Настройване на KDF-DO

Въведение

KDF-DO е съкращение от Key Derived Function - Data Object (Ключова производна функция - обект на данни). С този обект от данни картата може да информира клиентите, че поддържа производни ключове. (За подробности вижте раздел 4.3.2 от спецификацията на OpenPGP Smart Card 3.4) Предимството на използването на производни ключове е, че вместо да се предават пароли в чист текст, на картата се предават само хешове и следователно на картата се съхраняват само хешове. Тъй като производният ключ ще бъде по-дълъг от оригиналната парола, ще бъде и по-трудно да се извърши успешна атака с груба сила.

Note

В момента е възможно да се зададе KDF-DO само когато Nitrokey Start е празен (точно след възстановяване на фабричните настройки).

Стъпки за конфигуриране на KDF-DO

  1. Извършване на възстановяване на фабричните настройки

  2. Настройка на KDF-DO с помощта на GnuPG

  3. Промяна на ПИН кода на администратора (по избор; без ключове е възможна само промяна на ПИН кода на администратора)

  4. Импортиране / генериране на ключове

  5. Промяна на ПИН кода на потребителя и администратора

Задаване на KDF-DO с помощта на GnuPG

  1. Изпълнете gpg2 –card-edit

  2. $ admin

  3. $ kdf-setup

  4. Въведете ПИН кода на администратора

  5. Проверете текущото състояние на картата, като разгледате данните за нея (gpg2 –card-status), където трябва да се вижда KDF setting ……: on, напр:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Тествано с

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Клавиши Curve 25519