Sleutelbeheer¶
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
Sleuven¶
De PIV-toepassing kan certificaten bevatten voor verschillende doeleinden. Voor elk doel worden de privésleutel en het bijbehorende certificaat opgeslagen in een sleutellocatie.
Sleuf |
Toepassing |
Beschrijving |
---|---|---|
82-95 |
Gepensioneerd Sleutelbeheer |
De privésleutels en certificaten in deze sleuven werden gebruikt voor sleutelbeheertoepassingen en zijn er nog steeds om achterwaartse compatibiliteit te bieden. |
9a |
Authenticatie |
De privésleutel en het certificaat in deze sleuf worden gebruikt om de kaarthouder te authenticeren. |
9c |
Handtekening |
De privésleutel en het certificaat in dit slot worden gebruikt om e-mails en bestanden te ondertekenen. |
9d |
Sleutelbeheer |
De privésleutel en het certificaat in dit slot worden gebruikt om e-mails en bestanden te versleutelen. |
9e |
Kaartverificatie |
De privésleutel en het certificaat in deze sleuf worden gebruikt voor fysieke handelingen, zoals toegang tot gebouwen of tijdregistratie. Ondersteuning van het betreffende systeem is een vereiste. |
Algoritmen¶
De PIV-toepassing maakt gebruik van asymmetrische en symmetrische algoritmen. De asymmetrische algoritmen worden gebruikt voor de privésleutels van de gebruikers en de symmetrische algoritmen voor de beheersleutel.
Ondersteunde asymmetrische sleutelalgoritmen:
RSA 2048
nistp256
Ondersteunde symmetrische sleutelalgoritmen:
AES 256
3DES (TDES)
Waarschuwing
Het wordt afgeraden om het 3DES-algoritme (TDES) te gebruiken.
Genereer sleutels¶
De PIV-toepassing kan een nieuwe privésleutel op de Nitrokey genereren.
De onderstaande opdracht maakt een privésleutel in het sleutelslot 9a
voor de gebruiker met de onderwerpnaam John Doe
en alternatieve onderwerpnaam jd@nitrokey.local
.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"