Vanliga frågor om Nitrokey HSM

Q: Which Operating Systems are supported?

Windows, Linux och macOS.

Q: What can I use the Nitrokey for?

See the overview of supported use cases.

Q: What is the maximum length of the PIN?

Nitrokey använder PIN-koder i stället för lösenord. Den största skillnaden är att hårdvaran begränsar antalet försök till tre, medan det inte finns någon begränsning för lösenord. På grund av detta är en kort PIN-kod fortfarande säker och det finns ingen anledning att välja en lång och komplex PIN-kod.

Nitrokey PIN-koder kan vara upp till 16 siffror långa och bestå av siffror, tecken och specialtecken. Obs: När du använder GnuPG eller OpenSC kan du använda PIN-koder som är 32 tecken långa, men de stöds inte av Nitrokey App.

Q: What is the User PIN for?

PIN-koden är minst 6 siffror lång och används för att få tillgång till Nitrokey-kontexten. Detta är den PIN-kod som du kommer att använda ofta i vardagen.

PIN-koden kan bestå av upp till 16 siffror och andra tecken (t.ex. bokstavs- och specialtecken). Men eftersom PIN-koden blockeras så snart tre felaktiga PIN-försök har gjorts, är det tillräckligt säkert att bara ha en 6-siffrig PIN-kod.

Q: What is the SO PIN for?

The SO PIN is used in the Nitrokey HSM only and is something like a ”master” PIN with special properties. Please read these instructions carefully to understand the SO PIN of the Nitrokey HSM.

SO PIN-koden måste vara exakt 16 siffror lång.

Q: How many data objects (DF, EF) can be stored?

Totalt 76 KB EEPROM, som kan användas för

  • max. 150 x ECC-521-nycklar eller

  • max. 300 x ECC/AES-256-nycklar eller

  • max. 19 x RSA-4096-nycklar eller

  • max. 38 x RSA-2048-nycklar

Q: How many keys can I store?

Nitrokey HSM kan lagra 20 RSA-2048- och 31 ECC-256-nyckelpar.

Q: How fast is encryption and signing?

  • Nyckelgenerering på kortet: RSA 2048: 2 per minut

  • Nyckelgenerering på kortet: ECC 256: 10 per minut.

  • Skapande av signaturer med hash från kortet: RSA 2048; 100 per minut

  • Skapande av signaturer med hash från kortet: ECDSA 256: 360 per minut

  • Skapande av signaturer med SHA-256 på kortet och 1 kb data: RSA 2048; 68 per minut

  • Skapande av signaturer med SHA-256 på kortet och 1 kb data: ECDSA 256: 125 per minut

Q: How can I distinguish a Nitrokey HSM 1 from an Nitrokey HSM 2?

Använd opensc-tool --list-algorithms och jämför med tabellen nedan. Se även den här tråden för faktablad och mer information.

Q: Which algorithms and maximum key length are supported?

Se följande tabell:

HSM

HSM 2

RSA 1024

RSA 2048

RSA 3072

RSA 4096

Curve25519

NIST-P 192

NIST-P 256

NIST-P 384-521

Brainpool 192

Brainpool 256-320

Brainpool 384-521

secp192k1

secp256k1

secp521k1

Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey HSM for my applications?

Nitrokey HSM kan användas med Botan och TokenTools genom att använda OpenSC som PKCS#11-drivrutin.

OpenSSL kan inte använda Nitrokey HSM’s RNG direkt eftersom engine-pkcs11 inte innehåller en mappning för OpenSSL till C_GenerateRandom.

Q: How good is the Random Number Generator?

Nitrokey HSM använder True Random Number Generator i JCOP 2.4.1r3 som har en kvalitet på DRNG.2 (enligt AIS 31 från den tyska federala myndigheten för informationssäkerhet, BSI).

Q: Which API can I use?

OpenSC: Det finns omfattande instruktioner för OpenSC-ramverket. Det finns nitrotool som är en bekvämare frontlinje till OpenSC.

Inbäddade system: För system med minimalt minnesutrymme tillhandahålls en läs- och skrivskyddad PKCS#11-modul av projektet sc-hsm-embedded. Denna PKCS#11-modul är användbar för installationer där nyckelgenerering på användarens arbetsplats inte krävs. PKCS#11-modulen stöder också de viktigaste elektroniska signaturkort som finns på den tyska marknaden.

OpenSCDP: SmartCard-HSM är helt integrerad med OpenSCDP, den öppna utvecklingsplattformen för smarta kort. Se de offentliga stödskrifterna för mer information. För att importera befintliga nycklar kan du använda SCSH eller NitroKeyWrapper.

Q: Is the Nitrokey HSM 2 Common Criteria or FIPS certified?

Säkerhetskontrollenheten (NXP JCOP 3 P60) är Common Criteria EAL 5+-certifierad upp till OS-nivå.

Q: How to import an existing key into the Nitrokey HSM?

Först måste du konfigurera din Nitrokey HSM för att använda säkerhetskopiering och återställning av nycklar. Använd sedan Smart Card Shell för import. Om din nyckel lagras i ett Java-nyckelarkiv kan du använda `NitroKeyWrapper istället.

Q: How do I secure my Cloud Infrastructure/Kubernetes with Nitrokey HSM?

En metod för att säkra nycklar för Hashicorp Vault/Bank-Vault på en Nitrokey HSM finns på banzaicloud.com.

Q: Can I use Nitrokey HSM with cryptocurrencies?

J.v.d.Bosch skrev ett enkelt, gratis python program för att säkra den privata nyckeln till en Bitcoin-plånbok i en HSM. Tezos har `rapporterats fungera med Nitrokey HSM.