Nitrokey HSM Pogosta vprašanja

Q: Kateri operacijski sistemi so podprti?

Windows, Linux in macOS.

Q: Za kaj lahko uporabljam ključ Nitrokey?

See the overview of supported use cases.

Q: Kakšna je največja dolžina kode PIN?

Nitrokey namesto gesel uporablja kode PIN. Glavna razlika je v tem, da strojna oprema omejuje število poskusov na tri, medtem ko pri geslih te omejitve ni. Zaradi tega je kratka koda PIN še vedno varna in ni treba izbrati dolge in zapletene kode PIN.

Nitrokey PIN je lahko dolg do 16 številk in je lahko sestavljen iz številk, znakov in posebnih znakov. Opomba: Če uporabljate GnuPG ali OpenSC, lahko uporabite 32 znakov dolge kode PIN, vendar jih aplikacija Nitrokey ne podpira.

Q: Za kaj je namenjena uporabniška koda PIN?

PIN je dolg najmanj 6 številk in se uporablja za dostop do vsebine ključa Nitrokey. To je PIN, ki ga boste pogosto uporabljali pri vsakodnevni uporabi.

PIN ima lahko do 16 številk in drugih znakov (npr. abecednih in posebnih znakov). Ker pa se PIN blokira takoj, ko so bili opravljeni trije napačni poskusi PIN, je dovolj varno, če je na voljo le šestmestna številka PIN.

Q: Za kaj se uporablja koda SO PIN?

SO PIN se uporablja samo v sistemu Nitrokey HSM in je nekaj podobnega kot „glavni“ PIN s posebnimi lastnostmi. Pozorno preberite ta navodila, da boste razumeli kodo SO PIN naprave Nitrokey HSM.

SO PIN mora biti dolg natanko 16 številk.

Q: Koliko podatkovnih objektov (DF, EF) je mogoče shraniti?

76 KB EEPROM, ki se lahko uporablja za

  • največ. 150 x tipke ECC-521 ali

  • največ. 300 x ECC/AES-256 ključev ali

  • največ. 19 x RSA-4096 ključev ali

  • največ. 38 x RSA-2048 ključev

Q: Koliko ključev lahko shranim?

Nitrokey HSM lahko shrani 20 parov ključev RSA-2048 in 31 parov ključev ECC-256.

Q: Kako hitro poteka šifriranje in podpisovanje?
  • Ustvarjanje ključev na kartici: RSA 2048: 2 na minuto

  • Ustvarjanje ključev na kartici: ECC 256: 10 na minuto.

  • Ustvarjanje podpisa z zunajkartičnim hashem: RSA 2048; 100 na minuto

  • Ustvarjanje podpisa z zunajkartičnim hashem: ECDSA 256: 360 na minuto

  • Ustvarjanje podpisa s SHA-256 na kartici in 1 kb podatkov: RSA 2048; 68 na minuto

  • Ustvarjanje podpisa s SHA-256 na kartici in 1 kb podatkov: ECDSA 256: 125 na minuto

Q: Kako lahko ločim Nitrokey HSM 1 od Nitrokey HSM 2?

Uporabite opensc-tool --list-algorithms in primerjajte s spodnjo tabelo. Oglejte si tudi to temo za preglednice in več podrobnosti.

Q: Kateri algoritmi in največja dolžina ključa so podprti?

Oglejte si naslednjo tabelo:

Začetek

Pro + shranjevanje

Pro 2 + shranjevanje 2

Nitrokey 3

HSM

HSM 2

rsa1024

rsa2048

rsa3072

rsa4096

krivulja25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192

secp256

secp521

V: Kako lahko generator naključnih številk (TRNG) naprave Nitrokey HSM uporabim za svoje aplikacije?

Nitrokey HSM lahko uporabljate z Botan in TokenTools z uporabo OpenSC kot gonilnika PKCS#11.

OpenSSL ne more neposredno uporabljati RNG Nitrokey HSM, ker engine-pkcs11 ne vsebuje preslikave za OpenSSL v C_GenerateRandom.

Q: Kako dober je generator naključnih številk?

Nitrokey HSM uporablja generator naključnih številk JCOP 2.4.1r3, ki ima kakovost DRNG.2 (v skladu z AIS 31 nemškega Zveznega urada za informacijsko varnost, BSI).

Q: Kateri API lahko uporabim?

OpenSC: Za ogrodje OpenSC obstajajo izčrpna navodila. Obstaja nitrotool, ki je bolj udoben frontend za OpenSC.

Vgrajeni sistemi: Projekt sc-hsm-embedded zagotavlja modul PKCS#11 samo za branje za sisteme z minimalnim pomnilniškim odtisom. Ta modul PKCS#11 je uporaben za namestitve, kjer ni potrebno generiranje ključev na delovnem mestu uporabnika. Modul PKCS#11 podpira tudi glavne kartice za elektronski podpis, ki so na voljo na nemškem trgu.

OpenSCDP: SmartCard-HSM je v celoti integriran z OpenSCDP, odprto platformo za razvoj pametnih kartic. Za podrobnosti glejte javne podporne skripte. Za uvoz obstoječih ključev lahko uporabite SCSH ali NitroKeyWrapper.

V: Ali ima Nitrokey 3 certifikat Common Criteria ali FIPS?

Varnostni krmilnik (NXP JCOP 3 P60) ima certifikat Common Criteria EAL 5+ do ravni operacijskega sistema (Certifikat, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).

Q: Kako uvoziti obstoječi ključ v Nitrokey HSM?

Najprej nastavite svoj Nitrokey HSM za uporabo varnostnega kopiranja in obnovitve ključev. Nato za uvoz uporabite Smart Card Shell. Če je vaš ključ shranjen v shrambi ključev Java, lahko namesto tega uporabite NitroKeyWrapper.

Vprašanje: Kako lahko z Nitrokey HSM zavarujem svojo infrastrukturo v oblaku/Kubernetes?

Pristop k zaščiti ključev za Hashicorp Vault/Bank-Vault na Nitrokey HSM lahko najdete na banzaicloud.com.

Q: Ali lahko Nitrokey HSM uporabljam s kriptovalutami?

J.v.d.Bosch je napisal preprost, brezplačen python program za zaščito zasebnega ključa denarnice Bitcoin v HSM. Tezos je prijavil, da deluje z Nitrokey HSM.