Управление ключами

Ключевые слоты

Приложение PIV может хранить сертификаты для различных целей. Для каждой цели закрытый ключ и соответствующий ему сертификат хранятся в слоте для ключей.

Слот

Приложение

Описание

82-95

Управление ключами в отставке

Закрытые ключи и сертификаты в этих слотах использовались для приложений управления ключами и по-прежнему используются для обеспечения обратной совместимости.

9a

Аутентификация

Закрытый ключ и сертификат в этом слоте используются для аутентификации владельца карты.

9c

Подпись

Закрытый ключ и сертификат в этом слоте используются для подписи электронных писем и файлов.

9d

Управление ключами

Закрытый ключ и сертификат в этом слоте используются для шифрования электронной почты и файлов.

9e

Аутентификация карты

Закрытый ключ и сертификат в этом слоте используются для физических операций, таких как доступ в здание или учет рабочего времени. Необходимым условием является поддержка соответствующей системы.

Алгоритмы

В приложении PIV используются асимметричные и симметричные алгоритмы. Асимметричные алгоритмы используются для личных ключей пользователей, а симметричные - для ключа управления.

Поддерживаемые алгоритмы асимметричных ключей:

  • RSA 2048

  • nistp256

Поддерживаемые алгоритмы симметричных ключей:

  • AES 256

  • 3DES (TDES)

Предупреждение

Не рекомендуется использовать алгоритм 3DES (TDES).

Генерировать ключи

Приложение PIV может сгенерировать новый закрытый ключ на Nitrokey.

Команда ниже создаст закрытый ключ в ключевом слоте 9a для пользователя с именем субъекта John Doe и альтернативным именем субъекта jd@nitrokey.local.

nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"