Nastavenie KDF-DO#

Úvod#

KDF-DO je skratka pre Key Derived Function - Data Object. Pomocou tohto dátového objektu môže karta informovať klientov, že podporuje odvodené kľúče. (Podrobnosti nájdete v časti 4.3.2 špecifikácie OpenPGP Smart Card 3.4) Výhodou používania odvodených kľúčov je, že namiesto prenosu hesiel v čistom texte sa na kartu prenášajú len hashe, a preto sa na karte ukladajú len hashe. Keďže odvodený kľúč bude dlhší ako pôvodné heslo, bude tiež ťažšie úspešne vykonať útok hrubou silou.

Poznámka

V súčasnosti je možné nastaviť KDF-DO len vtedy, keď je Nitrokey Start prázdny (tesne po obnovení výrobných nastavení).

Kroky na konfiguráciu KDF-DO#

 1. Spustite obnovenie výrobných nastavení

 2. Nastavenie KDF-DO pomocou GnuPG

 3. Zmena kódu PIN administrátora (voliteľné; bez kľúčov je možná len zmena kódu PIN administrátora)

 4. Import / generovanie kľúčov

 5. Zmena kódu PIN používateľa a správcu

Nastavenie KDF-DO pomocou GnuPG#

 1. Spustiť gpg2 --card-edit

 2. $ admin

 3. $ kdf-setup

 4. Zadajte kód PIN správcu

 5. Aktuálny stav overte pohľadom na údaje karty (gpg2 --card-status), kde by mali byť viditeľné KDF setting ......: on, napr:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testované s#

 • gpg (GnuPG) 2.2.20 / 2.2.25

 • Nitrokey Start RTM.10

 • Kľúče Curve 25519