Управление ключами#
Ключевые слоты#
Приложение PIV может хранить сертификаты для различных целей. Для каждой цели закрытый ключ и соответствующий ему сертификат хранятся в слоте для ключей.
Слот |
Приложение |
Описание |
|---|---|---|
82-95 |
Управление ключами в отставке |
Закрытые ключи и сертификаты в этих слотах использовались для приложений управления ключами и по-прежнему используются для обеспечения обратной совместимости. |
9a |
Аутентификация |
Закрытый ключ и сертификат в этом слоте используются для аутентификации владельца карты. |
9c |
Подпись |
Закрытый ключ и сертификат в этом слоте используются для подписи электронных писем и файлов. |
9d |
Управление ключами |
Закрытый ключ и сертификат в этом слоте используются для шифрования электронной почты и файлов. |
9e |
Аутентификация карты |
Закрытый ключ и сертификат в этом слоте используются для физических операций, таких как доступ в здание или учет рабочего времени. Необходимым условием является поддержка соответствующей системы. |
Алгоритмы#
В приложении PIV используются асимметричные и симметричные алгоритмы. Асимметричные алгоритмы используются для личных ключей пользователей, а симметричные - для ключа управления.
Поддерживаемые алгоритмы асимметричных ключей:
RSA 2048
nistp256
Поддерживаемые алгоритмы симметричных ключей:
AES 256
3DES (TDES)
Предупреждение
Не рекомендуется использовать алгоритм 3DES (TDES).
Генерировать ключи#
Приложение PIV может сгенерировать новый закрытый ключ на Nitrokey.
Команда ниже создаст закрытый ключ в ключевом слоте 9a для пользователя с именем субъекта John Doe и альтернативным именем субъекта jd@nitrokey.local.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"