Vanliga frågor om Nitrokey HSM¶
- Q: Vilka operativsystem stöds?
Windows, Linux och macOS.
- Q: Vad kan jag använda Nitrokey till?
Se översikt över användningsfall som stöds.
- Q: Vilken är den maximala längden på PIN-koden?
Nitrokey använder PIN-koder i stället för lösenord. Den största skillnaden är att hårdvaran begränsar antalet försök till tre, medan det inte finns någon begränsning för lösenord. På grund av detta är en kort PIN-kod fortfarande säker och det finns ingen anledning att välja en lång och komplex PIN-kod.
Nitrokey PIN-koder kan vara upp till 16 siffror långa och bestå av siffror, tecken och specialtecken. Obs: När du använder GnuPG eller OpenSC kan du använda PIN-koder som är 32 tecken långa, men de stöds inte av Nitrokey App.
- Q: Vad är användar-PIN-koden till för?
PIN-koden är minst 6 siffror lång och används för att få tillgång till Nitrokey-kontexten. Detta är den PIN-kod som du kommer att använda ofta i vardagen.
PIN-koden kan bestå av upp till 16 siffror och andra tecken (t.ex. bokstavs- och specialtecken). Men eftersom PIN-koden blockeras så snart tre felaktiga PIN-försök har gjorts, är det tillräckligt säkert att bara ha en 6-siffrig PIN-kod.
- Q: Vad är SO PIN-koden till för?
SO PIN-koden används endast i Nitrokey HSM och är ungefär som en ”master” PIN-kod med särskilda egenskaper. Läs denna instruktion noggrant för att förstå SO PIN-koden för Nitrokey HSM.
SO PIN-koden måste vara exakt 16 siffror lång.
- Q: Hur många dataobjekt (DF, EF) kan lagras?
Totalt 76 KB EEPROM, som kan användas för
max. 150 x ECC-521-nycklar eller
max. 300 x ECC/AES-256-nycklar eller
max. 19 x RSA-4096-nycklar eller
max. 38 x RSA-2048-nycklar
- Q: Hur många nycklar kan jag lagra?
Nitrokey HSM kan lagra 20 RSA-2048- och 31 ECC-256-nyckelpar.
- Q: Hur snabbt går kryptering och signering?
Nyckelgenerering på kortet: RSA 2048: 2 per minut
Nyckelgenerering på kortet: ECC 256: 10 per minut.
Skapande av signaturer med hash från kortet: RSA 2048; 100 per minut
Skapande av signaturer med hash från kortet: ECDSA 256: 360 per minut
Skapande av signaturer med SHA-256 på kortet och 1 kb data: RSA 2048; 68 per minut
Skapande av signaturer med SHA-256 på kortet och 1 kb data: ECDSA 256: 125 per minut
- Q: Hur kan jag skilja en Nitrokey HSM1 från en Nitrokey HSM2?
Använd
opensc-tool --list-algorithms
och jämför med tabellen nedan. Se även den här tråden för faktablad och mer information.
- Q: Vilka algoritmer och maximal nyckellängd stöds?
Se följande tabell:
Starta |
Pro + lagring |
Pro 2 + lagring 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
kurva25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Hur kan jag använda Nitrokey HSM:s True Random Number Generator (TRNG) i mina tillämpningar?
Nitrokey HSM kan användas med Botan och TokenTools genom att använda OpenSC som PKCS#11-drivrutin.
OpenSSL kan inte använda Nitrokey HSM’s RNG direkt eftersom engine-pkcs11 inte innehåller en mappning för OpenSSL till C_GenerateRandom.
- Q: Hur bra är slumpgeneratorn?
Nitrokey HSM använder True Random Number Generator i JCOP 2.4.1r3 som har en kvalitet på DRNG.2 (enligt AIS 31 från den tyska federala myndigheten för informationssäkerhet, BSI).
- Q: Vilket API kan jag använda?
OpenSC: Det finns omfattande instruktioner för OpenSC-ramverket. Det finns nitrotool som är en bekvämare frontlinje till OpenSC.
Inbäddade system: För system med minimalt minnesutrymme tillhandahålls en läs- och skrivskyddad PKCS#11-modul av projektet sc-hsm-embedded. Denna PKCS#11-modul är användbar för installationer där nyckelgenerering på användarens arbetsplats inte krävs. PKCS#11-modulen stöder också de viktigaste elektroniska signaturkort som finns på den tyska marknaden.
OpenSCDP: SmartCard-HSM är helt integrerad med OpenSCDP, den öppna utvecklingsplattformen för smarta kort. Se de offentliga stödskrifterna för mer information. För att importera befintliga nycklar kan du använda SCSH eller NitroKeyWrapper.
- Q: Är Nitrokey 3 Common Criteria- eller FIPS-certifierad?
Säkerhetskontrollenheten (NXP JCOP 3 P60) är Common Criteria EAL 5+-certifierad upp till OS-nivå (Certificate, `Certification Report <https://commoncriteriaportal.org/files/epfiles/Certification%20Report%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>%20NSCIB-CC-98209-CR5%20-%20version%203.0%20(2022-10-14).pdf>`__, Security Target, Java Card System Protection Profile Open Configuration, Version 3.0).
- Q: Hur importerar jag en befintlig nyckel till Nitrokey HSM?
Först måste du konfigurera din Nitrokey HSM för att använda säkerhetskopiering och återställning av nycklar. Använd sedan Smart Card Shell för import. Om din nyckel lagras i ett Java-nyckelarkiv kan du använda `NitroKeyWrapper istället.
- Q: Hur skyddar jag min molninfrastruktur/Kubernetes med Nitrokey HSM?
En metod för att säkra nycklar för Hashicorp Vault/Bank-Vault på en Nitrokey HSM finns på banzaicloud.com.
- Q: Kan jag använda Nitrokey HSM med kryptovalutor?
J.v.d.Bosch skrev ett enkelt, gratis python program för att säkra den privata nyckeln till en Bitcoin-plånbok i en HSM. Tezos har `rapporterats fungera med Nitrokey HSM.