Einstellung KDF-DO¶
Einführung¶
KDF-DO steht für Key Derived Function - Data Object. Mit diesem Datenobjekt kann die Karte Clients darüber informieren, dass sie abgeleitete Schlüssel unterstützt. (Für Details siehe Abschnitt 4.3.2 der OpenPGP Smart Card 3.4 Spezifikation) Der Vorteil der Verwendung von abgeleiteten Schlüsseln ist, dass anstelle der Übertragung von Passwörtern im Klartext nur Hashes an die Karte übertragen werden und somit auch nur Hashes auf der Karte gespeichert werden. Da ein abgeleiteter Schlüssel länger ist als das ursprüngliche Passwort, ist es auch schwieriger, einen Brute-Force-Angriff erfolgreich durchzuführen.
Bemerkung
Momentan ist es nur möglich, die KDF-DO zu setzen, wenn der Nitrokey Start leer ist (gerade nach einem Werksreset).
Schritte zum Konfigurieren von KDF-DO¶
Werksreset durchführen
KDF-DO mit GnuPG einrichten
Admin-PIN ändern (optional; ohne Schlüssel ist nur die Änderung der Admin-PIN möglich)
Schlüssel importieren / erzeugen
Benutzer- und Admin-PIN ändern
KDF-DO mit GnuPG einstellen¶
gpg2 --card-edit
ausführen$ admin
$ kdf-setup
Admin-PIN eingeben
Überprüfen Sie den aktuellen Status, indem Sie sich die Kartendetails ansehen (
gpg2 --card-status
), wobeiKDF setting ......: on
sichtbar sein sollte, z.B.:
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]
Geprüft mit¶
gpg (GnuPG) 2.2.20 / 2.2.25
Nitrokey Start RTM.10
Curve 25519 Schlüssel