Nitrokey HSM FAQ#
- Q: Jakie systemy operacyjne są obsługiwane?
Windows, Linux i macOS.
- Q: Do czego można wykorzystać Nitrokey?
Przegląd obsługiwanych przypadków użycia można znaleźć na stronie frontpage.
- Q: Jaka jest maksymalna długość kodu PIN?
Nitrokey używa kodów PIN zamiast haseł. Główna różnica polega na tym, że sprzęt ogranicza liczbę prób do trzech, podczas gdy w przypadku haseł taki limit nie istnieje. Z tego powodu krótki PIN jest nadal bezpieczny i nie ma potrzeby wybierania długiego i skomplikowanego kodu PIN.
Nitrokey PIN może mieć długość do 16 cyfr i może składać się z cyfr, znaków i znaków specjalnych. Uwaga: W przypadku używania GnuPG lub OpenSC można używać PINów o długości 32 znaków, ale nie są one obsługiwane przez Nitrokey App.
- Q: Do czego służy kod PIN użytkownika?
Kod PIN składa się z co najmniej 6 cyfr i jest używany do uzyskania dostępu do zawartości Nitrokey. Jest to kod PIN, którego będziesz często używać w codziennym użytkowaniu.
Kod PIN może składać się z maksymalnie 16 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN jest blokowany po trzech błędnych próbach jego wprowadzenia, wystarczającym zabezpieczeniem jest wprowadzenie tylko 6-cyfrowego kodu PIN.
- Q: Do czego służy SO PIN?
SO PIN jest używany tylko w HSM Nitrokey i jest czymś w rodzaju „głównego” kodu PIN o specjalnych właściwościach. Prosimy o dokładne zapoznanie się z niniejszą instrukcją, aby zrozumieć działanie SO PIN dla HSM Nitrokey.
Kod SO PIN musi składać się z dokładnie 16 cyfr.
- Q: Ile obiektów danych (DF, EF) może być przechowywanych?
Łącznie 76 KB pamięci EEPROM, którą można wykorzystać do
maks. 150 x klucze ECC-521 lub
maks. 300 x klucze ECC/AES-256 lub
maks. 19 x RSA-4096 kluczy lub
maks. 38 x klucze RSA-2048
- Q: Ile kluczy można przechowywać?
Nitrokey HSM może przechowywać 20 par kluczy RSA-2048 i 31 par kluczy ECC-256.
- Q: Jak szybkie jest szyfrowanie i podpisywanie?
Generowanie kluczy na karcie: RSA 2048: 2 na minutę
Generowanie kluczy na karcie: ECC 256: 10 na minutę.
Tworzenie podpisu z hashowaniem poza kartą: RSA 2048; 100 na minutę
Tworzenie podpisu z hashowaniem poza kartą: ECDSA 256: 360 na minutę
Tworzenie podpisu przy użyciu wbudowanego SHA-256 i 1 kb danych: RSA 2048; 68 na minutę
Tworzenie podpisu przy użyciu wbudowanego SHA-256 i 1 kb danych: ECDSA 256: 125 na minutę
- Q: Jak mogę odróżnić Nitrokey HSM 1 od Nitrokey HSM 2?
Użyj
opensc-tool --list-algorithmsi porównaj z poniższą tabelą. Więcej szczegółów można znaleźć w tym wątku, gdzie znajdują się arkusze informacyjne.
- Q: Jakie algorytmy i maksymalna długość klucza są obsługiwane?
Patrz poniższa tabela:
Start |
Pro + Magazynowanie |
Pro 2 + Magazyn 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
krzywa25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
sekp256 |
✓ |
✓ |
✓ |
|||
sekp521 |
✓ |
- Q: Jak mogę wykorzystać Generator Prawdziwych Numerów Losowych (TRNG) HSM Nitrokey w moich aplikacjach?
Nitrokey HSM może być używany z Botan i TokenTools poprzez użycie OpenSC jako sterownika PKCS#11.
OpenSSL nie może bezpośrednio korzystać z RNG Nitrokey HSM, ponieważ engine-pkcs11 nie zawiera mapowania dla OpenSSL do C_GenerateRandom.
- Q: Jak dobry jest Generator Liczb Losowych?
Nitrokey HSM używa Generatora Prawdziwych Liczb Losowych z JCOP 2.4.1r3, który ma jakość DRNG.2 (zgodnie z AIS 31 niemieckiego Federalnego Urzędu Bezpieczeństwa Informacji, BSI).
- Q: Którego API mogę użyć?
OpenSC: Istnieją wyczerpujące instrukcje dotyczące frameworka OpenSC. Istnieje również nitrotool, który jest wygodniejszym interfejsem do OpenSC.
Systemy wbudowane: Projekt sc-hsm-embedded dostarcza moduł PKCS#11 tylko do odczytu dla systemów z minimalną ilością pamięci. Ten moduł PKCS#11 jest przydatny we wdrożeniach, w których nie jest wymagane generowanie kluczy w miejscu pracy użytkownika. Moduł PKCS#11 obsługuje również najważniejsze karty podpisu elektronicznego dostępne na rynku niemieckim.
OpenSCDP: SmartCard-HSM jest w pełni zintegrowany z OpenSCDP, otwartą platformą programistyczną dla kart inteligentnych. Szczegóły znajdują się w skryptach pomocy publicznej. Aby zaimportować istniejące klucze, można użyć SCSH lub NitroKeyWrapper.
- Q: Czy Nitrokey 3 posiada certyfikat Common Criteria lub FIPS?
Sprzęt i system operacyjny kontrolera bezpieczeństwa posiadają certyfikat Common Criteria (Security Target; HSM2 Report; Zobacz tutaj, kliknij „ICs, Smart Cards and Smart Card-Related Devices and Systems” i wyszukaj „NXP JCOP 3 P60”).
- Q: Jak zaimportować istniejący klucz do HSM Nitrokey?
Najpierw ` skonfiguruj HSM Nitrokey do tworzenia kopii zapasowych i przywracania kluczy. Następnie użyj narzędzia Smart Card Shell do importu. Jeśli Twój klucz jest przechowywany w magazynie kluczy Java, możesz zamiast tego użyć NitroKeyWrapper.
- Q: Jak mogę zabezpieczyć moją infrastrukturę chmury/ubernetes za pomocą Nitrokey HSM?
Podejście do zabezpieczania kluczy dla Hashicorp Vault/Bank-Vault na HSM Nitrokey można znaleźć na stronie banzaicloud.com.
- Q: Czy mogę używać Nitrokey HSM z kryptowalutami?
J.v.d.Bosch napisał prosty, darmowy pythonowy program do zabezpieczenia klucza prywatnego portfela Bitcoin w HSM. Tezos został podany do pracy z Nitrokey HSM.