Nitrokey HSM Pogosta vprašanja#
- Q: Kateri operacijski sistemi so podprti?
Windows, Linux in macOS.
- Q: Za kaj lahko uporabljam ključ Nitrokey?
Za pregled podprtih primerov uporabe glejte prednjo stran.
- Q: Kakšna je največja dolžina kode PIN?
Nitrokey namesto gesel uporablja kode PIN. Glavna razlika je v tem, da strojna oprema omejuje število poskusov na tri, medtem ko pri geslih te omejitve ni. Zaradi tega je kratka koda PIN še vedno varna in ni treba izbrati dolge in zapletene kode PIN.
Nitrokey PIN je lahko dolg do 16 številk in je lahko sestavljen iz številk, znakov in posebnih znakov. Opomba: Če uporabljate GnuPG ali OpenSC, lahko uporabite 32 znakov dolge kode PIN, vendar jih aplikacija Nitrokey ne podpira.
- Q: Za kaj je namenjena uporabniška koda PIN?
PIN je dolg najmanj 6 številk in se uporablja za dostop do vsebine ključa Nitrokey. To je PIN, ki ga boste pogosto uporabljali pri vsakodnevni uporabi.
PIN ima lahko do 16 številk in drugih znakov (npr. abecednih in posebnih znakov). Ker pa se PIN blokira takoj, ko so bili opravljeni trije napačni poskusi PIN, je dovolj varno, če je na voljo le šestmestna številka PIN.
- Q: Za kaj se uporablja koda SO PIN?
SO PIN se uporablja samo v sistemu Nitrokey HSM in je nekaj podobnega kot „glavni“ PIN s posebnimi lastnostmi. Pozorno preberite ta navodila, da boste razumeli kodo SO PIN naprave Nitrokey HSM.
SO PIN mora biti dolg natanko 16 številk.
- Q: Koliko podatkovnih objektov (DF, EF) je mogoče shraniti?
76 KB EEPROM, ki se lahko uporablja za
največ. 150 x tipke ECC-521 ali
največ. 300 x ECC/AES-256 ključev ali
največ. 19 x RSA-4096 ključev ali
največ. 38 x RSA-2048 ključev
- Q: Koliko ključev lahko shranim?
Nitrokey HSM lahko shrani 20 parov ključev RSA-2048 in 31 parov ključev ECC-256.
- Q: Kako hitro poteka šifriranje in podpisovanje?
Ustvarjanje ključev na kartici: RSA 2048: 2 na minuto
Ustvarjanje ključev na kartici: ECC 256: 10 na minuto.
Ustvarjanje podpisa z zunajkartičnim hashem: RSA 2048; 100 na minuto
Ustvarjanje podpisa z zunajkartičnim hashem: ECDSA 256: 360 na minuto
Ustvarjanje podpisa s SHA-256 na kartici in 1 kb podatkov: RSA 2048; 68 na minuto
Ustvarjanje podpisa s SHA-256 na kartici in 1 kb podatkov: ECDSA 256: 125 na minuto
- Q: Kako lahko ločim Nitrokey HSM 1 od Nitrokey HSM 2?
Uporabite
opensc-tool --list-algorithmsin primerjajte s spodnjo tabelo. Oglejte si tudi to temo za preglednice in več podrobnosti.
- Q: Kateri algoritmi in največja dolžina ključa so podprti?
Oglejte si naslednjo tabelo:
Začetek |
Pro + shranjevanje |
Pro 2 + shranjevanje 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
krivulja25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- V: Kako lahko generator naključnih številk (TRNG) naprave Nitrokey HSM uporabim za svoje aplikacije?
Nitrokey HSM lahko uporabljate z Botan in TokenTools z uporabo OpenSC kot gonilnika PKCS#11.
OpenSSL ne more neposredno uporabljati RNG Nitrokey HSM, ker engine-pkcs11 ne vsebuje preslikave za OpenSSL v C_GenerateRandom.
- Q: Kako dober je generator naključnih številk?
Nitrokey HSM uporablja generator naključnih številk JCOP 2.4.1r3, ki ima kakovost DRNG.2 (v skladu z AIS 31 nemškega Zveznega urada za informacijsko varnost, BSI).
- Q: Kateri API lahko uporabim?
OpenSC: Za ogrodje OpenSC obstajajo izčrpna navodila. Obstaja nitrotool, ki je bolj udoben frontend za OpenSC.
Vgrajeni sistemi: Projekt sc-hsm-embedded zagotavlja modul PKCS#11 samo za branje za sisteme z minimalnim pomnilniškim odtisom. Ta modul PKCS#11 je uporaben za namestitve, kjer ni potrebno generiranje ključev na delovnem mestu uporabnika. Modul PKCS#11 podpira tudi glavne kartice za elektronski podpis, ki so na voljo na nemškem trgu.
OpenSCDP: SmartCard-HSM je v celoti integriran z OpenSCDP, odprto platformo za razvoj pametnih kartic. Za podrobnosti glejte javne podporne skripte. Za uvoz obstoječih ključev lahko uporabite SCSH ali NitroKeyWrapper.
- V: Ali ima Nitrokey 3 certifikat Common Criteria ali FIPS?
Strojna oprema in operacijski sistem varnostnega krmilnika imata certifikat Common Criteria (Security Target; HSM2 Report; glejte here, kliknite „ICs, Smart Cards and Smart Card-Related Devices and Systems“ in poiščite „NXP JCOP 3 P60“).
- Q: Kako uvoziti obstoječi ključ v Nitrokey HSM?
Najprej nastavite svoj Nitrokey HSM za uporabo varnostnega kopiranja in obnovitve ključev. Nato za uvoz uporabite Smart Card Shell. Če je vaš ključ shranjen v shrambi ključev Java, lahko namesto tega uporabite NitroKeyWrapper.
- Vprašanje: Kako lahko z Nitrokey HSM zavarujem svojo infrastrukturo v oblaku/Kubernetes?
Pristop k zaščiti ključev za Hashicorp Vault/Bank-Vault na Nitrokey HSM lahko najdete na banzaicloud.com.
- Q: Ali lahko Nitrokey HSM uporabljam s kriptovalutami?
J.v.d.Bosch je napisal preprost, brezplačen python program za zaščito zasebnega ključa denarnice Bitcoin v HSM. Tezos je prijavil, da deluje z Nitrokey HSM.