Impostazione di KDF-DO#
Introduzione#
KDF-DO è l’acronimo di Key Derived Function - Data Object. Con questo oggetto dati la carta può informare i client che supporta le chiavi derivate. (Per i dettagli si veda la sezione 4.3.2 della specifica OpenPGP Smart Card 3.4) Il vantaggio dell’uso delle chiavi derivate è che, invece di trasmettere le password in chiaro, alla carta vengono trasmessi solo gli hash e quindi sulla carta vengono memorizzati solo gli hash. Poiché una chiave derivata sarà più lunga della password originale, sarà anche più difficile eseguire con successo un attacco di forza bruta.
Nota
Al momento è possibile impostare il KDF-DO solo quando il Nitrokey Start è vuoto (subito dopo un reset di fabbrica).
Passi per la configurazione di KDF-DO#
Eseguire il reset di fabbrica
Impostare KDF-DO usando GnuPG
Modifica del PIN dell’amministratore (opzionale; senza chiavi è possibile solo la modifica del PIN dell’amministratore)
Importare / generare chiavi
Cambiare il PIN dell’utente e dell’amministratore
Impostare KDF-DO usando GnuPG#
Esegui gpg2 –card-edit
$ admin
$ kdf-setup
Inserisci il PIN dell’amministratore
Verificare lo stato attuale guardando i dettagli della carta (gpg2 –card-status), dove KDF setting ……: on dovrebbe essere visibile, ad es:
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]
Testato con#
gpg (GnuPG) 2.2.20 / 2.2.25
Nitrokey Start RTM.10
Curva 25519 tasti