Secure Element SE05x¶
Secure Element SE050 je čip odolný voči manipulácii od spoločnosti NXP Semiconductors, ktorý poskytuje pokročilé bezpečnostné funkcie. Ponúka hardvérové bezpečnostné funkcie vrátane kryptografických operácií, bezpečného ukladania kľúčov a ochrany proti fyzickým a logickým útokom. Zabezpečený prvok SE05X je certifikovaný podľa úrovne zabezpečenia Common Criteria EAL 6+ a implementuje algoritmy ako RSA, ECC, AES a SHA, vďaka čomu je ideálny pre Nitrokey 3.
Kryptografické kľúče PIV sú uložené v bezpečnom prvku. Karta OpenPGP môže byť nakonfigurovaná tak, aby sa kryptografické kľúče ukladali do zabezpečeného prvku, alebo nie, pričom v takom prípade sa používa len softvérová implementácia. Password Safe a FIDO2 nepoužívajú Secure Element s výnimkou dodatočnej náhodnosti.
Aktivácia/deaktivácia pre OpenPGP¶
Zabezpečený prvok je predvolene povolený, ak v zariadení ešte nie je uložený žiadny kryptografický kľúč v OpenPGP Card a PIV. K tomu automaticky dochádza po resetovaní karty OpenPGP Card alebo celého kľúča Nitrokey.
Varovanie
Ručná aktivácia zabezpečeného prvku pre kartu OpenPGP odstráni všetky existujúce kľúče.
Ak chcete skontrolovať, či je aktivovaný zabezpečený prvok pre OpenPGP, spustite:
nitropy nk3 get-config opcard.use_se050_backend
Povolenie zabezpečeného prvku:
nitropy nk3 set-config opcard.use_se050_backend true
Vypnutie zabezpečeného prvku:
nitropy nk3 set-config opcard.use_se050_backend false
Algoritmy¶
Algorithm |
With Secure Element |
Bez zabezpečeného prvku |
|---|---|---|
RSA 2048 bit |
✓ |
✓ |
RSA 3072 bit |
✓ |
⨯ |
RSA 4096 bit |
✓ |
⨯ |
AES 128/256 bit |
✓ |
✓ |
SHA 256/384/512 bitov |
✓ |
✓ |
NIST P-256 (secp256r1/prime256v1) |
✓ |
✓ |
NIST P-384 (secp384r1/prime384v1) |
✓ |
⨯ |
NIST P-521 (secp521r1/prime521v1) |
✓ |
⨯ |
Ed25519/Curve25519 |
✓ |
✓ |
brainpoolP256r1 |
✓ |
⨯ |
brainpoolP384r1 |
✓ |
⨯ |
brainpoolP512r1 |
✓ |
⨯ |
HOTP (RFC 4226) |
✓ |
✓ |
TOTP (RFC 6238) |
✓ |
✓ |
Physical random number generator (TRNG) |
✓ |
✓ |