Настройка KDF-DO

Введение

KDF-DO означает Key Derived Function - Data Object. С помощью этого объекта данных карта может сообщить клиентам, что она поддерживает производные ключи. (Подробнее см. раздел 4.3.2 спецификации OpenPGP Smart Card 3.4). Преимущество использования производных ключей заключается в том, что вместо передачи паролей открытым текстом на карту передаются только хэши и, соответственно, на карте хранятся только хэши. Поскольку производный ключ длиннее оригинального пароля, его сложнее успешно перебрать.

Примечание

В настоящее время установить KDF-DO можно только тогда, когда Nitrokey Start пуст (сразу после сброса к заводским настройкам).

Шаги по настройке KDF-DO

  1. Выполните сброс к заводским настройкам

  2. Настройка KDF-DO с помощью GnuPG

  3. Изменение PIN-кода администратора (опционально; без ключей возможно только изменение PIN-кода администратора)

  4. Импорт / генерация ключей

  5. Изменение PIN-кода пользователя и администратора

Настройка KDF-DO с помощью GnuPG

  1. Запустите gpg2 –card-edit.

  2. $ admin

  3. $ kdf-setup

  4. Введите PIN-код администратора

  5. Проверьте текущее состояние, просмотрев детали карты (gpg2 –card-status), где должна быть видна настройка KDF ……: on, например:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Проверено с

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Кривая 25519 клавиш