Gestión de claves#

Ranuras para llaves#

La aplicación PIV puede contener certificados para diferentes fines. Para cada propósito, la clave privada y su certificado correspondiente se almacenan en una ranura de clave.

Ranura

Aplicación

Descripción

82-95

Gestión de claves jubilada

Las claves privadas y los certificados de estas ranuras se utilizaban para aplicaciones de gestión de claves y siguen ahí para ofrecer compatibilidad con versiones anteriores.

9a

Autenticación

La clave privada y el certificado de esta ranura se utilizan para autenticar al titular de la tarjeta.

9c

Firma

La clave privada y el certificado de esta ranura se utilizan para firmar correos electrónicos y archivos.

9d

Gestión de claves

La clave privada y el certificado de esta ranura se utilizan para cifrar correos electrónicos y archivos.

9e

Autenticación de tarjetas

La clave privada y el certificado de esta ranura se utilizan para operaciones físicas, como el acceso a edificios o el registro horario. La compatibilidad con el sistema correspondiente es un requisito previo.

Algoritmos#

La aplicación PIV utiliza algoritmos asimétricos y simétricos. Los algoritmos asimétricos se utilizan para las claves privadas de los usuarios y los simétricos para la clave de gestión.

Algoritmos de clave asimétrica admitidos:

  • RSA 2048

  • nistp256

Algoritmos de clave simétrica admitidos:

  • AES 256

  • 3DES (TDES)

Advertencia

No se recomienda utilizar el algoritmo 3DES (TDES).

Generar claves#

La aplicación PIV puede generar una nueva clave privada en la Nitrokey.

El siguiente comando creará una clave privada en la ranura de claves 9a para el usuario con el nombre de asunto John Doe y el nombre alternativo de asunto jd@nitrokey.local.

nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"