Nitrokey HSM bieži uzdotie jautājumi

Q: Kādas operētājsistēmas tiek atbalstītas?

Windows, Linux un macOS.

Q: Kādos nolūkos es varu izmantot Nitrokey?

See the overview of supported use cases.

Q: Kāds ir maksimālais PIN koda garums?

Nitrokey paroļu vietā izmanto PIN kodus. Galvenā atšķirība ir tā, ka aparatūra ierobežo mēģinājumu skaitu līdz trim, bet parolei šāda ierobežojuma nav. Tāpēc īss PIN kods joprojām ir drošs, un nav nepieciešams izvēlēties garu un sarežģītu PIN kodu.

Nitrokey PIN var būt līdz 16 ciparu garš, un tas var sastāvēt no cipariem, rakstzīmēm un speciālajām rakstzīmēm. Piezīme: Izmantojot GnuPG vai OpenSC, var izmantot 32 rakstzīmju garus PIN kodus, taču Nitrokey lietotne tos neatbalsta.

Q: Kādam nolūkam tiek izmantots lietotāja PIN kods?

PIN kods ir vismaz sešciparu, un to izmanto, lai piekļūtu Nitrokey saturam. Šo PIN kodu jūs bieži izmantosiet ikdienā.

PIN kodā var būt līdz 16 cipariem un citām rakstzīmēm (piemēram, burtiem un speciālajām rakstzīmēm). Taču, tā kā PIN tiek bloķēts, tiklīdz ir veikti trīs nepareizi PIN iegūšanas mēģinājumi, ir pietiekami droši izmantot tikai 6 ciparu PIN kodu.

Q: Kādam nolūkam tiek izmantots SO PIN kods?

SO PIN kods tiek izmantots tikai Nitrokey HSM un ir kaut kas līdzīgs „galvenajam“ PIN kodam ar īpašām īpašībām. Lūdzu, uzmanīgi izlasiet šo instrukciju, lai izprastu Nitrokey HSM SO PIN kodu.

SO PIN jābūt tieši 16 ciparu garam.

Q: Cik daudz datu objektu (DF, EF) var saglabāt?

76 KB EEPROM, ko var izmantot

  • maks. 150 x ECC-521 taustiņi vai

  • maks. 300 x ECC/AES-256 atslēgas vai

  • maks. 19 x RSA-4096 atslēgas vai

  • maks. 38 x RSA-2048 atslēgas

Q: Cik daudz atslēgu var saglabāt?

Nitrokey HSM var saglabāt 20 RSA-2048 un 31 ECC-256 atslēgu pārus.

Q: Cik ātra ir šifrēšana un parakstīšana?
  • Atslēgas ģenerēšana kartē: RSA 2048: 2 minūtē

  • Atslēgas ģenerēšana kartē: ECC 256: 10 minūtē.

  • Paraksta izveide ar ārpuskartes hash: RSA 2048; 100 minūtē

  • Paraksta izveide ar ārpuskartes hash: ECDSA 256: 360 minūtē

  • Paraksta izveide ar kartē iebūvētu SHA-256 un 1 kb datiem: RSA 2048; 68 minūtē

  • Paraksta izveide ar kartē iebūvētu SHA-256 un 1 kb datiem: ECDSA 256: 125 minūtē

Q: Kā atšķirt Nitrokey HSM 1 no Nitrokey HSM 2?

Izmantojiet opensc-tool --list-algorithms un salīdziniet ar tālāk redzamo tabulu. Lūdzu, skatiet arī šo tēmu, lai iepazītos ar faktu lapām un sīkāku informāciju.

Q: Kādi algoritmi un maksimālais atslēgas garums tiek atbalstīti?

Skat. šādu tabulu:

Sākt

Pro + uzglabāšana

Pro 2 + krātuve 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

līkne25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Smadzeņu pūlis 192

Smadzeņu pūlis 256-320

Smadzeņu kopa 384-521

secp192

secp256

secp521

Q: Kā es varu izmantot Nitrokey HSM True Random Number Generator (TRNG) savos lietojumos?

Nitrokey HSM var izmantot ar Botan un TokenTools, izmantojot OpenSC kā PKCS#11 draiveri.

OpenSSL nevar tieši izmantot Nitrokey HSM’s RNG, jo engine-pkcs11 nesatur OpenSSL kartēšanu uz C_GenerateRandom.

Q: Cik labs ir nejaušo skaitļu ģenerators?

Nitrokey HSM izmanto JCOP 2.4.1r3 True Random Number Generator, kura kvalitāte ir DRNG.2 (saskaņā ar AIS 31 Vācijas Federālā informācijas drošības biroja BSI).

Q: Kuru API es varu izmantot?

OpenSC: OpenSC ietvaram ir pieejamas visaptverošas instrukcijas. Ir nitrotool kā ērtāks OpenSC frontends.

Iegultās sistēmas: Sistēmām ar minimālu atmiņas ietilpību projekts sc-hsm-embedded nodrošina PKCS#11 moduli tikai lasīšanai. Šis PKCS#11 modulis ir noderīgs izvietojumiem, kur atslēgas ģenerēšana lietotāja darbavietā nav nepieciešama. PKCS#11 modulis atbalsta arī galvenās Vācijas tirgū pieejamās elektroniskā paraksta kartes.

OpenSCDP: SmartCard-HSM ir pilnībā integrēta ar OpenSCDP, atvērto viedkaršu izstrādes platformu. Sīkāku informāciju sk. publiskajos atbalsta skriptos. Lai importētu esošās atslēgas, varat izmantot SCSH vai NitroKeyWrapper.

K: Vai Nitrokey 3 ir sertificēts pēc Common Criteria vai FIPS?

Drošības kontrolieris (NXP JCOP 3 P60) ir sertificēts pēc Common Criteria EAL 5+ līdz pat operētājsistēmas līmenim (Sertifikāts, `Sertifikācijas ziņojums <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Drošības mērķis, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Kā importēt esošo atslēgu Nitrokey HSM?

Vispirms iestatiet savu Nitrokey HSM, lai izmantotu atslēgu dublēšanu un atjaunošanu. Pēc tam importēšanai izmantojiet Smart Card Shell. Ja atslēga ir saglabāta Java atslēgu krātuvē, tās vietā varat izmantot NitroKeyWrapper.

Q: Kā nodrošināt mākoņinfrastruktūru/Kubernetes ar Nitrokey HSM?

Pieeju, kā nodrošināt atslēgas Hashicorp Vault/Bank-Vault ar Nitrokey HSM, var atrast banzaicloud.com.

Q: Vai es varu izmantot Nitrokey HSM ar kriptovalūtām?

J.v.d.Bosch uzrakstīja vienkāršu, bezmaksas python programmu, lai nodrošinātu Bitcoin maku privāto atslēgu HSM. Tezos ir ziņots, ka tas darbojas ar Nitrokey HSM.