Impostazione di KDF-DO

Introduzione

KDF-DO è l’acronimo di Key Derived Function - Data Object. Con questo oggetto dati la carta può informare i client che supporta le chiavi derivate. (Per i dettagli si veda la sezione 4.3.2 della specifica OpenPGP Smart Card 3.4) Il vantaggio dell’uso delle chiavi derivate è che, invece di trasmettere le password in chiaro, alla carta vengono trasmessi solo gli hash e quindi sulla carta vengono memorizzati solo gli hash. Poiché una chiave derivata sarà più lunga della password originale, sarà anche più difficile eseguire con successo un attacco di forza bruta.

Nota

Al momento è possibile impostare il KDF-DO solo quando il Nitrokey Start è vuoto (subito dopo un reset di fabbrica).

Passi per la configurazione di KDF-DO

  1. Eseguire il reset di fabbrica

  2. Impostare KDF-DO usando GnuPG

  3. Modifica del PIN dell’amministratore (opzionale; senza chiavi è possibile solo la modifica del PIN dell’amministratore)

  4. Importare / generare chiavi

  5. Cambiare il PIN dell’utente e dell’amministratore

Impostare KDF-DO usando GnuPG

  1. Esegui gpg2 –card-edit

  2. $ admin

  3. $ kdf-setup

  4. Inserisci il PIN dell’amministratore

  5. Verificare lo stato attuale guardando i dettagli della carta (gpg2 –card-status), dove KDF setting ……: on dovrebbe essere visibile, ad es:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testato con

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curva 25519 tasti