KDF-DO instellen#
Inleiding#
KDF-DO staat voor Key Derived Function - Data Object. Met dit gegevensobject kan de kaart de cliënten meedelen dat zij afgeleide sleutels ondersteunt. (Voor details zie punt 4.3.2 van de OpenPGP Smart Card 3.4 specificatie). Het voordeel van het gebruik van afgeleide sleutels is, dat in plaats van wachtwoorden in duidelijke tekst te verzenden, alleen hashes naar de kaart worden gezonden en dus alleen hashes op de kaart worden opgeslagen. Aangezien een afgeleide sleutel langer is dan het oorspronkelijke wachtwoord, is het ook moeilijker om met succes een brute force-aanval uit te voeren.
Notitie
Op dit moment is het alleen mogelijk om de KDF-DO in te stellen, wanneer de Nitrokey Start leeg is (net na een fabrieksreset).
Stappen om KDF-DO te configureren#
Voer fabrieksreset uit
KDF-DO opzetten met GnuPG
Admin PIN wijzigen (optioneel; zonder toetsen is alleen Admin PIN wijzigen mogelijk)
Sleutels importeren / genereren
Wijzig gebruiker en beheerder PIN
KDF-DO instellen met GnuPG#
Run gpg2 –card-edit
$ admin
$ kdf-setup
Voer Admin PIN in
Controleer de huidige status door naar de kaartdetails te kijken (gpg2 –card-status), waarbij KDF-instelling ……: on zichtbaar moet zijn, bijv:
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]
Getest met#
gpg (GnuPG) 2.2.20 / 2.2.25
Nitrokey Start RTM.10
Curve 25519 toetsen