Configuração do KDF-DO#

Introdução#

KDF-DO significa Função Derivada de Chave - Objeto de Dados. Com este objeto de dados, o cartão pode informar os clientes de que suporta chaves derivadas. (Para mais informações, ver a secção 4.3.2 da especificação OpenPGP Smart Card 3.4) A vantagem de usar chaves derivadas é que, em vez de transmitir senhas em texto claro, apenas hashes são transmitidos para o cartão e, portanto, apenas hashes são armazenados no cartão. Uma vez que uma chave derivada será mais longa do que a palavra-passe original, será também mais difícil executar com êxito um ataque de força bruta.

Nota

No momento só é possível ajustar o KDF-DO, quando o Nitrokey Start está vazio (logo após um reset de fábrica).

Passos para configurar o KDF-DO#

  1. Executar reset de fábrica

  2. Configurar o KDF-DO usando GnuPG

  3. Alterar PIN de Admin (opcional; sem as teclas só é possível alterar o PIN de Admin)

  4. Importar / gerar chaves

  5. Alterar PIN de usuário e administrador

Configuração do KDF-DO usando GnuPG#

  1. Run gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Digite o PIN de Administração

  5. Verify current state state by looking at the card details (gpg2 --card-status), where KDF setting ......: on should be visible, e.g.:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testado com#

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curva 25519 teclas