Gestão de chaves¶
Compatible Nitrokeys |
|||||||
---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
Slots de chave¶
The PIV smart card can hold certificates for different purposes. For each purpose the private key and its corresponding certificate are stored in a key slot.
Application |
Descrição |
|
---|---|---|
82-95 |
Retired Key Management |
As chaves privadas e os certificados nestas ranhuras foram utilizados para aplicações de gestão de chaves e ainda lá estão para proporcionar compatibilidade com versões anteriores. |
9a |
Authentication |
A chave privada e o certificado nesta ranhura são utilizados para autenticar o titular do cartão. |
A chave privada e o certificado nesta ranhura são utilizados para assinar e-mails e ficheiros. |
||
9d |
Gestão de chaves |
A chave privada e o certificado nesta ranhura são utilizados para encriptar e-mails e ficheiros. |
9e |
Card Authentication |
A chave privada e o certificado nesta ranhura são utilizados para operações físicas, como o acesso a edifícios ou o registo de horas. O suporte do respetivo sistema é um pré-requisito. |
Algoritmos¶
The PIV smart card uses asymmetric and symmetric algorithms. The asymmetric algorithms are used for the user private keys and the symmetric algorithms for the management key.
Algoritmos de chave assimétrica suportados:
RSA 2048
nistp256
Devido a alguns problemas de integração com o fornecedor Sun PKCS11, as chaves geradas a partir do EJBCA terão um nome aleatório em vez do nome fornecido na interface.
AES 256
3DES (TDES)
Aviso
Não se recomenda a utilização do algoritmo 3DES (TDES).
Management Key¶
For compatibility reasons, the default management key is the following 3DES (TDES) key (24 bytes in hexadecimal):
0102030405060708 0102030405060708 0102030405060708
Geração de chaves¶
The PIV smart card can generate a new private key on the Nitrokey.
The command below will create a private key in key slot 9a
with the RSA algorithm and a key length of 2048 bit, for the user with the subject name CN=John Doe
and subject alternative name jd@nitrokey.local
.
nitropy nk3 piv --experimental generate-key --key 9a --algo rsa2048 --subject-name "CN=John Doe" --subject-alt-name-upn "jd@nitrokey.local" --path jd.csr