Indstilling af KDF-DO¶
Introduktion¶
KDF-DO står for Key Derived Function - Data Object. Med dette dataobjekt kan kortet oplyse klienterne om, at det understøtter afledte nøgler. (Nærmere oplysninger findes i afsnit 4.3.2 i OpenPGP Smart Card 3.4-specifikationen) Fordelen ved at anvende afledte nøgler er, at der i stedet for at overføre passwords i klartekst kun overføres hashes til kortet, og at der derfor kun gemmes hashes på kortet. Da en afledt nøgle vil være længere end det oprindelige kodeord, vil det også være sværere at gennemføre et brute force-angreb med succes.
Bemærk
I øjeblikket er det kun muligt at indstille KDF-DO, når Nitrokey Start er tom (lige efter en fabriksnulstilling).
Trin for at konfigurere KDF-DO¶
Kør fabriksnulstilling
Opsætning af KDF-DO ved hjælp af GnuPG
Ændre Admin PIN-kode (valgfrit; uden nøgler er det kun muligt at ændre Admin PIN-kode)
Import / generering af nøgler
Ændre bruger- og administrator-PIN-kode
Indstilling af KDF-DO ved hjælp af GnuPG¶
Kør
gpg2 --card-edit
$ admin
$ kdf-setup
Indtast Admin PIN-kode
Kontroller den aktuelle tilstand ved at se på kortoplysningerne (
gpg2 --card-status
), hvorKDF setting ......: on
skal være synlige, f.eks:
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]
Testet med¶
gpg (GnuPG) 2.2.20 / 2.2.25
Nitrokey Start RTM.10
Curve 25519 taster