Einstellung KDF-DO

Einführung

KDF-DO steht für Key Derived Function - Data Object. Mit diesem Datenobjekt kann die Karte Clients darüber informieren, dass sie abgeleitete Schlüssel unterstützt. (Für Details siehe Abschnitt 4.3.2 der OpenPGP Smart Card 3.4 Spezifikation) Der Vorteil der Verwendung von abgeleiteten Schlüsseln ist, dass anstelle der Übertragung von Passwörtern im Klartext nur Hashes an die Karte übertragen werden und somit auch nur Hashes auf der Karte gespeichert werden. Da ein abgeleiteter Schlüssel länger ist als das ursprüngliche Passwort, ist es auch schwieriger, einen Brute-Force-Angriff erfolgreich durchzuführen.

Bemerkung

Momentan ist es nur möglich, die KDF-DO zu setzen, wenn der Nitrokey Start leer ist (gerade nach einem Werksreset).

Schritte zum Konfigurieren von KDF-DO

  1. Werksreset durchführen

  2. KDF-DO mit GnuPG einrichten

  3. Admin-PIN ändern (optional; ohne Schlüssel ist nur die Änderung der Admin-PIN möglich)

  4. Schlüssel importieren / erzeugen

  5. Benutzer- und Admin-PIN ändern

KDF-DO mit GnuPG einstellen

  1. gpg2 --card-edit ausführen

  2. $ admin

  3. $ kdf-setup

  4. Admin-PIN eingeben

  5. Überprüfen Sie den aktuellen Status, indem Sie sich die Kartendetails ansehen (gpg2 --card-status), wobei KDF setting ......: on sichtbar sein sollte, z.B.:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Geprüft mit

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curve 25519 Schlüssel