Inställning av KDF-DO#
Introduktion#
KDF-DO står för Key Derived Function - Data Object. Med detta dataobjekt kan kortet informera klienterna om att det stöder avledda nycklar. (För detaljer se avsnitt 4.3.2 i OpenPGP Smart Card 3.4-specifikationen). Fördelen med att använda avledda nycklar är att i stället för att överföra lösenord i klartext överförs endast hash-koder till kortet och därför lagras endast hash-koder på kortet. Eftersom en härledd nyckel är längre än det ursprungliga lösenordet är det också svårare att genomföra en brute force-attack.
Observera
För närvarande är det bara möjligt att ställa in KDF-DO när Nitrokey Start är tom (precis efter en fabriksåterställning).
Steg för att konfigurera KDF-DO#
Kör fabriksåterställning
Konfigurera KDF-DO med GnuPG
Ändra Admin PIN (valfritt; utan nycklar är endast ändring av Admin PIN möjlig)
Importera/generera nycklar
Ändra användar- och administratörs-PIN
Inställning av KDF-DO med GnuPG#
Kör
gpg2 --card-edit
$ admin
$ kdf-setup
Ange Admin PIN
Kontrollera det aktuella tillståndet genom att titta på kortinformationen (
gpg2 --card-status
), därKDF setting ......: on
bör vara synligt, t.ex:
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]
Testad med#
gpg (GnuPG) 2.2.20 / 2.2.25
Nitrokey Start RTM.10
Curve 25519 tangenter