KDF-DO seadistamine

Sissejuhatus

KDF-DO tähendab Key Derived Function - Data Object. Selle andmeobjekti abil saab kaart teavitada kliente, et ta toetab tuletatud võtmeid. (Täpsemalt vt OpenPGP Smart Card 3.4 spetsifikatsiooni punkt 4.3.2). Tuletatud võtmete kasutamise eelis on see, et paroolide edastamise asemel edastatakse kaardile ainult hashid ja seega salvestatakse kaardil ainult hashid. Kuna tuletatud võti on pikem kui algne parool, on ka raskem edukalt sooritada jõurünnakuid.

Märkus

Hetkel on võimalik KDF-DO seadistada ainult siis, kui Nitrokey Start on tühi (vahetult pärast tehasepuhastust).

KDF-DO konfigureerimise sammud

1. Tehase lähtestamine

2. KDF-DO seadistamine GnuPG abil

3. Muuda administraatori PIN-koodi (valikuline; ilma võtmeteta on võimalik ainult administraatori PIN-koodi muutmine)

4. Import / võtmete genereerimine

5. Kasutaja ja administraatori PIN-koodi muutmine

KDF-DO seadistamine GnuPG abil

1. Käivita gpg2 --card-edit

2. „$ admin

3. „$ kdf-setup

4. Sisestage administraatori PIN-kood

5. Kontrollida praegust olekut, vaadates kaardi andmeid (gpg2 --card-status), kus KDF setting ......: on peaks olema nähtav, nt:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testitud koos

• gpg (GnuPG) 2.2.20 / 2.2.25

• Nitrokey Start RTM.10

• Curve 25519 võtmed