A cosa servono i parametri -sh e -U di ssh-keygen? Come vengono utilizzati con le smart card?

La manpage ssh-keygen elenca i seguenti due parametri:

-D reader = Scarica la chiave pubblica RSA memorizzata nella smartcard nel lettore.

-U reader = Carica una chiave privata RSA esistente nella smartcard nel lettore.

Non riesco a scoprire nient'altro su questi dopo aver cercato in giro. Supportano una coppia di chiavi standard ssh_rsa su una smartcard o funzionano con un'interfaccia pkcs11 e certificati formattati x509. È correlato ai certificati ssh ed è in grado di supportare l'archiviazione della chiave di firma privata o della chiave utente privata con certificato su una smart card?

In breve, perché dovrei usare questi parametri?

Penso di aver trovato le informazioni che cercavo in una pagina man più dettagliata. La pagina man è qui (pagina man di freebsd) .

Sembra che i parametri -D e -U parlino con un dispositivo pkcs11 e queste opzioni funzionano davvero con i certificati ssh (tramite il parametro -s). Usando questi dovrebbe essere possibile avere una chiave di firma ssh ca offline e protetta da smart card (che era il mio obiettivo originale). Non so ancora se è possibile avere una chiave utente firmata su una smart card con questo processo.

Non ho ancora provato nessuno di questi comandi, ma penso che siano quello che stavo cercando. Se tutto va bene, questo mi permetterà di impostare un SSH offline su un yubikey neo.