Riadenie kľúčov#
Kľúčové sloty#
Aplikácia PIV môže obsahovať certifikáty na rôzne účely. Pre každý účel sa súkromný kľúč a zodpovedajúci certifikát ukladajú do slotu na kľúče.
Slot |
Aplikácia |
Popis |
|---|---|---|
82-95 |
Kľúčový manažment vo výslužbe |
Súkromné kľúče a certifikáty v týchto slotoch sa používali v aplikáciách na správu kľúčov a sú tam stále na zabezpečenie spätnej kompatibility. |
9a |
Overovanie |
Súkromný kľúč a certifikát v tomto slote sa používajú na overenie držiteľa karty. |
9c |
Podpis |
Súkromný kľúč a certifikát v tomto slote sa používajú na podpisovanie e-mailov a súborov. |
9d |
Riadenie kľúčov |
Súkromný kľúč a certifikát v tomto slote sa používajú na šifrovanie e-mailov a súborov. |
9e |
Overenie pravosti karty |
Súkromný kľúč a certifikát v tomto slote sa používajú na fyzické operácie, ako je prístup do budovy alebo zaznamenávanie času. Predpokladom je podpora zo strany príslušného systému. |
Algoritmy#
Aplikácia PIV používa asymetrické a symetrické algoritmy. Asymetrické algoritmy sa používajú pre súkromné kľúče používateľov a symetrické algoritmy pre kľúč správy.
Podporované algoritmy asymetrických kľúčov:
RSA 2048
nistp256
Podporované algoritmy symetrických kľúčov:
AES 256
3DES (TDES)
Varovanie
Neodporúča sa používať algoritmus 3DES (TDES).
Generovanie kľúča#
Aplikácia PIV môže vygenerovať nový súkromný kľúč na Nitrokey.
Nižšie uvedený príkaz vytvorí súkromný kľúč v slote pre kľúč 9a pre používateľa s názvom subjektu John Doe a alternatívnym názvom subjektu jd@nitrokey.local.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"