Ustawianie KDF-DO#
Wstęp#
KDF-DO oznacza Key Derived Function - Data Object. Za pomocą tego obiektu danych karta może poinformować klientów, że obsługuje klucze pochodne. (Szczegóły w sekcji 4.3.2 specyfikacji OpenPGP Smart Card 3.4) Zaletą stosowania kluczy pochodnych jest to, że zamiast przesyłania haseł w postaci czystego tekstu do karty przesyłane są tylko hashe i dlatego tylko hashe są przechowywane na karcie. Ponieważ klucz pochodny będzie dłuższy niż oryginalne hasło, trudniej będzie również przeprowadzić udany atak brute force.
Informacja
W chwili obecnej można ustawić KDF-DO tylko wtedy, gdy Nitrokey Start jest pusty (tuż po resecie fabrycznym).
Kroki do skonfigurowania KDF-DO#
Uruchom przywracanie ustawień fabrycznych
Konfiguracja KDF-DO przy użyciu GnuPG
Zmiana Admin PIN (opcjonalnie; bez kluczy możliwa jest tylko zmiana Admin PIN)
Import / generowanie kluczy
Zmiana kodu PIN użytkownika i administratora
Ustawianie KDF-DO przy użyciu GnuPG#
Run
gpg2 --card-edit
$ admin
$ kdf-setup
Wprowadź kod PIN administratora
Zweryfikuj aktualny stan rzeczy patrząc na dane karty (
gpg2 --card-status
), gdzieKDF setting ......: on
powinny być widoczne, np:
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]
Testowane z#
gpg (GnuPG) 2.2.20 / 2.2.25
Nitrokey Start RTM.10
Krzywa 25519 klawiszy