Nastavitev KDF-DO

Uvod

KDF-DO je kratica za Key Derived Function - Data Object. S tem podatkovnim objektom lahko kartica obvesti odjemalce, da podpira izpeljane ključe. (Za podrobnosti glej oddelek 4.3.2 specifikacije OpenPGP Smart Card 3.4) Prednost uporabe izpeljanih ključev je, da se namesto prenosa gesel v odprtem besedilu na kartico prenašajo samo hashi in se zato na kartici shranjujejo samo hashi. Ker bo izpeljani ključ daljši od izvirnega gesla, bo tudi težje uspešno izvesti napad z grobo silo.

Opomba

Trenutno je mogoče KDF-DO nastaviti le, če je začetni računalnik Nitrokey Start prazen (takoj po ponastavitvi na tovarniško nastavitev).

Koraki za konfiguriranje KDF-DO

  1. Izvedite tovarniško ponastavitev

  2. Nastavitev KDF-DO z uporabo GnuPG

  3. Sprememba kode PIN skrbnika (izbirno; brez ključev je mogoča le sprememba kode PIN skrbnika)

  4. Uvoz / ustvarjanje ključev

  5. Spreminjanje uporabniške in skrbniške kode PIN

Nastavitev KDF-DO z uporabo GnuPG

  1. Zaženi gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Vnesite kodo PIN upravitelja

  5. Preverite trenutno stanje tako, da pogledate podatke o kartici (gpg2 --card-status), pri čemer mora biti vidno KDF setting ......: on, npr:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Preizkušeno z

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Krivulja 25519 tipk