KDF-DO:n asettaminen#

Johdanto#

KDF-DO on lyhenne sanoista Key Derived Function - Data Object. Tämän tieto-objektin avulla kortti voi ilmoittaa asiakkaille, että se tukee johdettuja avaimia. (Lisätietoja on OpenPGP Smart Card 3.4 -eritelmän kohdassa 4.3.2). Johdettujen avainten käytön etuna on se, että salasanojen lähettämisen sijasta kortille lähetetään selväteksteinä vain hasheja, ja näin ollen kortille tallennetaan vain hasheja. Koska johdettu avain on pidempi kuin alkuperäinen salasana, on myös vaikeampi suorittaa brute force -hyökkäys.

Muista

Tällä hetkellä KDF-DO on mahdollista asettaa vain, kun Nitrokey Start on tyhjä (juuri tehdasasetusten palautuksen jälkeen).

KDF-DO:n määrittämisen vaiheet#

  1. Suorita tehdasasetusten palautus

  2. KDF-DO:n perustaminen GnuPG:n avulla

  3. Vaihda järjestelmänvalvojan PIN-koodi (valinnainen; ilman avaimia vain järjestelmänvalvojan PIN-koodin vaihto on mahdollista).

  4. Tuo / luo avaimia

  5. Muuta käyttäjän ja ylläpitäjän PIN-koodia

KDF-DO:n määrittäminen GnuPG:n avulla#

  1. Suorita gpg2 --card-edit

  2. ”$ admin

  3. ”$ kdf-setup

  4. Syötä ylläpitäjän PIN-koodi

  5. Tarkista nykyinen tila tarkastelemalla kortin tietoja (gpg2 --card-status), jossa KDF setting ......: on pitäisi olla näkyvissä, esim. seuraavat:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testattu#

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curve 25519 näppäimet