Nitrokey HSM FAQ#

Q: Que Sistemas Operacionais são suportados?

Windows, Linux e macOS.

**Q:**Para que posso usar a Nitrokey?

Consulte a overview dos casos de utilização suportados.

Q: Qual é o comprimento máximo do PIN?

A Nitrokey usa PINs em vez de senhas. A principal diferença é que o hardware limita a quantidade de tentativas a três enquanto um limite não’t existe para senhas. Por causa disso, um PIN curto ainda é seguro e não há necessidade de escolher um PIN longo e complexo.

Os PINs Nitrokey podem ter até 16 dígitos e podem ser compostos por números, caracteres e caracteres especiais. Nota: Ao usar GnuPG ou OpenSC, podem ser usados PINs com 32 caracteres mas são’t suportados pela Nitrokey App.

Q: Para que serve o PIN do utilizador?

O PIN tem pelo menos 6 dígitos e é utilizado para ter acesso ao conteúdo da Nitrokey. Este é o PIN que utilizará muito em cada dia de utilização.

O PIN pode ter até 16 dígitos e outros caracteres (por exemplo, caracteres alfabéticos e especiais). Mas como o PIN é bloqueado assim que três tentativas erradas de PIN são feitas, ele é suficientemente seguro para ter apenas um PIN de 6 dígitos.

Q: Para que serve o PIN SO?

O PIN SO é usado apenas no Nitrokey HSM e é algo como um «master» PIN com propriedades especiais. Por favor leia atentamente estas instruções para compreender o PIN SO do Nitrokey HSM.

O PIN SO tem de ter exactamente 16 dígitos.

Q: Quantos objetos de dados (DF, EF) podem ser armazenados?

76 KB EEPROM total, que pode ser utilizado para

  • máximo. 150 x ECC-521 chaves ou

  • máximo. 300 x ECC/AES-256 chaves ou

  • máximo. 19 x RSA-4096 chaves ou

  • máximo. 38 x chaves RSA-2048

**Quantas chaves posso guardar?

Nitrokey HSM pode armazenar 20 pares de chaves RSA-2048 e 31 pares de chaves ECC-256.

Q: Quão rápido é a encriptação e a assinatura?
  • Geração de chaves no cartão: RSA 2048: 2 por minuto

  • Geração de chaves no cartão: ECC 256: 10 por minuto.

  • Criação de assinaturas com hash fora do cartão: RSA 2048; 100 por minuto

  • Criação de assinaturas com hash fora do cartão: ECDSA 256: 360 por minuto

  • Criação da assinatura com dados SHA-256 e 1 kb no cartão: RSA 2048; 68 por minuto

  • Criação da assinatura com dados SHA-256 e 1 kb no cartão: ECDSA 256: 125 por minuto

Q: Como posso distinguir um Nitrokey HSM 1 de um Nitrokey HSM 2?

Use opensc-tool --list-algorithms` e compare com a tabela abaixo. Por favor veja também >este tópico para as fichas técnicas e mais detalhes.

Q: Que algoritmos e comprimento máximo de chave são suportados?

Veja a tabela a seguir:

Início

Pro + Armazenamento

Pro 2 + Armazenamento 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curva25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

Q: Como posso utilizar o Gerador de Números Aleatórios Verdadeiros (TRNG) do HSM da Nitrokey para as minhas aplicações?

Nitrokey HSM pode ser usado com Botan e TokenTools usando o OpenSC como um condutor PKCS#11.

OpenSSL can’t use Nitrokey HSM’s RNG diretamente porque o motorpkcs11 não’t contém um mapeamento para OpenSSL para C_GenerateRandom.

Q: Quão bom é o Gerador de Números Aleatórios?

Nitrokey HSM utiliza o Gerador de Número Aleatório Verdadeiro de JCOP 2.4.1r3 que tem uma qualidade de DRNG.2 (de acordo com AIS 31 do Gabinete Federal Alemão para a Segurança da Informação, BSI).

Q: Que API posso usar?

OpenSC: Existem instruções abrangentes para a estrutura OpenSC. Há nitrotool como um frontend mais confortável para OpenSC.

Sistemas Embutidos: Para sistemas com o mínimo espaço de memória, um módulo PKCS#11 é fornecido pelo projeto sc-hsm-embedded. Este módulo PKCS#11 é útil para implementações onde a geração de chaves no local de trabalho do usuário’s não é necessária. O módulo PKCS#11 também suporta os principais cartões de assinatura eletrônica disponíveis no mercado alemão.

OpenSCDP: O SmartCard-HSM é totalmente integrado ao OpenSCDP, a plataforma aberta de desenvolvimento de cartões inteligentes. Veja os scripts de suporte público para mais detalhes. Para importar chaves existentes você pode usar seu SCSH ou NitroKeyWrapper.

Q: O Nitrokey 3 Common Criteria ou FIPS é certificado?

O controlador de segurança (NXP JCOP 3 P60) é certificado pelo Common Criteria EAL 5+ até ao nível do sistema operativo (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Como importar uma chave existente para o HSM Nitrokey?

Primeiro, set up o seu Nitrokey HSM para usar a chave de backup e restaurar. Em seguida, utilizar o Smart Card Shell para a importação. Se a sua chave for armazenada numa loja de chaves Java pode usar NitroKeyWrapper em vez disso.

Q: Como posso assegurar a minha infra-estrutura de nuvens/Kubernetes com Nitrokey HSM?

Uma abordagem para proteger chaves para Hashicorp Vault/Bank-Vault num HSM Nitrokey pode ser encontrada em banzaicloud.com.

Q: Posso usar Nitrokey HSM com moedas criptográficas?

J.v.d.Bosch escreveu uma píton simples e gratuita programa para proteger a chave privada de uma carteira Bitcoin num HSM. Tezos foi reportado para trabalhar com Nitrokey HSM.