Nastavení KDF-DO

Úvod

KDF-DO je zkratka pro Key Derived Function - Data Object. Pomocí tohoto datového objektu může karta informovat klienty, že podporuje odvozené klíče. (Podrobnosti viz oddíl 4.3.2 specifikace OpenPGP Smart Card 3.4). Výhodou použití odvozených klíčů je, že místo přenosu hesel v otevřeném textu se na kartu přenášejí pouze hashe, a proto se na kartě ukládají pouze hashe. Protože odvozený klíč bude delší než původní heslo, bude také obtížnější úspěšně provést útok hrubou silou.

Poznámka

V současné době je možné nastavit KDF-DO pouze tehdy, když je Nitrokey Start prázdný (těsně po obnovení továrního nastavení).

Kroky pro konfiguraci KDF-DO

  1. Spuštění obnovení továrního nastavení

  2. Nastavení KDF-DO pomocí GnuPG

  3. Změna kódu PIN správce (volitelné; bez klíčů je možná pouze změna kódu PIN správce)

  4. Import / generování klíčů

  5. Změna kódu PIN uživatele a správce

Nastavení KDF-DO pomocí GnuPG

  1. Spusťte gpg2 –card-edit

  2. $ admin

  3. $ kdf-setup

  4. Zadejte kód PIN správce

  5. Ověřte aktuální stav karty pomocí údajů o kartě (gpg2 –card-status), kde by mělo být vidět Nastavení KDF ……: on, např.:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testováno s

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Klíče Curve 25519