Nitrokey HSM Pogosta vprašanja¶
- Q: Which Operating Systems are supported?
Windows, Linux in macOS.
- Q: What can I use the Nitrokey for?
See the overview of supported use cases.
- Q: What is the maximum length of the PIN?
Nitrokey namesto gesel uporablja kode PIN. Glavna razlika je v tem, da strojna oprema omejuje število poskusov na tri, medtem ko pri geslih te omejitve ni. Zaradi tega je kratka koda PIN še vedno varna in ni treba izbrati dolge in zapletene kode PIN.
Nitrokey PIN je lahko dolg do 16 številk in je lahko sestavljen iz številk, znakov in posebnih znakov. Opomba: Če uporabljate GnuPG ali OpenSC, lahko uporabite 32 znakov dolge kode PIN, vendar jih aplikacija Nitrokey ne podpira.
- Q: What is the User PIN for?
PIN je dolg najmanj 6 številk in se uporablja za dostop do vsebine ključa Nitrokey. To je PIN, ki ga boste pogosto uporabljali pri vsakodnevni uporabi.
PIN ima lahko do 16 številk in drugih znakov (npr. abecednih in posebnih znakov). Ker pa se PIN blokira takoj, ko so bili opravljeni trije napačni poskusi PIN, je dovolj varno, če je na voljo le šestmestna številka PIN.
- Q: What is the SO PIN for?
SO PIN se uporablja samo v sistemu Nitrokey HSM in je nekaj podobnega kot „glavni“ PIN s posebnimi lastnostmi. Pozorno preberite ta navodila, da boste razumeli kodo SO PIN naprave Nitrokey HSM.
SO PIN mora biti dolg natanko 16 številk.
- Q: How many data objects (DF, EF) can be stored?
76 KB EEPROM, ki se lahko uporablja za
največ. 150 x tipke ECC-521 ali
največ. 300 x ECC/AES-256 ključev ali
največ. 19 x RSA-4096 ključev ali
največ. 38 x RSA-2048 ključev
- Q: How many keys can I store?
Nitrokey HSM lahko shrani 20 parov ključev RSA-2048 in 31 parov ključev ECC-256.
- Q: How fast is encryption and signing?
Ustvarjanje ključev na kartici: RSA 2048: 2 na minuto
Ustvarjanje ključev na kartici: ECC 256: 10 na minuto.
Ustvarjanje podpisa z zunajkartičnim hashem: RSA 2048; 100 na minuto
Ustvarjanje podpisa z zunajkartičnim hashem: ECDSA 256: 360 na minuto
Ustvarjanje podpisa s SHA-256 na kartici in 1 kb podatkov: RSA 2048; 68 na minuto
Ustvarjanje podpisa s SHA-256 na kartici in 1 kb podatkov: ECDSA 256: 125 na minuto
- Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?
Uporabite
opensc-tool --list-algorithmsin primerjajte s spodnjo tabelo. Oglejte si tudi to temo za preglednice in več podrobnosti.
- Q: Which algorithms and maximum key length are supported?
Oglejte si naslednjo tabelo:
Začetek |
Pro + shranjevanje |
Pro 2 + shranjevanje 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
krivulja25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?
Nitrokey HSM lahko uporabljate z Botan in TokenTools z uporabo OpenSC kot gonilnika PKCS#11.
OpenSSL ne more neposredno uporabljati RNG Nitrokey HSM, ker engine-pkcs11 ne vsebuje preslikave za OpenSSL v C_GenerateRandom.
- Q: How good is the Random Number Generator?
Nitrokey HSM uporablja generator naključnih številk JCOP 2.4.1r3, ki ima kakovost DRNG.2 (v skladu z AIS 31 nemškega Zveznega urada za informacijsko varnost, BSI).
- Q: Which API can I use?
OpenSC: Za ogrodje OpenSC obstajajo izčrpna navodila. Obstaja nitrotool, ki je bolj udoben frontend za OpenSC.
Vgrajeni sistemi: Projekt sc-hsm-embedded zagotavlja modul PKCS#11 samo za branje za sisteme z minimalnim pomnilniškim odtisom. Ta modul PKCS#11 je uporaben za namestitve, kjer ni potrebno generiranje ključev na delovnem mestu uporabnika. Modul PKCS#11 podpira tudi glavne kartice za elektronski podpis, ki so na voljo na nemškem trgu.
OpenSCDP: SmartCard-HSM je v celoti integriran z OpenSCDP, odprto platformo za razvoj pametnih kartic. Za podrobnosti glejte javne podporne skripte. Za uvoz obstoječih ključev lahko uporabite SCSH ali NitroKeyWrapper.
- Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?
Varnostni krmilnik (NXP JCOP 3 P60) ima certifikat Common Criteria EAL 5+ do ravni operacijskega sistema (Certifikat, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: How to import an existing key into the Nitrokey HSM?
Najprej nastavite svoj Nitrokey HSM za uporabo varnostnega kopiranja in obnovitve ključev. Nato za uvoz uporabite Smart Card Shell. Če je vaš ključ shranjen v shrambi ključev Java, lahko namesto tega uporabite NitroKeyWrapper.
- Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?
Pristop k zaščiti ključev za Hashicorp Vault/Bank-Vault na Nitrokey HSM lahko najdete na banzaicloud.com.
- Q: Can I use Nitrokey HSM with cryptocurrencies?
J.v.d.Bosch je napisal preprost, brezplačen python program za zaščito zasebnega ključa denarnice Bitcoin v HSM. Tezos je prijavil, da deluje z Nitrokey HSM.