在 Yubikey 上使用 PIV

在Yubikey 4 中拥有 5 个可以保存 X.509 证书和私钥的可编程插槽。 其他的 20 个插槽被用作遗存密钥管理,这允许使用旧时的密钥对较早的加密文档或电子邮件进行解密。

每个插槽都可以设置一个预定方案,包括默认的 PIN 和触摸策略。这些仅仅是示例,可以自行覆盖。

9a 插槽:PIV 验证

验证智能卡和持卡人(比如用于操作系统登录、ssh、WiFi、OpenVPN、curl、Android code、Mac code、屏幕自动解锁)。通常 PIN 只会请求一次,在后续操作中可能会被重复使用。

9c 插槽:电子签名

签名对象(Android code 签名、Mac code 签名、储存中间 CA 私钥签名)。一般来说,每次操作都需要验证 PIN。

9d 插槽:钥匙管理

以保密为目的加密对象时,通常 PIN 只需要请求一次,在后续操作中可以重复使用。

9e 插槽:安全卡验证

当需要物理手段进行验证时(比如门锁),通常情况不需要验证 PIN。

f9 插槽: 认证

为设备上其他插槽的钥匙提供认证。