KDF-DO instellen#

Inleiding#

KDF-DO staat voor Key Derived Function - Data Object. Met dit gegevensobject kan de kaart de cliënten meedelen dat zij afgeleide sleutels ondersteunt. (Voor details zie punt 4.3.2 van de OpenPGP Smart Card 3.4 specificatie). Het voordeel van het gebruik van afgeleide sleutels is, dat in plaats van wachtwoorden in duidelijke tekst te verzenden, alleen hashes naar de kaart worden gezonden en dus alleen hashes op de kaart worden opgeslagen. Aangezien een afgeleide sleutel langer is dan het oorspronkelijke wachtwoord, is het ook moeilijker om met succes een brute force-aanval uit te voeren.

Notitie

Op dit moment is het alleen mogelijk om de KDF-DO in te stellen, wanneer de Nitrokey Start leeg is (net na een fabrieksreset).

Stappen om KDF-DO te configureren#

  1. Voer fabrieksreset uit

  2. KDF-DO opzetten met GnuPG

  3. Admin PIN wijzigen (optioneel; zonder toetsen is alleen Admin PIN wijzigen mogelijk)

  4. Sleutels importeren / genereren

  5. Wijzig gebruiker en beheerder PIN

KDF-DO instellen met GnuPG#

  1. Run gpg2 –card-edit

  2. $ admin

  3. $ kdf-setup

  4. Voer Admin PIN in

  5. Controleer de huidige status door naar de kaartdetails te kijken (gpg2 –card-status), waarbij KDF-instelling ……: on zichtbaar moet zijn, bijv:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Getest met#

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curve 25519 toetsen