Setarea KDF-DO

Introducere

KDF-DO înseamnă Key Derived Function - Data Object (funcție derivată de cheie - obiect de date). Cu ajutorul acestui obiect de date, cardul poate informa clienții că acceptă chei derivate. (Pentru detalii, a se vedea secțiunea 4.3.2 din specificația OpenPGP Smart Card 3.4) Avantajul utilizării cheilor derivate constă în faptul că, în loc să se transmită parolele în text clar, pe card se transmit numai hașuri și, prin urmare, pe card se stochează numai hașuri. Deoarece o cheie derivată va fi mai lungă decât parola originală, va fi, de asemenea, mai greu de executat cu succes un atac prin forță brută.

Notă

În acest moment, este posibilă setarea KDF-DO numai atunci când Nitrokey Start este gol (imediat după o resetare din fabrică).

Pași pentru configurarea KDF-DO

  1. Executați resetarea din fabrică

  2. Configurați KDF-DO folosind GnuPG

  3. Schimbarea PIN-ului de administrator (opțional; fără chei este posibilă doar schimbarea PIN-ului de administrator)

  4. Importați / generați chei

  5. Modificarea PIN-ului de utilizator și de administrator

Setarea KDF-DO folosind GnuPG

  1. Rulați gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Introduceți PIN-ul de administrator

  5. Verificați starea actuală a stării actuale prin examinarea detaliilor cardului (gpg2 --card-status), unde KDF setting ......: on ar trebui să fie vizibile, de exemplu:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testat cu

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curbă 25519 taste