Gestión de claves#
Ranuras para llaves#
La aplicación PIV puede contener certificados para diferentes fines. Para cada propósito, la clave privada y su certificado correspondiente se almacenan en una ranura de clave.
Ranura |
Aplicación |
Descripción |
|---|---|---|
82-95 |
Gestión de claves jubilada |
Las claves privadas y los certificados de estas ranuras se utilizaban para aplicaciones de gestión de claves y siguen ahí para ofrecer compatibilidad con versiones anteriores. |
9a |
Autenticación |
La clave privada y el certificado de esta ranura se utilizan para autenticar al titular de la tarjeta. |
9c |
Firma |
La clave privada y el certificado de esta ranura se utilizan para firmar correos electrónicos y archivos. |
9d |
Gestión de claves |
La clave privada y el certificado de esta ranura se utilizan para cifrar correos electrónicos y archivos. |
9e |
Autenticación de tarjetas |
La clave privada y el certificado de esta ranura se utilizan para operaciones físicas, como el acceso a edificios o el registro horario. La compatibilidad con el sistema correspondiente es un requisito previo. |
Algoritmos#
La aplicación PIV utiliza algoritmos asimétricos y simétricos. Los algoritmos asimétricos se utilizan para las claves privadas de los usuarios y los simétricos para la clave de gestión.
Algoritmos de clave asimétrica admitidos:
RSA 2048
nistp256
Algoritmos de clave simétrica admitidos:
AES 256
3DES (TDES)
Advertencia
No se recomienda utilizar el algoritmo 3DES (TDES).
Generar claves#
La aplicación PIV puede generar una nueva clave privada en la Nitrokey.
El siguiente comando creará una clave privada en la ranura de claves 9a para el usuario con el nombre de asunto John Doe y el nombre alternativo de asunto jd@nitrokey.local.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"