Ustawianie KDF-DO

Wstęp

KDF-DO oznacza Key Derived Function - Data Object. Za pomocą tego obiektu danych karta może poinformować klientów, że obsługuje klucze pochodne. (Szczegóły w sekcji 4.3.2 specyfikacji OpenPGP Smart Card 3.4) Zaletą stosowania kluczy pochodnych jest to, że zamiast przesyłania haseł w postaci czystego tekstu do karty przesyłane są tylko hashe i dlatego tylko hashe są przechowywane na karcie. Ponieważ klucz pochodny będzie dłuższy niż oryginalne hasło, trudniej będzie również przeprowadzić udany atak brute force.

Informacja

W chwili obecnej można ustawić KDF-DO tylko wtedy, gdy Nitrokey Start jest pusty (tuż po resecie fabrycznym).

Kroki do skonfigurowania KDF-DO

  1. Uruchom przywracanie ustawień fabrycznych

  2. Konfiguracja KDF-DO przy użyciu GnuPG

  3. Zmiana Admin PIN (opcjonalnie; bez kluczy możliwa jest tylko zmiana Admin PIN)

  4. Import / generowanie kluczy

  5. Zmiana kodu PIN użytkownika i administratora

Ustawianie KDF-DO przy użyciu GnuPG

  1. Run gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Wprowadź kod PIN administratora

  5. Zweryfikuj aktualny stan rzeczy patrząc na dane karty (gpg2 --card-status), gdzie KDF setting ......: on powinny być widoczne, np:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testowane z

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Krzywa 25519 klawiszy