Часто задаваемые вопросы по Nitrokey HSM¶
- В: Какие операционные системы поддерживаются?
Windows, Linux и macOS.
- В: Для чего я могу использовать Nitrokey?
См. обзор поддерживаемых сценариев использования.
- В: Какова максимальная длина PIN-кода?
Nitrokey использует PIN-коды вместо паролей. Основное отличие заключается в том, что аппаратное обеспечение ограничивает количество попыток тремя, в то время как для паролей такого ограничения не существует. Поэтому короткий PIN-код по-прежнему безопасен, и нет необходимости выбирать длинный и сложный PIN-код.
PIN-коды Nitrokey могут быть длиной до 16 цифр и состоять из цифр, знаков и специальных символов. Примечание: При использовании GnuPG или OpenSC можно использовать PIN-коды длиной 32 символа, но они не поддерживаются приложением Nitrokey.
- В: Для чего нужен PIN-код пользователя?
PIN-код имеет длину не менее 6 цифр и используется для получения доступа к содержимому Nitrokey. Это PIN-код, который вы будете часто использовать в повседневной жизни.
PIN-код может содержать до 16 цифр и другие символы (например, алфавитные и специальные символы). Но поскольку PIN блокируется сразу после трех неправильных попыток ввода PIN, достаточно безопасно иметь только PIN из 6 цифр.
- В: Для чего нужен SO PIN?
SO PIN используется только в Nitrokey HSM и является чем-то вроде «главного» PIN со специальными свойствами. Пожалуйста, внимательно прочитайте эту инструкцию, чтобы понять, что такое SO PIN-код Nitrokey HSM.
SO PIN должен состоять ровно из 16 цифр.
- В: Сколько объектов данных (DF, EF) можно хранить?
Всего 76 КБ EEPROM, которые могут быть использованы для
макс. 150 x ключей ECC-521 или
макс. 300 x ключей ECC/AES-256 или
макс. 19 x RSA-4096 ключей или
макс. 38 x RSA-2048 ключей
- В: Сколько ключей я могу хранить?
Nitrokey HSM может хранить 20 пар ключей RSA-2048 и 31 пару ключей ECC-256.
- В: Насколько быстро происходит шифрование и подписание?
Генерация ключей на карте: RSA 2048: 2 в минуту
Генерация ключей на карте: ECC 256: 10 в минуту.
Создание подписи с хэшем вне карты: RSA 2048; 100 в минуту
Создание подписи с хэшем вне карты: ECDSA 256: 360 в минуту
Создание подписи с помощью встроенного SHA-256 и 1 кб данных: RSA 2048; 68 в минуту
Создание подписи с помощью встроенного SHA-256 и 1 кб данных: ECDSA 256: 125 в минуту
- В: Как отличить Nitrokey HSM 1 от Nitrokey HSM 2?
Используйте
opensc-tool --list-algorithmsи сравните с таблицей ниже. Также смотрите эту тему для получения фактологических таблиц и более подробной информации.
- В: Какие алгоритмы и максимальная длина ключа поддерживаются?
См. следующую таблицу:
Начало |
Профи + хранение |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
кривая25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Мозговой пул 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- В: Как я могу использовать генератор истинных случайных чисел (TRNG) Nitrokey HSM для своих приложений?
Nitrokey HSM можно использовать с Botan и TokenTools, используя OpenSC в качестве драйвера PKCS#11.
OpenSSL не может’использовать Nitrokey HSM’s RNG напрямую, потому что engine-pkcs11 не содержит отображения для OpenSSL на C_GenerateRandom.
- Вопрос: Насколько хорош генератор случайных чисел?
Nitrokey HSM использует генератор истинных случайных чисел JCOP 2.4.1r3, который имеет качество DRNG.2 (согласно AIS 31 Федерального управления по информационной безопасности Германии, BSI).
- В: Какой API я могу использовать?
OpenSC: Для фреймворка OpenSC существуют исчерпывающие инструкции. Существует nitrotool как более удобный фронтенд к OpenSC.
Встраиваемые системы: Для систем с минимальным объемом памяти в проекте sc-hsm-embedded предусмотрен модуль PKCS#11 только для чтения. Этот модуль PKCS#11 полезен для развертывания систем, в которых не требуется генерация ключей на рабочем месте пользователя. Модуль PKCS#11 также поддерживает основные карты электронной подписи, доступные на немецком рынке.
OpenSCDP: SmartCard-HSM полностью интегрирована с OpenSCDP, открытой платформой для разработки смарт-карт. Подробности см. в открытых скриптах поддержки. Для импорта существующих ключей вы можете использовать его SCSH или NitroKeyWrapper.
- В: Сертифицирован ли Nitrokey HSM 2 по Common Criteria или FIPS?
Контроллер безопасности (NXP JCOP 3 P60) сертифицирован по Common Criteria EAL 5+ до уровня ОС (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- В: Как импортировать существующий ключ в Nitrokey HSM?
Сначала ` настройте`_ свой Nitrokey HSM на использование резервного копирования и восстановления ключей. Затем используйте Smart Card Shell для импорта. Если ваш ключ хранится в хранилище ключей Java, вы можете использовать NitroKeyWrapper вместо него.
- Вопрос: Как защитить облачную инфраструктуру/Kubernetes с помощью Nitrokey HSM?
Подход к защите ключей для Hashicorp Vault/Bank-Vault на Nitrokey HSM можно найти на сайте banzaicloud.com.
- Вопрос: Могу ли я использовать Nitrokey HSM с криптовалютами?
J.v.d.Bosch написал простую бесплатную программу на языке python ` для защиты закрытого ключа кошелька Bitcoin в HSM. Tezos было ` сообщено, что он работает с Nitrokey HSM.