Nitrokey Pro 2常见问题

**问：**支持哪些操作系统？

Windows、Linux和macOS。

**问：**我可以用硝基钥匙做什么？

请参阅`overview`_ 受支持的用例。

**问：**默认的PIN码是什么？

• 用户密码："123456"。

• 管理员密码： "12345678"。

我们强烈建议在使用 Nitrokey 之前将这些 PIN 码/密码更改为用户选择的值。

**问：**密码的最大长度是多少？

Nitrokey使用PIN码而不是密码。主要区别在于，硬件将尝试的次数限制为三次，而密码则不存在限制。正因为如此，一个简短的PIN码仍然是安全的，没有必要选择一个长而复杂的PIN码。

Nitrokey Storage的PIN码可长达20位，可由数字、字符和特殊字符组成。注意：当使用GnuPG或OpenSC时，可以使用32个字符的PIN码，但不被Nitrokey App支持。

**问：**用户密码是什么？

用户PIN码至少有6位数，用于进入Nitrokey的保护范围。这是你在日常使用中经常用到的密码，例如解密信息、解锁加密的存储空间（仅限NK存储）等。

用户密码最多可以有 20 位数字和其他字符（如字母和特殊字符）。但是，由于用户密码在三次输入错误后就会被封锁，因此只输入 6 位数的密码就足够安全了。默认 PIN 码为 123456。

**问：**管理密码是用来做什么的？

管理密码至少有8位数，用于改变硝基钥匙的内容/设置。也就是说，在初始化Nitrokey后，你可能不会经常需要这个PIN码（例如，如果你想在Nitrokey Pro或Nitrokey Storage的密码箱中添加另一个密码）。

管理密码最多可以有20位数字和其他字符（如字母和特殊字符）。但是，由于只要有三次错误的PIN尝试，管理PIN就会被阻止，所以只有8位数的PIN就足够安全了。默认的PIN码是12345678。

**问：**为什么我的Nitrokey Pro在nitrokey-app和GnuPG之间切换时挂起？

GnuPG和nitrokey-app有时会互相牵制。这是一个已知的问题，它可以通过将硝基钥匙重新插入USB插槽来解决。

**问：**可以使用哪些驱动程序/工具？

GnuPG在许多使用情况下都是必需的。它是一个命令行工具，但通常你不需要直接调用它，而是使用另一个具有用户接口的应用程序。

不要将GnuPG与OpenSC或其他PKCS#11驱动并行使用，因为两者可能会相互干扰，并可能导致意外问题。

安装GPG4Win，其中包含Gnu Privacy Assistant（GPA）和GnuPG（GPG）。启动Gnu Privacy Assistant (GPA)或其他应用程序，如你的电子邮件客户端，以使用GnuPG。高级用户可以直接使用GnuPG（命令行）。请注意：联谊会的智能卡与Nitrokey Pro类似，因此本说明也适用于Nitrokey。一般情况下，建议使用官方文档。

**问：**加密和签名的速度如何？

对50kiB的数据进行加密。

• 256位AES，每条命令2048字节 -> 每秒880字节

• 128位AES，每条命令2048字节 -> 每秒893字节

• 256位AES，每个命令240字节 -> 每秒910字节

• 128位AES，每条命令240字节 -> 每秒930字节

**问：**支持哪些算法和最大密钥长度？

见下表。

	开始	专业+存储	专业2+存储2	Nitrokey 3	HSM	HSM 2
rsa1024	✓	✓			✓	✓
rsa2048	✓	✓	✓	✓	✓	✓
rsa3072		✓	✓	✓		✓
rsa4096		✓	✓	✓		✓
曲线25519	✓			✓
NIST-P 192						✓
NIST-P 256	✓		✓	✓		✓
NIST-P 384-521			✓			✓
脑池192					✓	✓
脑库 256-320			✓		✓	✓
脑库 384-521			✓			✓
secp192					✓	✓
secp256	✓				✓	✓
secp521						✓

**问：**Nitrokey Pro是否包含安全芯片或只是一个普通的微控制器？

Nitrokey Pro包含一个防篡改的智能卡。

问： Nitrokey Pro是否经过通用标准或FIPS认证？

安全控制器（恩智浦智能卡控制器 P5CD081V1A 及其主要配置 P5CC081V1A、P5CN081V1A、P5CD041V1A、P5CD021V1A 和 P5CD016V1A 均带有 IC 专用软件）已通过通用标准 EAL 5+ 认证，最高达到操作系统级别 (`Certification Report<https://commoncriteriaportal.org/files/epfiles/0555a_pdf.pdf>`__,`Security Target<https://commoncriteriaportal.org/files/epfiles/0555b_pdf.pdf>`__,`Maintenance Report<https://commoncriteriaportal.org/files/epfiles/0555_ma1a_pdf.pdf>`__,`Maintenance ST<https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__) 。

**问：**我怎样才能在我的应用中使用Nitrokey Pro的真随机数发生器（TRNG）？

这两种设备都与OpenPGP卡兼容，因此，scdrand`_应该可以工作。`这个脚本`_可能有用。用户comio `创建了一个systemd文件`_来使用scdrand，从而更普遍地使用TRNG。他还为Gentoo创建了一个`ebuild。

**问：**随机数字发生器有多好？

Nitrokey Pro和Nitrokey Storage使用真随机数发生器（TRNG）来生成设备上的密钥。TRNG产生的熵被用于整个密钥长度。因此，TRNG符合`BSI TR-03116`_的规定。

TRNG提供约40 kbit/s。

**问：**存储容量有多大？

Nitrokey Pro不包含普通数据的存储能力（它只能存储加密密钥和证书）。