Nøglehåndtering#
Nøgleslots#
PIV-applikationen kan indeholde certifikater til forskellige formål. For hvert formål gemmes den private nøgle og det tilhørende certifikat i en nøgleslot.
Slot |
Anvendelse |
Beskrivelse |
---|---|---|
82-95 |
Pensioneret Key Management |
De private nøgler og certifikater i disse slots blev brugt til nøglehåndteringsapplikationer og er der stadig for at give bagudkompatibilitet. |
9a |
Autentificering |
Den private nøgle og certifikatet i dette slot bruges til at autentificere kortholderen. |
9c |
Underskrift |
Den private nøgle og certifikatet i dette slot bruges til at signere e-mails og filer. |
9d |
Nøglehåndtering |
Den private nøgle og certifikatet i dette slot bruges til at kryptere e-mails og filer. |
9e |
Godkendelse af kort |
Den private nøgle og certifikatet i dette slot bruges til fysiske operationer, som f.eks. bygningsadgang eller tidsregistrering. Support fra det respektive system er en forudsætning. |
Algoritmer#
PIV-applikationen bruger asymmetriske og symmetriske algoritmer. De asymmetriske algoritmer bruges til brugernes private nøgler og de symmetriske algoritmer til administrationsnøglen.
Understøttede asymmetriske nøglealgoritmer:
RSA 2048
nistp256
Understøttede symmetriske nøglealgoritmer:
AES 256
3DES (TDES)
Advarsel
Det anbefales ikke at bruge 3DES (TDES)-algoritmen.
Generere nøgler#
PIV-applikationen kan generere en ny privat nøgle på Nitrokey.
Kommandoen nedenfor opretter en privat nøgle i nøgleslot 9a
for brugeren med emnenavnet John Doe
og det alternative emnenavn jd@nitrokey.local
.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"