KDF-DO iestatīšana#

Ievads#

KDF-DO ir atslēgas atvasinātā funkcija - datu objekts. Izmantojot šo datu objektu, karte var informēt klientus, ka tā atbalsta atvasinātās atslēgas. (Sīkāku informāciju sk. OpenPGP Smart Card 3.4 specifikācijas 4.3.2. sadaļā). Ieguvums no atvasināto atslēgu izmantošanas ir tāds, ka tā vietā, lai pārsūtītu paroles atklātā tekstā, uz karti tiek pārsūtītas tikai hashes un tādējādi kartē tiek saglabātas tikai hashes. Tā kā atvasinātā atslēga būs garāka par sākotnējo paroli, būs arī grūtāk sekmīgi veikt brutāla spēka uzbrukumu.

Piezīme

Pašlaik KDF-DO ir iespējams iestatīt tikai tad, ja Nitrokey Start ir tukšs (tieši pēc rūpnīcas atiestatīšanas).

KDF-DO konfigurēšanas soļi#

  1. Palaist rūpnīcas atiestatīšanu

  2. KDF-DO iestatīšana, izmantojot GnuPG

  3. Mainīt administratora PIN kodu (pēc izvēles; bez atslēgām ir iespējama tikai administratora PIN koda maiņa)

  4. Importēt / ģenerēt atslēgas

  5. Lietotāja un administratora PIN koda maiņa

KDF-DO iestatīšana, izmantojot GnuPG#

  1. Palaist gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Ievadiet administratora PIN kodu

  5. Pārbaudiet pašreizējo stāvokli, aplūkojot kartes informāciju (gpg2 --card-status), kur KDF setting ......: on jābūt redzamam, piemēram:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testēts ar#

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curve 25519 taustiņi