关键管理¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
关键插槽¶
The PIV smart card can hold certificates for different purposes. For each purpose the private key and its corresponding certificate are stored in a key slot.
插槽 |
应用 |
描述 |
|---|---|---|
82-95 |
退休的主要管理人员 |
这些插槽中的私钥和证书用于密钥管理应用程序,目前仍在提供向后兼容性。 |
9a |
认证 |
此插槽中的私钥和证书用于验证持卡人的身份。 |
9c |
签名 |
此插槽中的私钥和证书用于签署电子邮件和文件。 |
9d |
关键管理 |
此插槽中的私钥和证书用于加密电子邮件和文件。 |
9e |
卡认证 |
该插槽中的私钥和证书用于实际操作,如楼宇门禁或时间记录。前提条件是相关系统提供支持。 |
算法¶
PIV uses asymmetric and symmetric algorithms. The asymmetric algorithms are used for the user private keys and the symmetric algorithms for the management key.
支持非对称密钥算法:
RSA 2048
nistp256
支持对称密钥算法:
AES 256
3DES (TDES)
警告
不建议使用 3DES (TDES) 算法。
Management Key¶
For compatibility reasons, the default management key is the following 3DES (TDES) key (24 bytes in hexadecimal):
0102030405060708 0102030405060708 0102030405060708
密钥生成¶
The PIV smart card can generate a new private key on the Nitrokey.
The command below will create a private key in key slot 9a for the user with the subject name John Doe and subject alternative name jd@nitrokey.local.
nitropy nk3 piv generate-key --key-slot 9a --subject-name "John Doe" --subject-alt-name-upn "jd@nitrokey.local"