Správa klíčů#

Klíčové sloty#

Aplikace PIV může obsahovat certifikáty pro různé účely. Pro každý účel je soukromý klíč a odpovídající certifikát uložen ve slotu pro klíče.

Slot

Aplikace

Popis

82-95

Klíčové řízení ve výslužbě

Soukromé klíče a certifikáty v těchto slotech se používaly pro aplikace správy klíčů a jsou tam stále kvůli zajištění zpětné kompatibility.

9a

Ověřování

Soukromý klíč a certifikát v tomto slotu se používají k ověření držitele karty.

9c

Podpis

Soukromý klíč a certifikát v tomto slotu se používají k podepisování e-mailů a souborů.

9d

Správa klíčů

Soukromý klíč a certifikát v tomto slotu se používají k šifrování e-mailů a souborů.

9e

Ověřování pravosti karet

Soukromý klíč a certifikát v tomto slotu se používají pro fyzické operace, jako je přístup do budovy nebo záznam času. Předpokladem je podpora příslušného systému.

Algoritmy#

Aplikace PIV používá asymetrické a symetrické algoritmy. Asymetrické algoritmy se používají pro soukromé klíče uživatelů a symetrické algoritmy pro klíč správy.

Podporované algoritmy asymetrických klíčů:

  • RSA 2048

  • nistp256

Podporované algoritmy symetrických klíčů:

  • AES 256

  • 3DES (TDES)

Varování

Nedoporučuje se používat algoritmus 3DES (TDES).

Generování klíčů#

Aplikace PIV může vygenerovat nový soukromý klíč na Nitrokey.

Níže uvedený příkaz vytvoří soukromý klíč ve slotu pro klíče 9a pro uživatele s názvem subjektu John Doe a alternativním názvem subjektu jd@nitrokey.local.

nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"