Configuración de KDF-DO#
Introducción#
KDF-DO son las siglas de Key Derived Function - Data Object. Con este objeto de datos, la tarjeta puede informar a los clientes de que admite claves derivadas. (Para más detalles, véase la sección 4.3.2 de la especificación OpenPGP Smart Card 3.4) La ventaja de utilizar claves derivadas es que, en lugar de transmitir contraseñas en texto claro, sólo se transmiten hashes a la tarjeta y, por tanto, sólo se almacenan hashes en la tarjeta. Dado que una clave derivada será más larga que la contraseña original, también será más difícil ejecutar con éxito un ataque de fuerza bruta.
Nota
Por el momento, sólo es posible configurar el KDF-DO, cuando el Nitrokey Start está vacío (justo después de un reinicio de fábrica).
Pasos para configurar KDF-DO#
Ejecutar el restablecimiento de fábrica
Configurar KDF-DO con GnuPG
Cambiar el PIN de administrador (opcional; sin llaves sólo es posible cambiar el PIN de administrador)
Importar / generar claves
Cambiar el PIN de usuario y de administrador
Configuración de KDF-DO mediante GnuPG:#
Ejecutar gpg2 –card-edit.
$ admin
$ kdf-setup
Introduzca el PIN de administrador
Verifique el estado actual mirando los detalles de la tarjeta (gpg2 –card-status), donde KDF setting ……: on debería ser visible, por ejemplo:
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]
Probado con:#
gpg (GnuPG) 2.2.20 / 2.2.25
Nitrokey Start RTM.10
Curva 25519 teclas