Nitrokey HSM FAQ#

Q: Jakie systemy operacyjne są obsługiwane?

Windows, Linux i macOS.

Q: Do czego można wykorzystać Nitrokey?

Przegląd obsługiwanych przypadków użycia można znaleźć na stronie frontpage.

Q: Jaka jest maksymalna długość kodu PIN?

Nitrokey używa kodów PIN zamiast haseł. Główna różnica polega na tym, że sprzęt ogranicza liczbę prób do trzech, podczas gdy w przypadku haseł taki limit nie istnieje. Z tego powodu krótki PIN jest nadal bezpieczny i nie ma potrzeby wybierania długiego i skomplikowanego kodu PIN.

Nitrokey PIN może mieć długość do 16 cyfr i może składać się z cyfr, znaków i znaków specjalnych. Uwaga: W przypadku używania GnuPG lub OpenSC można używać PINów o długości 32 znaków, ale nie są one obsługiwane przez Nitrokey App.

Q: Do czego służy kod PIN użytkownika?

Kod PIN składa się z co najmniej 6 cyfr i jest używany do uzyskania dostępu do zawartości Nitrokey. Jest to kod PIN, którego będziesz często używać w codziennym użytkowaniu.

Kod PIN może składać się z maksymalnie 16 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN jest blokowany po trzech błędnych próbach jego wprowadzenia, wystarczającym zabezpieczeniem jest wprowadzenie tylko 6-cyfrowego kodu PIN.

Q: Do czego służy SO PIN?

SO PIN jest używany tylko w HSM Nitrokey i jest czymś w rodzaju „głównego” kodu PIN o specjalnych właściwościach. Prosimy o dokładne zapoznanie się z niniejszą instrukcją, aby zrozumieć działanie SO PIN dla HSM Nitrokey.

Kod SO PIN musi składać się z dokładnie 16 cyfr.

Q: Ile obiektów danych (DF, EF) może być przechowywanych?

Łącznie 76 KB pamięci EEPROM, którą można wykorzystać do

  • maks. 150 x klucze ECC-521 lub

  • maks. 300 x klucze ECC/AES-256 lub

  • maks. 19 x RSA-4096 kluczy lub

  • maks. 38 x klucze RSA-2048

Q: Ile kluczy można przechowywać?

Nitrokey HSM może przechowywać 20 par kluczy RSA-2048 i 31 par kluczy ECC-256.

Q: Jak szybkie jest szyfrowanie i podpisywanie?
  • Generowanie kluczy na karcie: RSA 2048: 2 na minutę

  • Generowanie kluczy na karcie: ECC 256: 10 na minutę.

  • Tworzenie podpisu z hashowaniem poza kartą: RSA 2048; 100 na minutę

  • Tworzenie podpisu z hashowaniem poza kartą: ECDSA 256: 360 na minutę

  • Tworzenie podpisu przy użyciu wbudowanego SHA-256 i 1 kb danych: RSA 2048; 68 na minutę

  • Tworzenie podpisu przy użyciu wbudowanego SHA-256 i 1 kb danych: ECDSA 256: 125 na minutę

Q: Jak mogę odróżnić Nitrokey HSM 1 od Nitrokey HSM 2?

Użyj opensc-tool --list-algorithms i porównaj z poniższą tabelą. Więcej szczegółów można znaleźć w tym wątku, gdzie znajdują się arkusze informacyjne.

Q: Jakie algorytmy i maksymalna długość klucza są obsługiwane?

Patrz poniższa tabela:

Start

Pro + Magazynowanie

Pro 2 + Magazyn 2

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

krzywa25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

sekp256

sekp521

Q: Jak mogę wykorzystać Generator Prawdziwych Numerów Losowych (TRNG) HSM Nitrokey w moich aplikacjach?

Nitrokey HSM może być używany z Botan i TokenTools poprzez użycie OpenSC jako sterownika PKCS#11.

OpenSSL nie może bezpośrednio korzystać z RNG Nitrokey HSM, ponieważ engine-pkcs11 nie zawiera mapowania dla OpenSSL do C_GenerateRandom.

Q: Jak dobry jest Generator Liczb Losowych?

HSM Nitrokey wykorzystuje Generator Prawdziwych Liczb Losowych JCOP 2.4.1r3, który ma jakość DRNG.2 (zgodnie z AIS 31 BSI).

Q: Którego API mogę użyć?

OpenSC: Istnieją wyczerpujące instrukcje dotyczące frameworka OpenSC. Istnieje również nitrotool, który jest wygodniejszym interfejsem do OpenSC.

Systemy wbudowane: Projekt sc-hsm-embedded dostarcza moduł PKCS#11 tylko do odczytu dla systemów z minimalną ilością pamięci. Ten moduł PKCS#11 jest przydatny we wdrożeniach, w których nie jest wymagane generowanie kluczy w miejscu pracy użytkownika. Moduł PKCS#11 obsługuje również najważniejsze karty podpisu elektronicznego dostępne na rynku niemieckim.

OpenSCDP: SmartCard-HSM jest w pełni zintegrowany z OpenSCDP, otwartą platformą programistyczną dla kart inteligentnych. Szczegóły znajdują się w skryptach pomocy publicznej. Aby zaimportować istniejące klucze, można użyć SCSH lub NitroKeyWrapper.

Q: Czy Nitrokey 3 posiada certyfikat Common Criteria lub FIPS?

Sprzęt i system operacyjny kontrolera bezpieczeństwa’posiadają certyfikat Common Criteria (Security Target; HSM2 Report; Zobacz here, kliknij „ICs, Smart Cards and Smart Card-Related Devices and Systems” i wyszukaj „NXP JCOP 3 P60”).

Q: Jak zaimportować istniejący klucz do HSM Nitrokey?

Najpierw ` skonfiguruj HSM Nitrokey do tworzenia kopii zapasowych i przywracania kluczy. Następnie użyj narzędzia Smart Card Shell do importu. Jeśli Twój klucz jest przechowywany w magazynie kluczy Java, możesz zamiast tego użyć NitroKeyWrapper.

Q: Jak mogę zabezpieczyć moją infrastrukturę chmury/ubernetes za pomocą Nitrokey HSM?

Podejście do zabezpieczania kluczy dla Hashicorp Vault/Bank-Vault na HSM Nitrokey można znaleźć na stronie banzaicloud.com.

Q: Czy mogę używać Nitrokey HSM z kryptowalutami?

J.v.d.Bosch napisał prosty, darmowy pythonowy program do zabezpieczenia klucza prywatnego portfela Bitcoin w HSM. Tezos został podany do pracy z Nitrokey HSM.