Nitrokey HSM FAQ

Q: Which Operating Systems are supported?

Windows, Linux en macOS.

Q: What can I use the Nitrokey for?

See the overview of supported use cases.

Q: What is the maximum length of the PIN?

Nitrokey gebruikt pincodes in plaats van wachtwoorden. Het belangrijkste verschil is dat de hardware het aantal pogingen beperkt tot drie, terwijl er voor wachtwoorden geen limiet bestaat. Hierdoor is een korte PIN nog steeds veilig en is het niet nodig een lange en complexe PIN te kiezen.

Nitrokey PIN’s kunnen maximaal 16 cijfers lang zijn en kunnen bestaan uit cijfers, tekens en speciale tekens. Opmerking: Bij gebruik van GnuPG of OpenSC kunnen PIN’s van 32 tekens worden gebruikt, maar deze worden niet door de Nitrokey App ondersteund.

Q: What is the User PIN for?

De PIN is minstens 6 cijfers lang en wordt gebruikt om toegang te krijgen tot de inhoud van de Nitrokey. Dit is de PIN die u in het dagelijks gebruik vaak zult gebruiken.

De PIN-code kan uit maximaal 16 cijfers en andere tekens (bv. alfabetische en speciale tekens) bestaan. Maar aangezien de PIN-code wordt geblokkeerd zodra drie verkeerde PIN-pogingen zijn gedaan, is het voldoende veilig om slechts een PIN-code van 6 cijfers te hebben.

Q: What is the SO PIN for?

De SO PIN wordt alleen in de Nitrokey HSM gebruikt en is zoiets als een “master” PIN met speciale eigenschappen. Lees deze instructies zorgvuldig door om de SO PIN van de Nitrokey HSM te begrijpen.

De SO PIN moet precies 16 cijfers lang zijn.

Q: How many data objects (DF, EF) can be stored?

76 KB EEPROM totaal, dat kan worden gebruikt voor

  • max. 150 x ECC-521 sleutels of

  • max. 300 x ECC/AES-256 sleutels of

  • max. 19 x RSA-4096 sleutels of

  • max. 38 x RSA-2048 sleutels

Q: How many keys can I store?

Nitrokey HSM kan 20 RSA-2048 en 31 ECC-256 sleutelparen opslaan.

Q: How fast is encryption and signing?
  • Sleutelgeneratie op de kaart: RSA 2048: 2 per minuut

  • Sleutelgeneratie op de kaart: ECC 256: 10 per minuut.

  • Handtekening creatie met off-card hash: RSA 2048; 100 per minuut

  • Handtekening creatie met off-card hash: ECDSA 256: 360 per minuut

  • Aanmaken van handtekeningen met SHA-256 op de kaart en 1 kb data: RSA 2048; 68 per minuut

  • Aanmaken van handtekeningen met on-card SHA-256 en 1 kb data: ECDSA 256: 125 per minuut

Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?

Gebruik opensc-tool --list-algorithms en vergelijk met de tabel hieronder. Zie ook deze thread voor de factsheets en meer details.

Q: Which algorithms and maximum key length are supported?

Zie de volgende tabel:

Start

Pro + Storage

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

RSA1024

RSA2048

rsa3072

RSA4096

curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?

Nitrokey HSM kan worden gebruikt met Botan en TokenTools door OpenSC als PKCS#11 driver te gebruiken.

OpenSSL kan’s RNG van Nitrokey HSM’s niet direct gebruiken omdat engine-pkcs11’geen mapping bevat voor OpenSSL naar C_GenerateRandom.

Q: How good is the Random Number Generator?

Nitrokey HSM gebruikt de True Random Number Generator van JCOP 2.4.1r3 die een kwaliteit van DRNG.2 heeft (volgens AIS 31 van het Duitse Federale Bureau voor Informatiebeveiliging, BSI).

Q: Which API can I use?

OpenSC: Er bestaan uitgebreide instructies voor het OpenSC framework. Er is nitrotool als een meer comfortabele frontend voor OpenSC.

Ingebedde systemen: Voor systemen met een minimale geheugenafdruk wordt een alleen-lezen PKCS#11-module geleverd door het sc-hsm-embeddedded project. Deze PKCS#11-module is nuttig voor implementaties waar het genereren van sleutels op de werkplek van de gebruiker niet vereist is. De PKCS#11-module ondersteunt ook de belangrijkste elektronische handtekeningkaarten die op de Duitse markt beschikbaar zijn.

OpenSCDP: De SmartCard-HSM is volledig geïntegreerd met OpenSCDP, het open smartcard-ontwikkelingsplatform. Zie de openbare ondersteuningsscripts voor details. Om bestaande sleutels te importeren kun je de SCSH of NitroKeyWrapper gebruiken.

Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?

De beveiligingscontroller (NXP JCOP 3 P60) is Common Criteria EAL 5+ gecertificeerd tot op OS-niveau (Certificaat, `Certificeringsrapport <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: How to import an existing key into the Nitrokey HSM?

Ten eerste, ` stel`_ uw Nitrokey HSM in om sleutelback-up en -herstel te gebruiken. Gebruik dan Smart Card Shell voor het importeren. Als uw sleutel is opgeslagen in een Java sleutelbewaarplaats, kunt u NitroKeyWrapper in plaats daarvan gebruiken.

Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?

Een benadering voor het beveiligen van sleutels voor Hashicorp Vault/Bank-Vault op een Nitrokey HSM is te vinden op banzaicloud.com.

Q: Can I use Nitrokey HSM with cryptocurrencies?

J.v.d.Bosch schreef een eenvoudig, gratis python programma om de privésleutel van een Bitcoin-portemonnee in een HSM te beveiligen. Tezos is gerapporteerd dat het werkt met Nitrokey HSM.