Nitrokey HSM FAQ¶
- Q: Which Operating Systems are supported?
Windows, Linux a macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What is the maximum length of the PIN?
Nitrokey používa namiesto hesiel kódy PIN. Hlavným rozdielom je, že hardvér obmedzuje počet pokusov na tri, zatiaľ čo pri heslách tento limit neexistuje. Z tohto dôvodu je krátky kód PIN stále bezpečný a nie je potrebné voliť dlhý a zložitý kód PIN.
PIN kód Nitrokey môže mať až 16 číslic a môže pozostávať z číslic, znakov a špeciálnych znakov. Poznámka: Pri používaní GnuPG alebo OpenSC je možné používať 32 znakov dlhé kódy PIN, ktoré však aplikácia Nitrokey nepodporuje.
- Q: What is the User PIN for?
PIN má minimálne 6 číslic a slúži na získanie prístupu k obsahu Nitrokey. Tento kód PIN budete často používať pri každodennom používaní.
Kód PIN môže obsahovať až 16 číslic a ďalšie znaky (napr. abecedné a špeciálne znaky). Keďže sa však kód PIN zablokuje hneď po troch nesprávnych pokusoch o zadanie kódu PIN, je dostatočne bezpečné mať len 6-miestny kód PIN.
- Q: What is the SO PIN for?
SO PIN sa používa len v Nitrokey HSM a je niečo ako „master“ PIN so špeciálnymi vlastnosťami. Pozorne si prečítajte tento návod, aby ste pochopili SO PIN v systéme Nitrokey HSM.
PIN SO musí mať presne 16 číslic.
- Q: How many data objects (DF, EF) can be stored?
76 KB EEPROM, ktoré možno použiť na
max. 150 x kľúčov ECC-521 alebo
max. 300 x ECC/AES-256 kľúčov alebo
max. 19 x RSA-4096 kľúčov alebo
max. 38 x RSA-2048 kľúčov
- Q: How many keys can I store?
Nitrokey HSM môže uložiť 20 párov kľúčov RSA-2048 a 31 párov kľúčov ECC-256.
- Q: How fast is encryption and signing?
Generovanie kľúčov na karte: RSA 2048: 2 za minútu
Generovanie kľúčov na karte: ECC 256: 10 za minútu.
Vytváranie podpisov pomocou hash mimo karty: RSA 2048; 100 za minútu
Vytváranie podpisov pomocou hash mimo karty: ECDSA 256: 360 za minútu
Vytvorenie podpisu pomocou SHA-256 na karte a 1 kb údajov: RSA 2048; 68 za minútu
Vytvorenie podpisu pomocou SHA-256 na karte a 1 kb údajov: ECDSA 256: 125 za minútu
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Použite
opensc-tool --list-algorithmsa porovnajte s nasledujúcou tabuľkou. Pozrite si tiež túto tému, kde nájdete informačné tabuľky a ďalšie podrobnosti.
- Q: Which algorithms and maximum key length are supported?
Pozri nasledujúcu tabuľku:
Štart |
Pro + Storage |
Pro 2 + úložisko 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
krivka25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Mozgovňa 192 |
✓ |
✓ |
||||
Mozgovňa 256-320 |
✓ |
✓ |
✓ |
|||
Mozgovňa 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM možno používať s Botan a TokenTools pomocou OpenSC ako ovládača PKCS#11.
OpenSSL nemôže priamo používať RNG Nitrokey HSM’s, pretože engine-pkcs11 neobsahuje mapovanie pre OpenSSL na C_GenerateRandom.
- Q: How good is the Random Number Generator?
Nitrokey HSM používa True Random Number Generator JCOP 2.4.1r3, ktorý má kvalitu DRNG.2 (podľa AIS 31 Nemeckého spolkového úradu pre informačnú bezpečnosť, BSI).
- Q: Which API can I use?
OpenSC: Pre rámec OpenSC existujú komplexné pokyny. Ako pohodlnejší frontend k OpenSC existuje nitrotool.
Vstavané systémy: Pre systémy s minimálnou pamäťovou stopou poskytuje projekt sc-hsm-embedded modul PKCS#11 určený len na čítanie. Tento modul PKCS#11 je užitočný pri nasadení, kde sa nevyžaduje generovanie kľúčov na pracovisku používateľa. Modul PKCS#11 podporuje aj hlavné karty elektronického podpisu dostupné na nemeckom trhu.
OpenSCDP: SmartCard-HSM je plne integrovaný s OpenSCDP, otvorenou platformou pre vývoj inteligentných kariet. Podrobnosti nájdete vo verejných podporných skriptách. Na import existujúcich kľúčov môžete použiť jeho SCSH alebo NitroKeyWrapper.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
Bezpečnostný radič (NXP JCOP 3 P60) je certifikovaný podľa Common Criteria EAL 5+ až po úroveň operačného systému (Certifikát, `Certifikačná správa <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
Najskôr ` nastavte`_ svoj Nitrokey HSM na používanie zálohovania a obnovy kľúčov. Potom použite na importovanie program Smart Card Shell. Ak je váš kľúč uložený v úložisku kľúčov Java, môžete namiesto toho použiť NitroKeyWrapper.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
Prístup k zabezpečeniu kľúčov pre Hashicorp Vault/Bank-Vault na HSM Nitrokey nájdete na banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch napísal jednoduchý, bezplatný python program na zabezpečenie súkromného kľúča peňaženky Bitcoin v HSM. Tezos bol reportovaný, že funguje s Nitrokey HSM.