Správa klíčů#
Klíčové sloty#
Aplikace PIV může obsahovat certifikáty pro různé účely. Pro každý účel je soukromý klíč a odpovídající certifikát uložen ve slotu pro klíče.
Slot |
Aplikace |
Popis |
|---|---|---|
82-95 |
Klíčové řízení ve výslužbě |
Soukromé klíče a certifikáty v těchto slotech se používaly pro aplikace správy klíčů a jsou tam stále kvůli zajištění zpětné kompatibility. |
9a |
Ověřování |
Soukromý klíč a certifikát v tomto slotu se používají k ověření držitele karty. |
9c |
Podpis |
Soukromý klíč a certifikát v tomto slotu se používají k podepisování e-mailů a souborů. |
9d |
Správa klíčů |
Soukromý klíč a certifikát v tomto slotu se používají k šifrování e-mailů a souborů. |
9e |
Ověřování pravosti karet |
Soukromý klíč a certifikát v tomto slotu se používají pro fyzické operace, jako je přístup do budovy nebo záznam času. Předpokladem je podpora příslušného systému. |
Algoritmy#
Aplikace PIV používá asymetrické a symetrické algoritmy. Asymetrické algoritmy se používají pro soukromé klíče uživatelů a symetrické algoritmy pro klíč správy.
Podporované algoritmy asymetrických klíčů:
RSA 2048
nistp256
Podporované algoritmy symetrických klíčů:
AES 256
3DES (TDES)
Varování
Nedoporučuje se používat algoritmus 3DES (TDES).
Generování klíčů#
Aplikace PIV může vygenerovat nový soukromý klíč na Nitrokey.
Níže uvedený příkaz vytvoří soukromý klíč ve slotu pro klíče 9a pro uživatele s názvem subjektu John Doe a alternativním názvem subjektu jd@nitrokey.local.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"