Gestion des clés#
Fentes à clés#
L’application PIV peut contenir des certificats à différentes fins. Pour chaque usage, la clé privée et le certificat correspondant sont stockés dans un emplacement de clé.
Fente |
Application |
Description |
|---|---|---|
82-95 |
Retraité Gestionnaire clé |
Les clés privées et les certificats dans ces emplacements ont été utilisés pour des applications de gestion de clés et sont toujours là pour assurer la compatibilité ascendante. |
9a |
Authentification |
La clé privée et le certificat contenus dans cet emplacement sont utilisés pour authentifier le titulaire de la carte. |
9c |
Signature |
La clé privée et le certificat de cet emplacement sont utilisés pour signer des courriels et des fichiers. |
9d |
Gestion des clés |
La clé privée et le certificat de cet emplacement sont utilisés pour crypter les courriels et les fichiers. |
9e |
Authentification de la carte |
La clé privée et le certificat de cet emplacement sont utilisés pour les opérations physiques, telles que l’accès aux bâtiments ou l’enregistrement des heures. La prise en charge par le système concerné est une condition préalable. |
Algorithmes#
L’application PIV utilise des algorithmes asymétriques et symétriques. Les algorithmes asymétriques sont utilisés pour les clés privées des utilisateurs et les algorithmes symétriques pour la clé de gestion.
Algorithmes de clés asymétriques pris en charge :
RSA 2048
nistp256
Algorithmes de clés symétriques pris en charge :
AES 256
3DES (TDES)
Avertissement
Il n’est pas recommandé d’utiliser l’algorithme 3DES (TDES).
Générer une clé#
L’application PIV peut générer une nouvelle clé privée sur la Nitrokey.
La commande ci-dessous créera une clé privée dans l’emplacement de clé 9a pour l’utilisateur avec le nom de sujet John Doe et le nom alternatif de sujet jd@nitrokey.local.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"