KDF-DO nustatymas#

(Nitrokey Start - Linux)

Įvadas#

KDF-DO reiškia „Key Derived Function - Data Object“ (rakto išvestinė funkcija - duomenų objektas). Šiuo duomenų objektu kortelė gali informuoti klientus, kad ji palaiko išvestinius raktus. (Išsamiau žr. OpenPGP Smart Card 3.4 specifikacijos 4.3.2 skirsnį). Išvestinių raktų naudojimo privalumas yra tas, kad vietoj slaptažodžių perdavimo atviru tekstu į kortelę perduodamos tik hash, todėl kortelėje saugomos tik hash. Kadangi išvestinis raktas bus ilgesnis už pradinį slaptažodį, taip pat bus sunkiau sėkmingai įvykdyti brutalios jėgos ataką.

Pastaba

Šiuo metu KDF-DO galima nustatyti tik tada, kai „Nitrokey Start“ yra tuščias (tik po gamyklinio atstatymo).

KDF-DO konfigūravimo žingsniai#

  1. Paleisti gamyklinį nustatymą iš naujo

  2. KDF-DO nustatymas naudojant GnuPG

  3. Keisti administratoriaus PIN kodą (neprivaloma; be raktų galima keisti tik administratoriaus PIN kodą)

  4. Importuoti / generuoti raktus

  5. Naudotojo ir administratoriaus PIN kodo keitimas

KDF-DO nustatymas naudojant GnuPG#

  1. Vykdyti gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Įveskite administratoriaus PIN kodą

  5. Patikrinkite esamą būseną pažvelgdami į kortelės duomenis (gpg2 --card-status), kur KDF setting ......: on turėtų būti matomi, pvz:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Išbandyta su#

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Kreivė 25519 klavišų