Часто задаваемые вопросы по Nitrokey HSM#

В: Какие операционные системы поддерживаются?

Windows, Linux и macOS.

В: Для чего я могу использовать Nitrokey?

См. обзор поддерживаемых сценариев использования.

В: Какова максимальная длина PIN-кода?

Nitrokey использует PIN-коды вместо паролей. Основное отличие заключается в том, что аппаратное обеспечение ограничивает количество попыток тремя, в то время как для паролей такого ограничения не существует. Поэтому короткий PIN-код по-прежнему безопасен, и нет необходимости выбирать длинный и сложный PIN-код.

PIN-коды Nitrokey могут быть длиной до 16 цифр и состоять из цифр, знаков и специальных символов. Примечание: При использовании GnuPG или OpenSC можно использовать PIN-коды длиной 32 символа, но они не поддерживаются приложением Nitrokey.

В: Для чего нужен PIN-код пользователя?

PIN-код имеет длину не менее 6 цифр и используется для получения доступа к содержимому Nitrokey. Это PIN-код, который вы будете часто использовать в повседневной жизни.

PIN-код может содержать до 16 цифр и другие символы (например, алфавитные и специальные символы). Но поскольку PIN блокируется сразу после трех неправильных попыток ввода PIN, достаточно безопасно иметь только PIN из 6 цифр.

В: Для чего нужен SO PIN?

SO PIN используется только в Nitrokey HSM и является чем-то вроде «главного» PIN со специальными свойствами. Пожалуйста, внимательно прочитайте эту инструкцию, чтобы понять, что такое SO PIN-код Nitrokey HSM.

SO PIN должен состоять ровно из 16 цифр.

В: Сколько объектов данных (DF, EF) можно хранить?

Всего 76 КБ EEPROM, которые могут быть использованы для

  • макс. 150 x ключей ECC-521 или

  • макс. 300 x ключей ECC/AES-256 или

  • макс. 19 x RSA-4096 ключей или

  • макс. 38 x RSA-2048 ключей

В: Сколько ключей я могу хранить?

Nitrokey HSM может хранить 20 пар ключей RSA-2048 и 31 пару ключей ECC-256.

В: Насколько быстро происходит шифрование и подписание?
  • Генерация ключей на карте: RSA 2048: 2 в минуту

  • Генерация ключей на карте: ECC 256: 10 в минуту.

  • Создание подписи с хэшем вне карты: RSA 2048; 100 в минуту

  • Создание подписи с хэшем вне карты: ECDSA 256: 360 в минуту

  • Создание подписи с помощью встроенного SHA-256 и 1 кб данных: RSA 2048; 68 в минуту

  • Создание подписи с помощью встроенного SHA-256 и 1 кб данных: ECDSA 256: 125 в минуту

В: Как отличить Nitrokey HSM 1 от Nitrokey HSM 2?

Используйте opensc-tool --list-algorithms и сравните с таблицей ниже. Также смотрите эту тему для получения фактологических таблиц и более подробной информации.

В: Какие алгоритмы и максимальная длина ключа поддерживаются?

См. следующую таблицу:

Начало

Профи + хранение

Pro 2 + Storage 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

кривая25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Мозговой пул 384-521

secp192

secp256

secp521

В: Как я могу использовать генератор истинных случайных чисел (TRNG) Nitrokey HSM для своих приложений?

Nitrokey HSM можно использовать с Botan и TokenTools, используя OpenSC в качестве драйвера PKCS#11.

OpenSSL не может’использовать Nitrokey HSM’s RNG напрямую, потому что engine-pkcs11 не содержит отображения для OpenSSL на C_GenerateRandom.

Вопрос: Насколько хорош генератор случайных чисел?

Nitrokey HSM использует генератор истинных случайных чисел JCOP 2.4.1r3, который имеет качество DRNG.2 (согласно AIS 31 Федерального управления по информационной безопасности Германии, BSI).

В: Какой API я могу использовать?

OpenSC: Для фреймворка OpenSC существуют исчерпывающие инструкции. Существует nitrotool как более удобный фронтенд к OpenSC.

Встраиваемые системы: Для систем с минимальным объемом памяти в проекте sc-hsm-embedded предусмотрен модуль PKCS#11 только для чтения. Этот модуль PKCS#11 полезен для развертывания систем, в которых не требуется генерация ключей на рабочем месте пользователя. Модуль PKCS#11 также поддерживает основные карты электронной подписи, доступные на немецком рынке.

OpenSCDP: SmartCard-HSM полностью интегрирована с OpenSCDP, открытой платформой для разработки смарт-карт. Подробности см. в открытых скриптах поддержки. Для импорта существующих ключей вы можете использовать его SCSH или NitroKeyWrapper.

В: Сертифицирован ли Nitrokey HSM 2 по Common Criteria или FIPS?

Контроллер безопасности (NXP JCOP 3 P60) сертифицирован по Common Criteria EAL 5+ до уровня ОС (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

В: Как импортировать существующий ключ в Nitrokey HSM?

Сначала ` настройте`_ свой Nitrokey HSM на использование резервного копирования и восстановления ключей. Затем используйте Smart Card Shell для импорта. Если ваш ключ хранится в хранилище ключей Java, вы можете использовать NitroKeyWrapper вместо него.

Вопрос: Как защитить облачную инфраструктуру/Kubernetes с помощью Nitrokey HSM?

Подход к защите ключей для Hashicorp Vault/Bank-Vault на Nitrokey HSM можно найти на сайте banzaicloud.com.

Вопрос: Могу ли я использовать Nitrokey HSM с криптовалютами?

J.v.d.Bosch написал простую бесплатную программу на языке python ` для защиты закрытого ключа кошелька Bitcoin в HSM. Tezos было ` сообщено, что он работает с Nitrokey HSM.