Nitrokey HSM Întrebări frecvente¶
- Q: Ce sisteme de operare sunt acceptate?
Windows, Linux și macOS.
- Q: La ce pot folosi Nitrokey?
See the overview of supported use cases.
- Q: Care este lungimea maximă a PIN-ului?
Nitrokey utilizează PIN-uri în loc de parole. Principala diferență este că hardware-ul limitează numărul de încercări la trei, în timp ce pentru parole nu există o limită. Din acest motiv, un PIN scurt este în continuare sigur și nu este nevoie să alegeți un PIN lung și complex.
PIN-urile Nitrokey pot avea o lungime de până la 16 cifre și pot fi formate din numere, caractere și caractere speciale. Notă: Atunci când se utilizează GnuPG sau OpenSC, se pot utiliza PIN-uri cu o lungime de 32 de caractere, dar nu sunt acceptate de Nitrokey App.
- Întrebare: La ce folosește PIN-ul de utilizator?
PIN-ul are o lungime de cel puțin 6 cifre și este utilizat pentru a avea acces la conținutul Nitrokey. Acesta este PIN-ul pe care îl veți folosi foarte des în utilizarea zilnică.
PIN-ul poate avea până la 16 cifre și alte caractere (de exemplu, caractere alfabetice și speciale). Dar, deoarece PIN-ul este blocat de îndată ce au avut loc trei încercări greșite de PIN, este suficient de sigur să aveți un PIN de numai 6 cifre.
- Întrebare: Pentru ce este PIN-ul SO?
PIN-ul SO este utilizat numai în Nitrokey HSM și este un fel de „master” PIN cu proprietăți speciale. Vă rugăm să citiți cu atenție aceste instrucțiuni pentru a înțelege PIN-ul SO al Nitrokey HSM.
PIN-ul SO trebuie să fie format din exact 16 cifre.
- Q: Câte obiecte de date (DF, EF) pot fi stocate?
76 KB EEPROM în total, care poate fi utilizat pentru
max. 150 x chei ECC-521 sau
max. 300 x chei ECC/AES-256 sau
max. 19 x chei RSA-4096 sau
max. 38 x chei RSA-2048
- Q: Câte chei pot stoca?
Nitrokey HSM poate stoca 20 de perechi de chei RSA-2048 și 31 de perechi de chei ECC-256.
- **Întrebare: ** Cât de rapid este criptarea și semnarea?
Generarea cheilor pe card: RSA 2048: 2 pe minut
Generarea cheilor pe card: ECC 256: 10 pe minut.
Crearea semnăturii cu hash în afara cardului: RSA 2048; 100 pe minut
Crearea semnăturii cu hash în afara cardului: ECDSA 256: 360 pe minut
Crearea semnăturii cu SHA-256 pe card și date de 1 kb: RSA 2048; 68 pe minut
Crearea semnăturii cu SHA-256 pe card și date de 1 kb: ECDSA 256: 125 pe minut
- Întrebare: Cum pot distinge un Nitrokey HSM 1 de un Nitrokey HSM 2?
Folosiți
opensc-tool --list-algorithmsși comparați cu tabelul de mai jos. Vă rugăm să consultați și acest topic pentru fișele informative și mai multe detalii.
- Q: Ce algoritmi și ce lungime maximă a cheii sunt acceptate?
A se vedea tabelul următor:
Start |
Pro + Stocare |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curba25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Bazin cerebral 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Întrebare: Cum pot utiliza generatorul de numere aleatorii reale (TRNG) al Nitrokey HSM pentru aplicațiile mele?
Nitrokey HSM poate fi utilizat cu Botan și TokenTools prin utilizarea OpenSC ca driver PKCS#11.
OpenSSL nu poate folosi direct RNG-ul lui Nitrokey HSM’s pentru că engine-pkcs11 nu conține o corespondență pentru OpenSSL către C_GenerateRandom.
- Q: Cât de bun este generatorul de numere aleatorii?
Nitrokey HSM utilizează generatorul de numere aleatoare reale din JCOP 2.4.1r3, care are o calitate DRNG.2 (conform AIS 31 al Biroului Federal German pentru Securitatea Informației, BSI).
- Q: Ce API pot folosi?
OpenSC: Există instrucțiuni cuprinzătoare pentru cadrul OpenSC. Există nitrotool ca un frontend mai confortabil pentru OpenSC.
Sisteme integrate: Pentru sistemele cu o amprentă de memorie minimă, proiectul sc-hsm-embedded oferă un modul PKCS#11 numai pentru citire/încărcare. Acest modul PKCS#11 este util pentru implementări în care nu este necesară generarea de chei la locul de muncă al utilizatorului. Modulul PKCS#11 suportă, de asemenea, principalele carduri de semnătură electronică disponibile pe piața germană.
OpenSCDP: SmartCard-HSM este complet integrat cu OpenSCDP, platforma deschisă de dezvoltare a cardurilor inteligente. Pentru detalii, consultați scripturile de asistență publică. Pentru a importa chei existente, puteți utiliza SCSH sau NitroKeyWrapper.
- Q: Nitrokey 3 este certificat Common Criteria sau FIPS?
Controlerul de securitate (NXP JCOP 3 P60) este certificat Common Criteria EAL 5+ până la nivelul sistemului de operare (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: Cum se importă o cheie existentă în Nitrokey HSM?
În primul rând, configurați HSM-ul Nitrokey pentru a utiliza backup-ul și restaurarea cheilor. Apoi, utilizați Smart Card Shell pentru import. Dacă cheia dvs. este stocată într-un magazin de chei Java, puteți utiliza în schimb NitroKeyWrapper.
- Q: Cum îmi securizez infrastructura cloud/Kubernetes cu Nitrokey HSM?
O abordare a cheilor securizate pentru Hashicorp Vault/Bank-Vault pe un HSM Nitrokey poate fi găsită la banzaicloud.com.
- Întrebare: Pot folosi Nitrokey HSM cu criptomonede?
J.v.d.Bosch a scris un program python simplu și gratuit program pentru a securiza cheia privată a unui portofel Bitcoin într-un HSM. Tezos a fost raportat că funcționează cu Nitrokey HSM.