Nastavenie KDF-DO

Úvod

KDF-DO je skratka pre Key Derived Function - Data Object. Pomocou tohto dátového objektu môže karta informovať klientov, že podporuje odvodené kľúče. (Podrobnosti nájdete v časti 4.3.2 špecifikácie OpenPGP Smart Card 3.4) Výhodou používania odvodených kľúčov je, že namiesto prenosu hesiel v čistom texte sa na kartu prenášajú len hashe, a preto sa na karte ukladajú len hashe. Keďže odvodený kľúč bude dlhší ako pôvodné heslo, bude tiež ťažšie úspešne vykonať útok hrubou silou.

Poznámka

V súčasnosti je možné nastaviť KDF-DO len vtedy, keď je Nitrokey Start prázdny (tesne po obnovení výrobných nastavení).

Kroky na konfiguráciu KDF-DO

  1. Spustite obnovenie výrobných nastavení

  2. Nastavenie KDF-DO pomocou GnuPG

  3. Zmena kódu PIN administrátora (voliteľné; bez kľúčov je možná len zmena kódu PIN administrátora)

  4. Import / generovanie kľúčov

  5. Zmena kódu PIN používateľa a správcu

Nastavenie KDF-DO pomocou GnuPG

  1. Spustiť gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Zadajte kód PIN správcu

  5. Aktuálny stav overte pohľadom na údaje karty (gpg2 --card-status), kde by mali byť viditeľné KDF setting ......: on, napr:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testované s

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Kľúče Curve 25519