Schlüsselverwaltung¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
Schlüssel Slots¶
The PIV smart card can hold certificates for different purposes. For each purpose the private key and its corresponding certificate are stored in a key slot.
Schlitz |
Anwendung |
Beschreibung |
|---|---|---|
82-95 |
Key Management im Ruhestand |
Die privaten Schlüssel und Zertifikate in diesen Steckplätzen wurden für Schlüsselverwaltungsanwendungen verwendet und sind aus Gründen der Abwärtskompatibilität noch vorhanden. |
9a |
Authentifizierung |
Der private Schlüssel und das Zertifikat in diesem Slot werden zur Authentifizierung des Karteninhabers verwendet. |
9c |
Unterschrift |
Der private Schlüssel und das Zertifikat in diesem Slot werden zum Signieren von E-Mails und Dateien verwendet. |
9d |
Schlüsselverwaltung |
Der private Schlüssel und das Zertifikat in diesem Slot werden zur Verschlüsselung von E-Mails und Dateien verwendet. |
9e |
Karten-Authentifizierung |
Der private Schlüssel und das Zertifikat in diesem Slot werden für physische Vorgänge, wie z.B. den Gebäudezugang oder die Zeiterfassung, verwendet. Voraussetzung ist die Unterstützung durch das jeweilige System. |
Algorithmen¶
The PIV smart card uses asymmetric and symmetric algorithms. The asymmetric algorithms are used for the user private keys and the symmetric algorithms for the management key.
Unterstützte asymmetrische Schlüsselalgorithmen:
RSA 2048
nistp256
Unterstützte symmetrische Schlüsselalgorithmen:
AES 256
3DES (TDES)
Warnung
Es wird nicht empfohlen, den 3DES (TDES)-Algorithmus zu verwenden.
Management Key¶
For compatibility reasons, the default management key is the following 3DES (TDES) key (24 bytes in hexadecimal):
0102030405060708 0102030405060708 0102030405060708
Schlüsselerzeugung¶
The PIV smart card can generate a new private key on the Nitrokey.
The command below will create a private key in key slot 9a with the RSA algorithm and a key length of 2048 bit, for the user with the subject name CN=John Doe and subject alternative name jd@nitrokey.local.
nitropy nk3 piv --experimental generate-key --key 9a --algo rsa2048 --subject-name "CN=John Doe" --subject-alt-name-upn "jd@nitrokey.local" --path jd.csr