Nitrokey HSM FAQ¶
- Q: Que Sistemas Operacionais são suportados?
Windows, Linux e macOS.
- **Q:**Para que posso usar a Nitrokey?
Consulte a overview dos casos de utilização suportados.
- Q: Qual é o comprimento máximo do PIN?
A Nitrokey usa PINs em vez de senhas. A principal diferença é que o hardware limita a quantidade de tentativas a três enquanto um limite não’t existe para senhas. Por causa disso, um PIN curto ainda é seguro e não há necessidade de escolher um PIN longo e complexo.
Os PINs Nitrokey podem ter até 16 dígitos e podem ser compostos por números, caracteres e caracteres especiais. Nota: Ao usar GnuPG ou OpenSC, podem ser usados PINs com 32 caracteres mas são’t suportados pela Nitrokey App.
- Q: Para que serve o PIN do utilizador?
O PIN tem pelo menos 6 dígitos e é utilizado para ter acesso ao conteúdo da Nitrokey. Este é o PIN que utilizará muito em cada dia de utilização.
O PIN pode ter até 16 dígitos e outros caracteres (por exemplo, caracteres alfabéticos e especiais). Mas como o PIN é bloqueado assim que três tentativas erradas de PIN são feitas, ele é suficientemente seguro para ter apenas um PIN de 6 dígitos.
- Q: Para que serve o PIN SO?
O PIN SO é usado apenas no Nitrokey HSM e é algo como um «master» PIN com propriedades especiais. Por favor leia atentamente estas instruções para compreender o PIN SO do Nitrokey HSM.
O PIN SO tem de ter exactamente 16 dígitos.
- Q: Quantos objetos de dados (DF, EF) podem ser armazenados?
76 KB EEPROM total, que pode ser utilizado para
máximo. 150 x ECC-521 chaves ou
máximo. 300 x ECC/AES-256 chaves ou
máximo. 19 x RSA-4096 chaves ou
máximo. 38 x chaves RSA-2048
- **Quantas chaves posso guardar?
Nitrokey HSM pode armazenar 20 pares de chaves RSA-2048 e 31 pares de chaves ECC-256.
- Q: Quão rápido é a encriptação e a assinatura?
Geração de chaves no cartão: RSA 2048: 2 por minuto
Geração de chaves no cartão: ECC 256: 10 por minuto.
Criação de assinaturas com hash fora do cartão: RSA 2048; 100 por minuto
Criação de assinaturas com hash fora do cartão: ECDSA 256: 360 por minuto
Criação da assinatura com dados SHA-256 e 1 kb no cartão: RSA 2048; 68 por minuto
Criação da assinatura com dados SHA-256 e 1 kb no cartão: ECDSA 256: 125 por minuto
- Q: Como posso distinguir um Nitrokey HSM 1 de um Nitrokey HSM 2?
Use
opensc-tool --list-algorithms`
e compare com a tabela abaixo. Por favor veja também >este tópico para as fichas técnicas e mais detalhes.
- Q: Que algoritmos e comprimento máximo de chave são suportados?
Veja a tabela a seguir:
Início |
Pro + Armazenamento |
Pro 2 + Armazenamento 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curva25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Como posso utilizar o Gerador de Números Aleatórios Verdadeiros (TRNG) do HSM da Nitrokey para as minhas aplicações?
Nitrokey HSM pode ser usado com Botan e TokenTools usando o OpenSC como um condutor PKCS#11.
OpenSSL can’t use Nitrokey HSM’s RNG diretamente porque o motorpkcs11 não’t contém um mapeamento para OpenSSL para C_GenerateRandom.
- Q: Quão bom é o Gerador de Números Aleatórios?
Nitrokey HSM utiliza o Gerador de Número Aleatório Verdadeiro de JCOP 2.4.1r3 que tem uma qualidade de DRNG.2 (de acordo com AIS 31 do Gabinete Federal Alemão para a Segurança da Informação, BSI).
- Q: Que API posso usar?
OpenSC: Existem instruções abrangentes para a estrutura OpenSC. Há nitrotool como um frontend mais confortável para OpenSC.
Sistemas Embutidos: Para sistemas com o mínimo espaço de memória, um módulo PKCS#11 é fornecido pelo projeto sc-hsm-embedded. Este módulo PKCS#11 é útil para implementações onde a geração de chaves no local de trabalho do usuário’s não é necessária. O módulo PKCS#11 também suporta os principais cartões de assinatura eletrônica disponíveis no mercado alemão.
OpenSCDP: O SmartCard-HSM é totalmente integrado ao OpenSCDP, a plataforma aberta de desenvolvimento de cartões inteligentes. Veja os scripts de suporte público para mais detalhes. Para importar chaves existentes você pode usar seu SCSH ou NitroKeyWrapper.
- Q: O Nitrokey 3 Common Criteria ou FIPS é certificado?
O controlador de segurança (NXP JCOP 3 P60) é certificado pelo Common Criteria EAL 5+ até ao nível do sistema operativo (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: Como importar uma chave existente para o HSM Nitrokey?
Primeiro, set up o seu Nitrokey HSM para usar a chave de backup e restaurar. Em seguida, utilizar o Smart Card Shell para a importação. Se a sua chave for armazenada numa loja de chaves Java pode usar NitroKeyWrapper em vez disso.
- Q: Como posso assegurar a minha infra-estrutura de nuvens/Kubernetes com Nitrokey HSM?
Uma abordagem para proteger chaves para Hashicorp Vault/Bank-Vault num HSM Nitrokey pode ser encontrada em banzaicloud.com.
- Q: Posso usar Nitrokey HSM com moedas criptográficas?
J.v.d.Bosch escreveu uma píton simples e gratuita programa para proteger a chave privada de uma carteira Bitcoin num HSM. Tezos foi reportado para trabalhar com Nitrokey HSM.