Réglage du KDF-DO

Introduction

KDF-DO est l’abréviation de Key Derived Function - Data Object. Avec cet objet de données, la carte peut informer les clients qu’elle supporte les clés dérivées. (Pour plus de détails, voir la section 4.3.2 de la spécification OpenPGP Smart Card 3.4) L’avantage d’utiliser des clés dérivées est qu’au lieu de transmettre des mots de passe en texte clair, seuls des hashs sont transmis à la carte et donc seuls des hashs sont stockés sur la carte. Comme une clé dérivée sera plus longue que le mot de passe original, il sera également plus difficile de réussir une attaque par force brute.

Note

Actuellement, il n’est possible de régler le KDF-DO que lorsque le Nitrokey Start est vide (juste après une réinitialisation d’usine).

Étapes pour configurer le KDF-DO

  1. Exécuter la réinitialisation d’usine

  2. Configurer KDF-DO en utilisant GnuPG

  3. Modifier le code PIN de l’administrateur (facultatif ; sans clés, seul le changement du code PIN de l’administrateur est possible)

  4. Importer / générer des clés

  5. Modifier le PIN de l’utilisateur et de l’administrateur

Configuration de KDF-DO en utilisant GnuPG

  1. Exécuter gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Saisir le code PIN de l’administrateur

  5. Vérifiez l’état actuel en regardant les détails de la carte (gpg2 --card-status), où KDF setting ......: on devrait être visible, par exemple :

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testé avec

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curve 25519 touches