Nitrokey HSM FAQ#

Q: Welke besturingssystemen worden ondersteund?

Windows, Linux en macOS.

Q: Waar kan ik de Nitrokey voor gebruiken?

Zie de frontpage voor een overzicht van ondersteunde use-cases.

Q: Wat is de maximale lengte van de PIN-code?

Nitrokey gebruikt pincodes in plaats van wachtwoorden. Het belangrijkste verschil is dat de hardware het aantal pogingen beperkt tot drie, terwijl er voor wachtwoorden geen limiet bestaat. Hierdoor is een korte PIN nog steeds veilig en is het niet nodig een lange en complexe PIN te kiezen.

Nitrokey PIN’s kunnen maximaal 16 cijfers lang zijn en kunnen bestaan uit cijfers, tekens en speciale tekens. Opmerking: Bij gebruik van GnuPG of OpenSC kunnen PIN’s van 32 tekens worden gebruikt, maar deze worden niet door de Nitrokey App ondersteund.

Q: Waarvoor dient de gebruikers-PIN?

De PIN is minstens 6 cijfers lang en wordt gebruikt om toegang te krijgen tot de inhoud van de Nitrokey. Dit is de PIN die u in het dagelijks gebruik vaak zult gebruiken.

De PIN-code kan uit maximaal 16 cijfers en andere tekens (bv. alfabetische en speciale tekens) bestaan. Maar aangezien de PIN-code wordt geblokkeerd zodra drie verkeerde PIN-pogingen zijn gedaan, is het voldoende veilig om slechts een PIN-code van 6 cijfers te hebben.

Q: Waar is de SO PIN voor?

De SO PIN wordt alleen in de Nitrokey HSM gebruikt en is zoiets als een “master” PIN met speciale eigenschappen. Lees deze instructies zorgvuldig door om de SO PIN van de Nitrokey HSM te begrijpen.

De SO PIN moet precies 16 cijfers lang zijn.

Q: Hoeveel gegevensobjecten (DF, EF) kunnen worden opgeslagen?

76 KB EEPROM totaal, dat kan worden gebruikt voor

  • max. 150 x ECC-521 sleutels of

  • max. 300 x ECC/AES-256 sleutels of

  • max. 19 x RSA-4096 sleutels of

  • max. 38 x RSA-2048 sleutels

Q: Hoeveel sleutels kan ik opslaan?

Nitrokey HSM kan 20 RSA-2048 en 31 ECC-256 sleutelparen opslaan.

Q: Hoe snel is versleutelen en ondertekenen?
  • Sleutelgeneratie op de kaart: RSA 2048: 2 per minuut

  • Sleutelgeneratie op de kaart: ECC 256: 10 per minuut.

  • Handtekening creatie met off-card hash: RSA 2048; 100 per minuut

  • Handtekening creatie met off-card hash: ECDSA 256: 360 per minuut

  • Aanmaken van handtekeningen met SHA-256 op de kaart en 1 kb data: RSA 2048; 68 per minuut

  • Aanmaken van handtekeningen met on-card SHA-256 en 1 kb data: ECDSA 256: 125 per minuut

Q: Hoe kan ik een Nitrokey HSM 1 van een Nitrokey HSM 2 onderscheiden?

Gebruik opensc-tool --list-algorithms en vergelijk met de tabel hieronder. Zie ook deze thread voor de factsheets en meer details.

Q: Welke algoritmen en maximale sleutellengte worden ondersteund?

Zie de volgende tabel:

Start

Pro + Storage

Pro 2 + Storage 2

HSM

HSM 2

RSA1024

RSA2048

rsa3072

RSA4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Hoe kan ik de True Random Number Generator (TRNG) van de Nitrokey HSM voor mijn toepassingen gebruiken?

Nitrokey HSM kan worden gebruikt met Botan en TokenTools door OpenSC als PKCS#11 driver te gebruiken.

OpenSSL kan’s RNG van Nitrokey HSM’s niet direct gebruiken omdat engine-pkcs11’geen mapping bevat voor OpenSSL naar C_GenerateRandom.

Q: Hoe goed is de Random Number Generator?

Nitrokey HSM gebruikt de True Random Number Generator van JCOP 2.4.1r3 die een kwaliteit van DRNG.2 heeft (volgens AIS 31 van de BSI).

Q: Welke API kan ik gebruiken?

OpenSC: Er bestaan uitgebreide instructies voor het OpenSC framework. Er is nitrotool als een meer comfortabele frontend voor OpenSC.

Ingebedde systemen: Voor systemen met een minimale geheugenafdruk wordt een alleen-lezen PKCS#11-module geleverd door het sc-hsm-embeddedded project. Deze PKCS#11-module is nuttig voor implementaties waar het genereren van sleutels op de werkplek van de gebruiker niet vereist is. De PKCS#11-module ondersteunt ook de belangrijkste elektronische handtekeningkaarten die op de Duitse markt beschikbaar zijn.

OpenSCDP: De SmartCard-HSM is volledig geïntegreerd met OpenSCDP, het open smartcard-ontwikkelingsplatform. Zie de openbare ondersteuningsscripts voor details. Om bestaande sleutels te importeren kun je de SCSH of NitroKeyWrapper gebruiken.

V: Is de Nitrokey HSM 2 Common Criteria of FIPS gecertificeerd?

De hardware en het besturingssysteem van de veiligheidscontroller’s zijn Common Criteria-gecertificeerd (Security Target; HSM2 Report; Zie hier, klik “ICs, Smart Cards and Smart Card-Related Devices and Systems” en zoek naar “NXP JCOP 3 P60”).

Q: Hoe importeer ik een bestaande sleutel in het Nitrokey HSM?

Ten eerste, ` stel`_ uw Nitrokey HSM in om sleutelback-up en -herstel te gebruiken. Gebruik dan Smart Card Shell voor het importeren. Als uw sleutel is opgeslagen in een Java sleutelbewaarplaats, kunt u NitroKeyWrapper in plaats daarvan gebruiken.

V: Hoe beveilig ik mijn cloudinfrastructuur/Kubernetes met Nitrokey HSM?

Een benadering voor het beveiligen van sleutels voor Hashicorp Vault/Bank-Vault op een Nitrokey HSM is te vinden op banzaicloud.com.

Q: Kan ik Nitrokey HSM met cryptocurrencies gebruiken?

J.v.d.Bosch schreef een eenvoudig, gratis python programma om de privésleutel van een Bitcoin-portemonnee in een HSM te beveiligen. Tezos is gerapporteerd dat het werkt met Nitrokey HSM.