Schlüsselverwaltung#

Schlüssel Slots#

Die PIV-Anwendung kann Zertifikate für verschiedene Zwecke speichern. Für jeden Zweck werden der private Schlüssel und das dazugehörige Zertifikat in einem Schlüsselslot gespeichert.

Schlitz

Anwendung

Beschreibung

82-95

Key Management im Ruhestand

Die privaten Schlüssel und Zertifikate in diesen Steckplätzen wurden für Schlüsselverwaltungsanwendungen verwendet und sind aus Gründen der Abwärtskompatibilität noch vorhanden.

9a

Authentifizierung

Der private Schlüssel und das Zertifikat in diesem Slot werden zur Authentifizierung des Karteninhabers verwendet.

9c

Unterschrift

Der private Schlüssel und das Zertifikat in diesem Slot werden zum Signieren von E-Mails und Dateien verwendet.

9d

Schlüsselverwaltung

Der private Schlüssel und das Zertifikat in diesem Slot werden zur Verschlüsselung von E-Mails und Dateien verwendet.

9e

Karten-Authentifizierung

Der private Schlüssel und das Zertifikat in diesem Slot werden für physische Vorgänge, wie z.B. den Gebäudezugang oder die Zeiterfassung, verwendet. Voraussetzung ist die Unterstützung durch das jeweilige System.

Algorithmen#

Die PIV-Anwendung verwendet asymmetrische und symmetrische Algorithmen. Die asymmetrischen Algorithmen werden für die privaten Schlüssel der Benutzer und die symmetrischen Algorithmen für den Verwaltungsschlüssel verwendet.

Unterstützte asymmetrische Schlüsselalgorithmen:

  • RSA 2048

  • nistp256

Unterstützte symmetrische Schlüsselalgorithmen:

  • AES 256

  • 3DES (TDES)

Warnung

Es wird nicht empfohlen, den 3DES (TDES)-Algorithmus zu verwenden.

Schlüssel generieren#

Die PIV-Anwendung kann einen neuen privaten Schlüssel auf dem Nitrokey erzeugen.

Mit dem folgenden Befehl wird ein privater Schlüssel im Schlüsselslot 9a für den Benutzer mit dem Betreff John Doe und dem alternativen Betreff jd@nitrokey.local erstellt.

nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"