Võtmehaldus#
Key Slots#
PIV-rakenduses saab hoida sertifikaate erinevatel eesmärkidel. Iga otstarbe jaoks säilitatakse privaatne võti ja vastav sertifikaat võtmepesas.
Slot |
Taotlus |
Kirjeldus |
|---|---|---|
82-95 |
Pensionile jäänud võtmejuhtimine |
Nendes kohtades olevaid privaatvõtmeid ja sertifikaate kasutati võtmehaldusrakenduste jaoks ja need on endiselt olemas, et tagada tagasiulatuv ühilduvus. |
9a |
Autentimine |
Selles pesa olevat isiklikku võtit ja sertifikaati kasutatakse kaardiomaniku autentimiseks. |
9c |
Allkiri |
Selles pesa olevat privaatvõtit ja sertifikaati kasutatakse e-kirjade ja failide allkirjastamiseks. |
9d |
Võtmehaldus |
Selles pesa olevat privaatvõtit ja sertifikaati kasutatakse e-kirjade ja failide krüpteerimiseks. |
9e |
Kaardi autentimine |
Selles pesa olevat isiklikku võtit ja sertifikaati kasutatakse füüsilisteks toiminguteks, näiteks hoonesse sisenemiseks või aja registreerimiseks. Eelduseks on vastava süsteemi tugi. |
Algoritmid#
PIV-rakenduses kasutatakse asümmeetrilisi ja sümmeetrilisi algoritme. Asümmeetrilisi algoritme kasutatakse kasutaja isiklike võtmete jaoks ja sümmeetrilisi algoritme haldusvõtme jaoks.
Toetatud asümmeetrilise võtme algoritmid:
RSA 2048
nistp256
Toetatud sümmeetrilise võtme algoritmid:
AES 256
3DES (TDES)
Hoiatus
Ei ole soovitatav kasutada 3DES (TDES) algoritmi.
Genereeri võti#
PIV-rakendus saab Nitrokey’s luua uue privaatvõtme.
Alljärgnev käsk loob privaatvõtme võtmepesas 9a kasutajale, kelle subjektinimi on John Doe ja subjekti alternatiivne nimi jd@nitrokey.local.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"