Nitrokey HSM FAQ#

Q: Jakie systemy operacyjne są obsługiwane?

Windows, Linux i macOS.

Q: Do czego mogę użyć Nitrokey?

Zobacz overview obsługiwanych przypadków użycia.

Q: Jaka jest maksymalna długość kodu PIN?

Nitrokey używa PINów zamiast haseł. Główna różnica polega na tym, że sprzęt ogranicza ilość prób do trzech, podczas gdy w przypadku haseł nie ma takiego ograniczenia. Z tego powodu krótki PIN jest nadal bezpieczny i nie ma potrzeby wybierania długiego i skomplikowanego kodu PIN.

PINy Nitrokey mogą mieć długość do 16 cyfr i mogą składać się z cyfr, znaków i znaków specjalnych. Uwaga: W przypadku używania GnuPG lub OpenSC można używać PINów o długości 32 znaków, ale nie są one obsługiwane przez Nitrokey App.

Q: Do czego służy kod PIN użytkownika?

Kod PIN składa się z co najmniej 6 cyfr i jest używany do uzyskania dostępu do zawartości Nitrokey. Jest to kod PIN, którego będziesz często używać w codziennym użytkowaniu.

PIN może składać się z maksymalnie 16 cyfr i innych znaków (np. alfabetycznych i specjalnych). Ponieważ jednak kod PIN jest blokowany po trzech błędnych próbach, wystarczającym zabezpieczeniem jest posiadanie tylko 6-cyfrowego kodu PIN.

Q: Do czego służy SO PIN?

SO PIN jest używany tylko w Nitrokey HSM i jest czymś w rodzaju „master” PIN ze specjalnymi właściwościami. Prosimy o uważne przeczytanie tej instrukcji, aby zrozumieć SO PIN dla HSM Nitrokey.

SO PIN musi mieć długość dokładnie 16 cyfr.

Q: Ile obiektów danych (DF, EF) może być przechowywanych?

Łącznie 76 KB pamięci EEPROM, którą można wykorzystać do

  • maks. 150 x klucze ECC-521 lub

  • maks. 300 x klucze ECC/AES-256 lub

  • maks. 19 x RSA-4096 kluczy lub

  • maks. 38 x klucze RSA-2048

Q: Ile kluczy mogę przechowywać?

Nitrokey HSM może przechowywać 20 par kluczy RSA-2048 i 31 par kluczy ECC-256.

Q: Jak szybkie jest szyfrowanie i podpisywanie?
  • Generowanie kluczy na karcie: RSA 2048: 2 na minutę

  • Generowanie kluczy na karcie: ECC 256: 10 na minutę.

  • Tworzenie podpisu z hashowaniem poza kartą: RSA 2048; 100 na minutę

  • Tworzenie podpisu z hashowaniem poza kartą: ECDSA 256: 360 na minutę

  • Tworzenie podpisu z wbudowanym SHA-256 i 1 kb danych: RSA 2048; 68 na minutę

  • Tworzenie podpisu przy użyciu SHA-256 na karcie i 1 kb danych: ECDSA 256: 125 na minutę

Q: Jak mogę odróżnić Nitrokey HSM 1 od Nitrokey HSM 2?

Użyj opensc-tool --list-algorithms i porównaj z poniższą tabelą. Proszę również zapoznać się z tym wątkiem, aby uzyskać arkusze informacyjne i więcej szczegółów.

Q: Jakie algorytmy i maksymalna długość klucza są obsługiwane?

Patrz poniższa tabela:

Start

Pro + Magazynowanie

Pro 2 + Magazyn 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

krzywa25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

sekp256

sekp521

Q: Jak mogę wykorzystać Generator Prawdziwych Numerów Losowych (TRNG) HSM Nitrokey w moich aplikacjach?

Nitrokey HSM może być używany z Botan i TokenTools poprzez użycie OpenSC jako sterownika PKCS#11.

OpenSSL nie może użyć bezpośrednio Nitrokey HSM, ponieważ engine-pkcs11 nie zawiera mapowania dla OpenSSL do C_GenerateRandom.

Q: Jak dobry jest Generator Liczb Losowych?

Nitrokey HSM używa Generatora Prawdziwych Liczb Losowych z JCOP 2.4.1r3, który ma jakość DRNG.2 (zgodnie z AIS 31 niemieckiego Federalnego Urzędu Bezpieczeństwa Informacji, BSI).

Q: Którego API mogę użyć?

OpenSC: Istnieją wyczerpujące instrukcje dla frameworka OpenSC. Istnieje nitrotool jako wygodniejszy interfejs do OpenSC.

Systemy wbudowane: Dla systemów z minimalną ilością pamięci dostarczany jest moduł tylko do odczytu PKCS#11 w projekcie sc-hsm-embedded. Ten moduł PKCS#11 jest przydatny we wdrożeniach, w których nie jest wymagane generowanie kluczy w miejscu pracy użytkownika. Moduł PKCS#11 wspiera również główne karty podpisu elektronicznego dostępne na rynku niemieckim.

OpenSCDP: SmartCard-HSM jest w pełni zintegrowany z OpenSCDP, otwartą platformą rozwoju kart inteligentnych. Zobacz publiczne skrypty wsparcia, aby uzyskać szczegółowe informacje. Aby zaimportować istniejące klucze możesz użyć SCSH lub NitroKeyWrapper.

Q: Czy Nitrokey 3 posiada certyfikat Common Criteria lub FIPS?

Kontroler zabezpieczeń (NXP JCOP 3 P60) posiada certyfikat Common Criteria EAL 5+ do poziomu systemu operacyjnego (Certyfikat, `Raport certyfikacyjny <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Jak zaimportować istniejący klucz do HSM Nitrokey?

Najpierw ` skonfiguruj HSM Nitrokey do tworzenia kopii zapasowych i przywracania kluczy. Następnie użyj narzędzia Smart Card Shell do importu. Jeśli Twój klucz jest przechowywany w magazynie kluczy Java, możesz zamiast tego użyć NitroKeyWrapper.

Q: Jak mogę zabezpieczyć moją infrastrukturę chmury/ubernetes za pomocą Nitrokey HSM?

Podejście do zabezpieczania kluczy dla Hashicorp Vault/Bank-Vault na HSM Nitrokey można znaleźć na stronie banzaicloud.com.

Q: Czy mogę używać Nitrokey HSM z kryptowalutami?

J.v.d.Bosch napisał prosty, darmowy pythonowy program do zabezpieczenia klucza prywatnego portfela Bitcoin w HSM. Tezos został podany do pracy z Nitrokey HSM.