Inställning av KDF-DO#

(Nitrokey HSM 2 - Linux)

Introduktion#

KDF-DO står för Key Derived Function - Data Object. Med detta dataobjekt kan kortet informera klienterna om att det stöder avledda nycklar. (För detaljer se avsnitt 4.3.2 i OpenPGP Smart Card 3.4-specifikationen). Fördelen med att använda avledda nycklar är att i stället för att överföra lösenord i klartext överförs endast hash-koder till kortet och därför lagras endast hash-koder på kortet. Eftersom en härledd nyckel är längre än det ursprungliga lösenordet är det också svårare att genomföra en brute force-attack.

Observera

För närvarande är det bara möjligt att ställa in KDF-DO när Nitrokey Start är tom (precis efter en fabriksåterställning).

Steg för att konfigurera KDF-DO#

  1. Kör fabriksåterställning

  2. Konfigurera KDF-DO med GnuPG

  3. Ändra Admin PIN (valfritt; utan nycklar är endast ändring av Admin PIN möjlig)

  4. Importera/generera nycklar

  5. Ändra användar- och administratörs-PIN

Inställning av KDF-DO med GnuPG#

  1. Kör gpg2 --card-edit

  2. $ admin

  3. $ kdf-setup

  4. Ange SO-PIN

  5. Kontrollera det aktuella tillståndet genom att titta på kortinformationen (gpg2 --card-status), där KDF setting ......: on bör vara synligt, t.ex:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testad med#

  • gpg (GnuPG) 2.2.20 / 2.2.25

  • Nitrokey Start RTM.10

  • Curve 25519 tangenter