Réglage du KDF-DO#
Introduction#
KDF-DO est l’abréviation de Key Derived Function - Data Object. Avec cet objet de données, la carte peut informer les clients qu’elle supporte les clés dérivées. (Pour plus de détails, voir la section 4.3.2 de la spécification OpenPGP Smart Card 3.4 ` <https://gnupg.org/ftp/specs/OpenPGP-smart-card-application-3.4.pdf>` __) L’avantage d’utiliser des clés dérivées est qu’au lieu de transmettre des mots de passe en texte clair, seuls des hashs sont transmis à la carte et donc seuls des hashs sont stockés sur la carte. Comme une clé dérivée sera plus longue que le mot de passe original, il sera également plus difficile de réussir une attaque par force brute.
Note
Actuellement, il n’est possible de régler le KDF-DO que lorsque le Nitrokey Start est vide (juste après une réinitialisation d’usine).
Étapes pour configurer le KDF-DO#
Exécuter la réinitialisation d’usine
Configurer KDF-DO en utilisant GnuPG
Modifier le code PIN de l’administrateur (facultatif ; sans clés, seul le changement du code PIN de l’administrateur est possible)
Importer / générer des clés
Modifier le PIN de l’utilisateur et de l’administrateur
Configuration de KDF-DO en utilisant GnuPG#
Exécuter
gpg2 --card-edit
$ admin
$ kdf-setup
Saisir le code PIN de l’administrateur
Vérifiez l’état actuel en regardant les détails de la carte (
gpg2 --card-status
), oùKDF setting ......: on
devrait être visible, par exemple :
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]
Testé avec#
gpg (GnuPG) 2.2.20 / 2.2.25
Nitrokey Start RTM.10
Curve 25519 touches