Nitrokey HSM FAQ¶
- Q: Which Operating Systems are supported?
Windows, Linux e macOS.
- Q: What can I use the Nitrokey for?
Consulte a overview dos casos de utilização suportados.
- Q: What is the maximum length of the PIN?
A Nitrokey usa PINs em vez de senhas. A principal diferença é que o hardware limita a quantidade de tentativas a três enquanto um limite não’t existe para senhas. Por causa disso, um PIN curto ainda é seguro e não há necessidade de escolher um PIN longo e complexo.
Os PINs Nitrokey podem ter até 16 dígitos e podem ser compostos por números, caracteres e caracteres especiais. Nota: Ao usar GnuPG ou OpenSC, podem ser usados PINs com 32 caracteres mas são’t suportados pela Nitrokey App.
- Q: What is the User PIN for?
O PIN tem pelo menos 6 dígitos e é utilizado para ter acesso ao conteúdo da Nitrokey. Este é o PIN que utilizará muito em cada dia de utilização.
O PIN pode ter até 16 dígitos e outros caracteres (por exemplo, caracteres alfabéticos e especiais). Mas como o PIN é bloqueado assim que três tentativas erradas de PIN são feitas, ele é suficientemente seguro para ter apenas um PIN de 6 dígitos.
- Q: What is the SO PIN for?
O PIN SO é usado apenas no Nitrokey HSM e é algo como um «master» PIN com propriedades especiais. Por favor leia atentamente estas instruções para compreender o PIN SO do Nitrokey HSM.
O PIN SO tem de ter exactamente 16 dígitos.
- Q: How many data objects (DF, EF) can be stored?
76 KB EEPROM total, que pode ser utilizado para
máximo. 150 x ECC-521 chaves ou
máximo. 300 x ECC/AES-256 chaves ou
máximo. 19 x RSA-4096 chaves ou
máximo. 38 x chaves RSA-2048
- Q: How many keys can I store?
Nitrokey HSM pode armazenar 20 pares de chaves RSA-2048 e 31 pares de chaves ECC-256.
- Q: How fast is encryption and signing?
Geração de chaves no cartão: RSA 2048: 2 por minuto
Geração de chaves no cartão: ECC 256: 10 por minuto.
Criação de assinaturas com hash fora do cartão: RSA 2048; 100 por minuto
Criação de assinaturas com hash fora do cartão: ECDSA 256: 360 por minuto
Criação da assinatura com dados SHA-256 e 1 kb no cartão: RSA 2048; 68 por minuto
Criação da assinatura com dados SHA-256 e 1 kb no cartão: ECDSA 256: 125 por minuto
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Use
opensc-tool --list-algorithms`e compare com a tabela abaixo. Por favor veja também >este tópico para as fichas técnicas e mais detalhes.
- Q: Which algorithms and maximum key length are supported?
Veja a tabela a seguir:
Início |
Pro + Armazenamento |
Pro 2 + Armazenamento 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curva25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM pode ser usado com Botan e TokenTools usando o OpenSC como um condutor PKCS#11.
OpenSSL can’t use Nitrokey HSM’s RNG diretamente porque o motorpkcs11 não’t contém um mapeamento para OpenSSL para C_GenerateRandom.
- Q: How good is the Random Number Generator?
Nitrokey HSM utiliza o Gerador de Número Aleatório Verdadeiro de JCOP 2.4.1r3 que tem uma qualidade de DRNG.2 (de acordo com AIS 31 do Gabinete Federal Alemão para a Segurança da Informação, BSI).
- Q: Which API can I use?
OpenSC: Existem instruções abrangentes para a estrutura OpenSC. Há nitrotool como um frontend mais confortável para OpenSC.
Sistemas Embutidos: Para sistemas com o mínimo espaço de memória, um módulo PKCS#11 é fornecido pelo projeto sc-hsm-embedded. Este módulo PKCS#11 é útil para implementações onde a geração de chaves no local de trabalho do usuário’s não é necessária. O módulo PKCS#11 também suporta os principais cartões de assinatura eletrônica disponíveis no mercado alemão.
OpenSCDP: O SmartCard-HSM é totalmente integrado ao OpenSCDP, a plataforma aberta de desenvolvimento de cartões inteligentes. Veja os scripts de suporte público para mais detalhes. Para importar chaves existentes você pode usar seu SCSH ou NitroKeyWrapper.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
O controlador de segurança (NXP JCOP 3 P60) é certificado pelo Common Criteria EAL 5+ até ao nível do sistema operativo (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
Primeiro, set up o seu Nitrokey HSM para usar a chave de backup e restaurar. Em seguida, utilizar o Smart Card Shell para a importação. Se a sua chave for armazenada numa loja de chaves Java pode usar NitroKeyWrapper em vez disso.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
Uma abordagem para proteger chaves para Hashicorp Vault/Bank-Vault num HSM Nitrokey pode ser encontrada em banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch escreveu uma píton simples e gratuita programa para proteger a chave privada de uma carteira Bitcoin num HSM. Tezos foi reportado para trabalhar com Nitrokey HSM.