Schlüsselverwaltung#
Schlüssel Slots#
Die PIV-Anwendung kann Zertifikate für verschiedene Zwecke speichern. Für jeden Zweck werden der private Schlüssel und das dazugehörige Zertifikat in einem Schlüsselslot gespeichert.
Schlitz |
Anmeldung |
Beschreibung |
|---|---|---|
82-95 |
Key Management im Ruhestand |
Die privaten Schlüssel und Zertifikate in diesen Steckplätzen wurden für Schlüsselverwaltungsanwendungen verwendet und sind aus Gründen der Abwärtskompatibilität noch vorhanden. |
9a |
Authentifizierung |
Der private Schlüssel und das Zertifikat in diesem Slot werden zur Authentifizierung des Karteninhabers verwendet. |
9c |
Unterschrift |
Der private Schlüssel und das Zertifikat in diesem Slot werden zum Signieren von E-Mails und Dateien verwendet. |
9d |
Schlüsselverwaltung |
Der private Schlüssel und das Zertifikat in diesem Slot werden zur Verschlüsselung von E-Mails und Dateien verwendet. |
9e |
Karten-Authentifizierung |
Der private Schlüssel und das Zertifikat in diesem Slot werden für physische Vorgänge, wie z.B. den Gebäudezugang oder die Zeiterfassung, verwendet. Voraussetzung ist die Unterstützung durch das jeweilige System. |
Algorithmen#
Die PIV-Anwendung verwendet asymmetrische und symmetrische Algorithmen. Die asymmetrischen Algorithmen werden für die privaten Schlüssel der Benutzer und die symmetrischen Algorithmen für den Verwaltungsschlüssel verwendet.
Unterstützte asymmetrische Schlüsselalgorithmen:
RSA 2048
nistp256
Unterstützte symmetrische Schlüsselalgorithmen:
AES 256
3DES (TDES)
Warnung
Es wird nicht empfohlen, den 3DES (TDES)-Algorithmus zu verwenden.
Schlüssel generieren#
Die PIV-Anwendung kann einen neuen privaten Schlüssel auf dem Nitrokey erzeugen.
Mit dem folgenden Befehl wird ein privater Schlüssel im Schlüsselslot 9a für den Benutzer mit dem Betreff John Doe und dem alternativen Betreff jd@nitrokey.local erstellt.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"