Indstilling af KDF-DO

Introduktion

KDF-DO står for Key Derived Function - Data Object. Med dette dataobjekt kan kortet oplyse klienterne om, at det understøtter afledte nøgler. (Nærmere oplysninger findes i afsnit 4.3.2 i OpenPGP Smart Card 3.4-specifikationen) Fordelen ved at anvende afledte nøgler er, at der i stedet for at overføre passwords i klartekst kun overføres hashes til kortet, og at der derfor kun gemmes hashes på kortet. Da en afledt nøgle vil være længere end det oprindelige kodeord, vil det også være sværere at gennemføre et brute force-angreb med succes.

Bemærk

I øjeblikket er det kun muligt at indstille KDF-DO, når Nitrokey Start er tom (lige efter en fabriksnulstilling).

Trin for at konfigurere KDF-DO

  1. Kør fabriksnulstilling

  2. Opsætning af KDF-DO ved hjælp af GnuPG

  3. Ændre Admin PIN-kode (valgfrit; uden nøgler er det kun muligt at ændre Admin PIN-kode)

  4. Import / generering af nøgler

  5. Ændre bruger- og administrator-PIN-kode

Indstilling af KDF-DO ved hjælp af GnuPG

  1. Kør gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Indtast Admin PIN-kode

  5. Kontroller den aktuelle tilstand ved at se på kortoplysningerne (gpg2 --card-status), hvor KDF setting ......: on skal være synlige, f.eks:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testet med

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curve 25519 taster