5+ iki OS lygmens (Sertifikatas, `Sertifikavimo ataskaita <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Saugos tikslas, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: How to import an existing key into the Nitrokey HSM?

Pirmiausia nustatykite „Nitrokey HSM“, kad būtų galima naudoti atsarginę atsarginę raktų kopiją ir atkūrimą. Tada importui naudokite „Smart Card Shell“. Jei raktas saugomas „Java“ raktų saugykloje, vietoj jo galite naudoti `NitroKeyWrapper.

Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?

„Hashicorp Vault/Bank-Vault“ saugyklų raktų saugumo metodą „Nitrokey HSM“ galima rasti adresu banzaicloud.com.

Q: Can I use Nitrokey HSM with cryptocurrencies?

J.v.d.Bosch parašė paprastą nemokamą python programą, skirtą apsaugoti Bitcoin piniginės privatų raktą HSM. Tezos buvo `pranešta, kad jis veikia su Nitrokey HSM.