Nitrokey Pro 2常见问题#
- **问:**密码的最大长度是多少?
Nitrokey使用PIN码而不是密码。主要区别在于,硬件将尝试的次数限制为三次,而密码则不存在限制。正因为如此,一个简短的PIN码仍然是安全的,没有必要选择一个长而复杂的PIN码。
Nitrokey Storage的PIN码可长达20位,可由数字、字符和特殊字符组成。注意:当使用GnuPG或OpenSC时,可以使用32个字符的PIN码,但不被Nitrokey App支持。
- **问:**用户密码是什么?
用户PIN码至少有6位数,用于进入Nitrokey的保护范围。这是你在日常使用中经常用到的密码,例如解密信息、解锁加密的存储空间(仅限NK存储)等。
用户密码最多可以有 20 位数字和其他字符(如字母和特殊字符)。但是,由于用户密码在三次输入错误后就会被封锁,因此只输入 6 位数的密码就足够安全了。默认 PIN 码为 123456。
- **问:**管理密码是用来做什么的?
管理密码至少有8位数,用于改变硝基钥匙的内容/设置。也就是说,在初始化Nitrokey后,你可能不会经常需要这个PIN码(例如,如果你想在Nitrokey Pro或Nitrokey Storage的密码箱中添加另一个密码)。
管理密码最多可以有20位数字和其他字符(如字母和特殊字符)。但是,由于只要有三次错误的PIN尝试,管理PIN就会被阻止,所以只有8位数的PIN就足够安全了。默认的PIN码是12345678。
- **问:**为什么我的Nitrokey Pro在nitrokey-app和GnuPG之间切换时挂起?
GnuPG和nitrokey-app有时会互相牵制。这是一个已知的问题,它可以通过将硝基钥匙重新插入USB插槽来解决。
- **问:**可以使用哪些驱动程序/工具?
GnuPG在许多使用情况下都是必需的。它是一个命令行工具,但通常你不需要直接调用它,而是使用另一个具有用户接口的应用程序。
不要将GnuPG与OpenSC或其他PKCS#11驱动并行使用,因为两者可能会相互干扰,并可能导致意外问题。
安装GPG4Win,其中包含Gnu Privacy Assistant(GPA)和GnuPG(GPG)。启动Gnu Privacy Assistant (GPA)或其他应用程序,如你的电子邮件客户端,以使用GnuPG。高级用户可以直接使用GnuPG(命令行)。请注意:联谊会的智能卡与Nitrokey Pro类似,因此本说明也适用于Nitrokey。一般情况下,建议使用官方文档。
- **问:**加密和签名的速度如何?
对50kiB的数据进行加密。
256位AES,每条命令2048字节 -> 每秒880字节
128位AES,每条命令2048字节 -> 每秒893字节
256位AES,每个命令240字节 -> 每秒910字节
128位AES,每条命令240字节 -> 每秒930字节
开始 |
专业+存储 |
专业2+存储2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
曲线25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
脑池192 |
✓ |
✓ |
||||
脑库 256-320 |
✓ |
✓ |
✓ |
|||
脑库 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- **问:**Nitrokey Pro是否包含安全芯片或只是一个普通的微控制器?
Nitrokey Pro包含一个防篡改的智能卡。
- 问: Nitrokey Pro是否经过通用标准或FIPS认证?
安全控制器(恩智浦智能卡控制器 P5CD081V1A 及其主要配置 P5CC081V1A、P5CN081V1A、P5CD041V1A、P5CD021V1A 和 P5CD016V1A 均带有 IC 专用软件)已通过通用标准 EAL 5+ 认证,最高达到操作系统级别 (`Certification Report<https://commoncriteriaportal.org/files/epfiles/0555a_pdf.pdf>`__,`Security Target<https://commoncriteriaportal.org/files/epfiles/0555b_pdf.pdf>`__,`Maintenance Report<https://commoncriteriaportal.org/files/epfiles/0555_ma1a_pdf.pdf>`__,`Maintenance ST<https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__) 。
- **问:**我怎样才能在我的应用中使用Nitrokey Pro的真随机数发生器(TRNG)?
这两种设备都与OpenPGP卡兼容,因此,scdrand`_应该可以工作。`这个脚本`_可能有用。用户comio `创建了一个systemd文件`_来使用scdrand,从而更普遍地使用TRNG。他还为Gentoo创建了一个`ebuild。
- **问:**随机数字发生器有多好?
Nitrokey Pro和Nitrokey Storage使用真随机数发生器(TRNG)来生成设备上的密钥。TRNG产生的熵被用于整个密钥长度。因此,TRNG符合`BSI TR-03116`_的规定。
TRNG提供约40 kbit/s。
- **问:**存储容量有多大?
Nitrokey Pro不包含普通数据的存储能力(它只能存储加密密钥和证书)。