Nitrokey HSM FAQ

Q: Ktoré operačné systémy sú podporované?

Windows, Linux a macOS.

Q: Na čo môžem používať Nitrokey?

See the overview of supported use cases.

Q: Aká je maximálna dĺžka kódu PIN?

Nitrokey používa namiesto hesiel kódy PIN. Hlavným rozdielom je, že hardvér obmedzuje počet pokusov na tri, zatiaľ čo pri heslách tento limit neexistuje. Z tohto dôvodu je krátky kód PIN stále bezpečný a nie je potrebné voliť dlhý a zložitý kód PIN.

PIN kód Nitrokey môže mať až 16 číslic a môže pozostávať z číslic, znakov a špeciálnych znakov. Poznámka: Pri používaní GnuPG alebo OpenSC je možné používať 32 znakov dlhé kódy PIN, ktoré však aplikácia Nitrokey nepodporuje.

Q: Na čo slúži používateľský kód PIN?

PIN má minimálne 6 číslic a slúži na získanie prístupu k obsahu Nitrokey. Tento kód PIN budete často používať pri každodennom používaní.

Kód PIN môže obsahovať až 16 číslic a ďalšie znaky (napr. abecedné a špeciálne znaky). Keďže sa však kód PIN zablokuje hneď po troch nesprávnych pokusoch o zadanie kódu PIN, je dostatočne bezpečné mať len 6-miestny kód PIN.

Q: Na čo slúži kód SO PIN?

SO PIN sa používa len v Nitrokey HSM a je niečo ako „master“ PIN so špeciálnymi vlastnosťami. Pozorne si prečítajte tento návod, aby ste pochopili SO PIN v systéme Nitrokey HSM.

PIN SO musí mať presne 16 číslic.

Q: Koľko dátových objektov (DF, EF) je možné uložiť?

76 KB EEPROM, ktoré možno použiť na

  • max. 150 x kľúčov ECC-521 alebo

  • max. 300 x ECC/AES-256 kľúčov alebo

  • max. 19 x RSA-4096 kľúčov alebo

  • max. 38 x RSA-2048 kľúčov

Q: Koľko kľúčov môžem uložiť?

Nitrokey HSM môže uložiť 20 párov kľúčov RSA-2048 a 31 párov kľúčov ECC-256.

Q: Ako rýchlo prebieha šifrovanie a podpisovanie?
  • Generovanie kľúčov na karte: RSA 2048: 2 za minútu

  • Generovanie kľúčov na karte: ECC 256: 10 za minútu.

  • Vytváranie podpisov pomocou hash mimo karty: RSA 2048; 100 za minútu

  • Vytváranie podpisov pomocou hash mimo karty: ECDSA 256: 360 za minútu

  • Vytvorenie podpisu pomocou SHA-256 na karte a 1 kb údajov: RSA 2048; 68 za minútu

  • Vytvorenie podpisu pomocou SHA-256 na karte a 1 kb údajov: ECDSA 256: 125 za minútu

Q: Ako rozoznám Nitrokey HSM 1 od Nitrokey HSM 2?

Použite opensc-tool --list-algorithms a porovnajte s nasledujúcou tabuľkou. Pozrite si tiež túto tému, kde nájdete informačné tabuľky a ďalšie podrobnosti.

Q: Ktoré algoritmy a maximálna dĺžka kľúča sú podporované?

Pozri nasledujúcu tabuľku:

Štart

Pro + Storage

Pro 2 + úložisko 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

krivka25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Mozgovňa 192

Mozgovňa 256-320

Mozgovňa 384-521

secp192

secp256

secp521

Q: Ako môžem použiť generátor náhodných čísel (TRNG) v systéme Nitrokey HSM pre svoje aplikácie?

Nitrokey HSM možno používať s Botan a TokenTools pomocou OpenSC ako ovládača PKCS#11.

OpenSSL nemôže priamo používať RNG Nitrokey HSM’s, pretože engine-pkcs11 neobsahuje mapovanie pre OpenSSL na C_GenerateRandom.

Q: Ako dobrý je generátor náhodných čísel?

Nitrokey HSM používa True Random Number Generator JCOP 2.4.1r3, ktorý má kvalitu DRNG.2 (podľa AIS 31 Nemeckého spolkového úradu pre informačnú bezpečnosť, BSI).

Q: Ktoré API môžem použiť?

OpenSC: Pre rámec OpenSC existujú komplexné pokyny. Ako pohodlnejší frontend k OpenSC existuje nitrotool.

Vstavané systémy: Pre systémy s minimálnou pamäťovou stopou poskytuje projekt sc-hsm-embedded modul PKCS#11 určený len na čítanie. Tento modul PKCS#11 je užitočný pri nasadení, kde sa nevyžaduje generovanie kľúčov na pracovisku používateľa. Modul PKCS#11 podporuje aj hlavné karty elektronického podpisu dostupné na nemeckom trhu.

OpenSCDP: SmartCard-HSM je plne integrovaný s OpenSCDP, otvorenou platformou pre vývoj inteligentných kariet. Podrobnosti nájdete vo verejných podporných skriptách. Na import existujúcich kľúčov môžete použiť jeho SCSH alebo NitroKeyWrapper.

Q: Je Nitrokey 3 certifikovaný podľa Common Criteria alebo FIPS?

Bezpečnostný radič (NXP JCOP 3 P60) je certifikovaný podľa Common Criteria EAL 5+ až po úroveň operačného systému (Certifikát, `Certifikačná správa <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Ako importovať existujúci kľúč do systému Nitrokey HSM?

Najskôr ` nastavte`_ svoj Nitrokey HSM na používanie zálohovania a obnovy kľúčov. Potom použite na importovanie program Smart Card Shell. Ak je váš kľúč uložený v úložisku kľúčov Java, môžete namiesto toho použiť NitroKeyWrapper.

Q: Ako zabezpečím svoju cloudovú infraštruktúru/Kubernetes pomocou Nitrokey HSM?

Prístup k zabezpečeniu kľúčov pre Hashicorp Vault/Bank-Vault na HSM Nitrokey nájdete na banzaicloud.com.

Q: Môžem používať Nitrokey HSM s kryptomenami?

J.v.d.Bosch napísal jednoduchý, bezplatný python program na zabezpečenie súkromného kľúča peňaženky Bitcoin v HSM. Tezos bol reportovaný, že funguje s Nitrokey HSM.