Configuración de KDF-DO

Introducción

KDF-DO son las siglas de Key Derived Function - Data Object. Con este objeto de datos, la tarjeta puede informar a los clientes de que admite claves derivadas. (Para más detalles, véase la sección 4.3.2 de la especificación OpenPGP Smart Card 3.4) La ventaja de utilizar claves derivadas es que, en lugar de transmitir contraseñas en texto claro, sólo se transmiten hashes a la tarjeta y, por tanto, sólo se almacenan hashes en la tarjeta. Dado que una clave derivada será más larga que la contraseña original, también será más difícil ejecutar con éxito un ataque de fuerza bruta.

Nota

Por el momento, sólo es posible configurar el KDF-DO, cuando el Nitrokey Start está vacío (justo después de un reinicio de fábrica).

Pasos para configurar KDF-DO

  1. Ejecutar el restablecimiento de fábrica

  2. Configurar KDF-DO con GnuPG

  3. Cambiar el PIN de administrador (opcional; sin llaves sólo es posible cambiar el PIN de administrador)

  4. Importar / generar claves

  5. Cambiar el PIN de usuario y de administrador

Configuración de KDF-DO mediante GnuPG:

  1. Ejecutar gpg2 –card-edit.

  2. $ admin

  3. $ kdf-setup

  4. Introduzca el PIN de administrador

  5. Verifique el estado actual mirando los detalles de la tarjeta (gpg2 –card-status), donde KDF setting ……: on debería ser visible, por ejemplo:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Probado con:

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curva 25519 teclas