Nitrokey HSM FAQ¶
- Q: Jakie systemy operacyjne są obsługiwane?
Windows, Linux i macOS.
- Q: Do czego mogę użyć Nitrokey?
Zobacz overview obsługiwanych przypadków użycia.
- Q: Jaka jest maksymalna długość kodu PIN?
Nitrokey używa PINów zamiast haseł. Główna różnica polega na tym, że sprzęt ogranicza ilość prób do trzech, podczas gdy w przypadku haseł nie ma takiego ograniczenia. Z tego powodu krótki PIN jest nadal bezpieczny i nie ma potrzeby wybierania długiego i skomplikowanego kodu PIN.
PINy Nitrokey mogą mieć długość do 16 cyfr i mogą składać się z cyfr, znaków i znaków specjalnych. Uwaga: W przypadku używania GnuPG lub OpenSC można używać PINów o długości 32 znaków, ale nie są one obsługiwane przez Nitrokey App.
- Q: Do czego służy kod PIN użytkownika?
Kod PIN składa się z co najmniej 6 cyfr i jest używany do uzyskania dostępu do zawartości Nitrokey. Jest to kod PIN, którego będziesz często używać w codziennym użytkowaniu.
PIN może składać się z maksymalnie 16 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN jest blokowany po trzech błędnych próbach, wystarczającym zabezpieczeniem jest posiadanie tylko 6-cyfrowego kodu PIN.
- Q: Do czego służy SO PIN?
SO PIN jest używany tylko w Nitrokey HSM i jest czymś w rodzaju „master” PIN ze specjalnymi właściwościami. Prosimy o uważne przeczytanie tej instrukcji, aby zrozumieć SO PIN dla HSM Nitrokey.
SO PIN musi mieć długość dokładnie 16 cyfr.
- Q: Ile obiektów danych (DF, EF) może być przechowywanych?
Łącznie 76 KB pamięci EEPROM, którą można wykorzystać do
maks. 150 x klucze ECC-521 lub
maks. 300 x klucze ECC/AES-256 lub
maks. 19 x RSA-4096 kluczy lub
maks. 38 x klucze RSA-2048
- Q: Ile kluczy mogę przechowywać?
Nitrokey HSM może przechowywać 20 par kluczy RSA-2048 i 31 par kluczy ECC-256.
- Q: Jak szybkie jest szyfrowanie i podpisywanie?
Generowanie kluczy na karcie: RSA 2048: 2 na minutę
Generowanie kluczy na karcie: ECC 256: 10 na minutę.
Tworzenie podpisu z hashowaniem poza kartą: RSA 2048; 100 na minutę
Tworzenie podpisu z hashowaniem poza kartą: ECDSA 256: 360 na minutę
Tworzenie podpisu z wbudowanym SHA-256 i 1 kb danych: RSA 2048; 68 na minutę
Tworzenie podpisu przy użyciu SHA-256 na karcie i 1 kb danych: ECDSA 256: 125 na minutę
- Q: Jak mogę odróżnić Nitrokey HSM 1 od Nitrokey HSM 2?
Użyj
opensc-tool --list-algorithmsi porównaj z poniższą tabelą. Proszę również zapoznać się z tym wątkiem, aby uzyskać arkusze informacyjne i więcej szczegółów.
- Q: Jakie algorytmy i maksymalna długość klucza są obsługiwane?
Patrz poniższa tabela:
Start |
Pro + Magazynowanie |
Pro 2 + Magazyn 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
krzywa25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
sekp256 |
✓ |
✓ |
✓ |
|||
sekp521 |
✓ |
- Q: Jak mogę wykorzystać Generator Prawdziwych Numerów Losowych (TRNG) HSM Nitrokey w moich aplikacjach?
Nitrokey HSM może być używany z Botan i TokenTools poprzez użycie OpenSC jako sterownika PKCS#11.
OpenSSL nie może użyć bezpośrednio Nitrokey HSM, ponieważ engine-pkcs11 nie zawiera mapowania dla OpenSSL do C_GenerateRandom.
- Q: Jak dobry jest Generator Liczb Losowych?
Nitrokey HSM używa Generatora Prawdziwych Liczb Losowych z JCOP 2.4.1r3, który ma jakość DRNG.2 (zgodnie z AIS 31 niemieckiego Federalnego Urzędu Bezpieczeństwa Informacji, BSI).
- Q: Którego API mogę użyć?
OpenSC: Istnieją wyczerpujące instrukcje dla frameworka OpenSC. Istnieje nitrotool jako wygodniejszy interfejs do OpenSC.
Systemy wbudowane: Dla systemów z minimalną ilością pamięci dostarczany jest moduł tylko do odczytu PKCS#11 w projekcie sc-hsm-embedded. Ten moduł PKCS#11 jest przydatny we wdrożeniach, w których nie jest wymagane generowanie kluczy w miejscu pracy użytkownika. Moduł PKCS#11 wspiera również główne karty podpisu elektronicznego dostępne na rynku niemieckim.
OpenSCDP: SmartCard-HSM jest w pełni zintegrowany z OpenSCDP, otwartą platformą rozwoju kart inteligentnych. Zobacz publiczne skrypty wsparcia, aby uzyskać szczegółowe informacje. Aby zaimportować istniejące klucze możesz użyć SCSH lub NitroKeyWrapper.
- Q: Czy Nitrokey 3 posiada certyfikat Common Criteria lub FIPS?
Kontroler zabezpieczeń (NXP JCOP 3 P60) posiada certyfikat Common Criteria EAL 5+ do poziomu systemu operacyjnego (Certyfikat, `Raport certyfikacyjny <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: Jak zaimportować istniejący klucz do HSM Nitrokey?
Najpierw ` skonfiguruj HSM Nitrokey do tworzenia kopii zapasowych i przywracania kluczy. Następnie użyj narzędzia Smart Card Shell do importu. Jeśli Twój klucz jest przechowywany w magazynie kluczy Java, możesz zamiast tego użyć NitroKeyWrapper.
- Q: Jak mogę zabezpieczyć moją infrastrukturę chmury/ubernetes za pomocą Nitrokey HSM?
Podejście do zabezpieczania kluczy dla Hashicorp Vault/Bank-Vault na HSM Nitrokey można znaleźć na stronie banzaicloud.com.
- Q: Czy mogę używać Nitrokey HSM z kryptowalutami?
J.v.d.Bosch napisał prosty, darmowy pythonowy program do zabezpieczenia klucza prywatnego portfela Bitcoin w HSM. Tezos został podany do pracy z Nitrokey HSM.