Nitrokey HSM FAQ¶
- Q: Ktoré operačné systémy sú podporované?
Windows, Linux a macOS.
- Q: Na čo môžem používať Nitrokey?
See the overview of supported use cases.
- Q: Aká je maximálna dĺžka kódu PIN?
Nitrokey používa namiesto hesiel kódy PIN. Hlavným rozdielom je, že hardvér obmedzuje počet pokusov na tri, zatiaľ čo pri heslách tento limit neexistuje. Z tohto dôvodu je krátky kód PIN stále bezpečný a nie je potrebné voliť dlhý a zložitý kód PIN.
PIN kód Nitrokey môže mať až 16 číslic a môže pozostávať z číslic, znakov a špeciálnych znakov. Poznámka: Pri používaní GnuPG alebo OpenSC je možné používať 32 znakov dlhé kódy PIN, ktoré však aplikácia Nitrokey nepodporuje.
- Q: Na čo slúži používateľský kód PIN?
PIN má minimálne 6 číslic a slúži na získanie prístupu k obsahu Nitrokey. Tento kód PIN budete často používať pri každodennom používaní.
Kód PIN môže obsahovať až 16 číslic a ďalšie znaky (napr. abecedné a špeciálne znaky). Keďže sa však kód PIN zablokuje hneď po troch nesprávnych pokusoch o zadanie kódu PIN, je dostatočne bezpečné mať len 6-miestny kód PIN.
- Q: Na čo slúži kód SO PIN?
SO PIN sa používa len v Nitrokey HSM a je niečo ako „master“ PIN so špeciálnymi vlastnosťami. Pozorne si prečítajte tento návod, aby ste pochopili SO PIN v systéme Nitrokey HSM.
PIN SO musí mať presne 16 číslic.
- Q: Koľko dátových objektov (DF, EF) je možné uložiť?
76 KB EEPROM, ktoré možno použiť na
max. 150 x kľúčov ECC-521 alebo
max. 300 x ECC/AES-256 kľúčov alebo
max. 19 x RSA-4096 kľúčov alebo
max. 38 x RSA-2048 kľúčov
- Q: Koľko kľúčov môžem uložiť?
Nitrokey HSM môže uložiť 20 párov kľúčov RSA-2048 a 31 párov kľúčov ECC-256.
- Q: Ako rýchlo prebieha šifrovanie a podpisovanie?
Generovanie kľúčov na karte: RSA 2048: 2 za minútu
Generovanie kľúčov na karte: ECC 256: 10 za minútu.
Vytváranie podpisov pomocou hash mimo karty: RSA 2048; 100 za minútu
Vytváranie podpisov pomocou hash mimo karty: ECDSA 256: 360 za minútu
Vytvorenie podpisu pomocou SHA-256 na karte a 1 kb údajov: RSA 2048; 68 za minútu
Vytvorenie podpisu pomocou SHA-256 na karte a 1 kb údajov: ECDSA 256: 125 za minútu
- Q: Ako rozoznám Nitrokey HSM 1 od Nitrokey HSM 2?
Použite
opensc-tool --list-algorithmsa porovnajte s nasledujúcou tabuľkou. Pozrite si tiež túto tému, kde nájdete informačné tabuľky a ďalšie podrobnosti.
- Q: Ktoré algoritmy a maximálna dĺžka kľúča sú podporované?
Pozri nasledujúcu tabuľku:
Štart |
Pro + Storage |
Pro 2 + úložisko 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
krivka25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Mozgovňa 192 |
✓ |
✓ |
||||
Mozgovňa 256-320 |
✓ |
✓ |
✓ |
|||
Mozgovňa 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Ako môžem použiť generátor náhodných čísel (TRNG) v systéme Nitrokey HSM pre svoje aplikácie?
Nitrokey HSM možno používať s Botan a TokenTools pomocou OpenSC ako ovládača PKCS#11.
OpenSSL nemôže priamo používať RNG Nitrokey HSM’s, pretože engine-pkcs11 neobsahuje mapovanie pre OpenSSL na C_GenerateRandom.
- Q: Ako dobrý je generátor náhodných čísel?
Nitrokey HSM používa True Random Number Generator JCOP 2.4.1r3, ktorý má kvalitu DRNG.2 (podľa AIS 31 Nemeckého spolkového úradu pre informačnú bezpečnosť, BSI).
- Q: Ktoré API môžem použiť?
OpenSC: Pre rámec OpenSC existujú komplexné pokyny. Ako pohodlnejší frontend k OpenSC existuje nitrotool.
Vstavané systémy: Pre systémy s minimálnou pamäťovou stopou poskytuje projekt sc-hsm-embedded modul PKCS#11 určený len na čítanie. Tento modul PKCS#11 je užitočný pri nasadení, kde sa nevyžaduje generovanie kľúčov na pracovisku používateľa. Modul PKCS#11 podporuje aj hlavné karty elektronického podpisu dostupné na nemeckom trhu.
OpenSCDP: SmartCard-HSM je plne integrovaný s OpenSCDP, otvorenou platformou pre vývoj inteligentných kariet. Podrobnosti nájdete vo verejných podporných skriptách. Na import existujúcich kľúčov môžete použiť jeho SCSH alebo NitroKeyWrapper.
- Q: Je Nitrokey 3 certifikovaný podľa Common Criteria alebo FIPS?
Bezpečnostný radič (NXP JCOP 3 P60) je certifikovaný podľa Common Criteria EAL 5+ až po úroveň operačného systému (Certifikát, `Certifikačná správa <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: Ako importovať existujúci kľúč do systému Nitrokey HSM?
Najskôr ` nastavte`_ svoj Nitrokey HSM na používanie zálohovania a obnovy kľúčov. Potom použite na importovanie program Smart Card Shell. Ak je váš kľúč uložený v úložisku kľúčov Java, môžete namiesto toho použiť NitroKeyWrapper.
- Q: Ako zabezpečím svoju cloudovú infraštruktúru/Kubernetes pomocou Nitrokey HSM?
Prístup k zabezpečeniu kľúčov pre Hashicorp Vault/Bank-Vault na HSM Nitrokey nájdete na banzaicloud.com.
- Q: Môžem používať Nitrokey HSM s kryptomenami?
J.v.d.Bosch napísal jednoduchý, bezplatný python program na zabezpečenie súkromného kľúča peňaženky Bitcoin v HSM. Tezos bol reportovaný, že funguje s Nitrokey HSM.