Sleutelbeheer#

Sleuven#

De PIV-toepassing kan certificaten bevatten voor verschillende doeleinden. Voor elk doel worden de privésleutel en het bijbehorende certificaat opgeslagen in een sleutellocatie.

Sleuf

Toepassing

Beschrijving

82-95

Gepensioneerd Sleutelbeheer

De privésleutels en certificaten in deze sleuven werden gebruikt voor sleutelbeheertoepassingen en zijn er nog steeds om achterwaartse compatibiliteit te bieden.

9a

Authenticatie

De privésleutel en het certificaat in deze sleuf worden gebruikt om de kaarthouder te authenticeren.

9c

Handtekening

De privésleutel en het certificaat in dit slot worden gebruikt om e-mails en bestanden te ondertekenen.

9d

Sleutelbeheer

De privésleutel en het certificaat in dit slot worden gebruikt om e-mails en bestanden te versleutelen.

9e

Kaartverificatie

De privésleutel en het certificaat in deze sleuf worden gebruikt voor fysieke handelingen, zoals toegang tot gebouwen of tijdregistratie. Ondersteuning van het betreffende systeem is een vereiste.

Algoritmen#

De PIV-toepassing maakt gebruik van asymmetrische en symmetrische algoritmen. De asymmetrische algoritmen worden gebruikt voor de privésleutels van de gebruikers en de symmetrische algoritmen voor de beheersleutel.

Ondersteunde asymmetrische sleutelalgoritmen:

  • RSA 2048

  • nistp256

Ondersteunde symmetrische sleutelalgoritmen:

  • AES 256

  • 3DES (TDES)

Waarschuwing

Het wordt afgeraden om het 3DES-algoritme (TDES) te gebruiken.

Genereer sleutels#

De PIV-toepassing kan een nieuwe privésleutel op de Nitrokey genereren.

De onderstaande opdracht maakt een privésleutel in het sleutelslot 9a voor de gebruiker met de onderwerpnaam John Doe en alternatieve onderwerpnaam jd@nitrokey.local.

nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"