Nitrokey HSM Întrebări frecvente#

Q: Ce sisteme de operare sunt acceptate?

Windows, Linux și macOS.

Q: La ce pot folosi Nitrokey?

Consultați prezentare generală a cazurilor de utilizare acceptate.

Q: Care este lungimea maximă a PIN-ului?

Nitrokey utilizează PIN-uri în loc de parole. Principala diferență este că hardware-ul limitează numărul de încercări la trei, în timp ce pentru parole nu există o limită. Din acest motiv, un PIN scurt este în continuare sigur și nu este nevoie să alegeți un PIN lung și complex.

PIN-urile Nitrokey pot avea o lungime de până la 16 cifre și pot fi formate din numere, caractere și caractere speciale. Notă: Atunci când se utilizează GnuPG sau OpenSC, se pot utiliza PIN-uri cu o lungime de 32 de caractere, dar nu sunt acceptate de Nitrokey App.

Întrebare: La ce folosește PIN-ul de utilizator?

PIN-ul are o lungime de cel puțin 6 cifre și este utilizat pentru a avea acces la conținutul Nitrokey. Acesta este PIN-ul pe care îl veți folosi foarte des în utilizarea zilnică.

PIN-ul poate avea până la 16 cifre și alte caractere (de exemplu, caractere alfabetice și speciale). Dar, deoarece PIN-ul este blocat de îndată ce au avut loc trei încercări greșite de PIN, este suficient de sigur să aveți un PIN de numai 6 cifre.

Întrebare: Pentru ce este PIN-ul SO?

PIN-ul SO este utilizat numai în Nitrokey HSM și este ceva de genul unui „master” PIN cu proprietăți speciale. Vă rugăm să citiți cu atenție aceste instrucțiuni pentru a înțelege PIN-ul SO al Nitrokey HSM.

PIN-ul SO trebuie să fie format din exact 16 cifre.

Q: Câte obiecte de date (DF, EF) pot fi stocate?

76 KB EEPROM în total, care poate fi utilizat pentru

  • max. 150 x chei ECC-521 sau

  • max. 300 x chei ECC/AES-256 sau

  • max. 19 x chei RSA-4096 sau

  • max. 38 x chei RSA-2048

Q: Câte chei pot stoca?

Nitrokey HSM poate stoca 20 de perechi de chei RSA-2048 și 31 de perechi de chei ECC-256.

Întrebare: Cât de rapid este criptarea și semnarea?
  • Generarea cheilor pe card: RSA 2048: 2 pe minut

  • Generarea cheilor pe card: ECC 256: 10 pe minut.

  • Crearea semnăturii cu hash în afara cardului: RSA 2048; 100 pe minut

  • Crearea semnăturii cu hash în afara cardului: ECDSA 256: 360 pe minut

  • Crearea semnăturii cu SHA-256 pe card și date de 1 kb: RSA 2048; 68 pe minut

  • Crearea semnăturii cu SHA-256 pe card și date de 1 kb: ECDSA 256: 125 pe minut

Întrebare: Cum pot distinge un Nitrokey HSM 1 de un Nitrokey HSM 2?

Folosiți opensc-tool --list-algorithms și comparați cu tabelul de mai jos. Vă rugăm să consultați și acest topic pentru fișele informative și mai multe detalii.

Q: Ce algoritmi și ce lungime maximă a cheii sunt acceptate?

A se vedea tabelul următor:

Start

Pro + Stocare

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

curba25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Bazin cerebral 384-521

secp192

secp256

secp521

Întrebare: Cum pot utiliza generatorul de numere aleatorii reale (TRNG) al Nitrokey HSM pentru aplicațiile mele?

Nitrokey HSM poate fi utilizat cu Botan și TokenTools prin utilizarea OpenSC ca driver PKCS#11.

OpenSSL nu poate folosi direct RNG-ul lui Nitrokey HSM’s pentru că engine-pkcs11 nu conține o corespondență pentru OpenSSL către C_GenerateRandom.

Q: Cât de bun este generatorul de numere aleatorii?

Nitrokey HSM utilizează generatorul de numere aleatoare reale din JCOP 2.4.1r3, care are o calitate DRNG.2 (conform AIS 31 al Biroului Federal German pentru Securitatea Informației, BSI).

Q: Ce API pot folosi?

OpenSC: Există instrucțiuni cuprinzătoare pentru cadrul OpenSC. Există nitrotool ca un frontend mai confortabil pentru OpenSC.

Sisteme integrate: Pentru sistemele cu o amprentă de memorie minimă, proiectul sc-hsm-embedded oferă un modul PKCS#11 numai pentru citire/înscriere. Acest modul PKCS#11 este util pentru implementări în care nu este necesară generarea de chei la locul de muncă al utilizatorului. Modulul PKCS#11 suportă, de asemenea, principalele carduri de semnătură electronică disponibile pe piața germană.

OpenSCDP: SmartCard-HSM este complet integrat cu OpenSCDP, platforma deschisă de dezvoltare a cardurilor inteligente. Pentru detalii, consultați scripturile de asistență publică. Pentru a importa chei existente, puteți utiliza SCSH sau NitroKeyWrapper.

Q: Nitrokey 3 este certificat Common Criteria sau FIPS?

Controlerul de securitate (NXP JCOP 3 P60) este certificat Common Criteria EAL 5+ până la nivelul sistemului de operare (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Cum se importă o cheie existentă în Nitrokey HSM?

În primul rând, configurați HSM-ul Nitrokey pentru a utiliza backup-ul și restaurarea cheilor. Apoi, utilizați Smart Card Shell pentru import. Dacă cheia dvs. este stocată într-un magazin de chei Java, puteți utiliza în schimb NitroKeyWrapper.

Q: Cum îmi securizez infrastructura cloud/Kubernetes cu Nitrokey HSM?

O abordare a cheilor securizate pentru Hashicorp Vault/Bank-Vault pe un HSM Nitrokey poate fi găsită la banzaicloud.com.

Întrebare: Pot folosi Nitrokey HSM cu criptomonede?

J.v.d.Bosch a scris un program python simplu și gratuit program pentru a securiza cheia privată a unui portofel Bitcoin într-un HSM. Tezos a fost raportat că funcționează cu Nitrokey HSM.