Inställning av KDF-DO

Introduktion

KDF-DO står för Key Derived Function - Data Object. Med detta dataobjekt kan kortet informera klienterna om att det stöder avledda nycklar. (För detaljer se avsnitt 4.3.2 i OpenPGP Smart Card 3.4-specifikationen). Fördelen med att använda avledda nycklar är att i stället för att överföra lösenord i klartext överförs endast hash-koder till kortet och därför lagras endast hash-koder på kortet. Eftersom en härledd nyckel är längre än det ursprungliga lösenordet är det också svårare att genomföra en brute force-attack.

Observera

För närvarande är det bara möjligt att ställa in KDF-DO när Nitrokey Start är tom (precis efter en fabriksåterställning).

Steg för att konfigurera KDF-DO

1. Kör fabriksåterställning

2. Konfigurera KDF-DO med GnuPG

3. Ändra Admin PIN (valfritt; utan nycklar är endast ändring av Admin PIN möjlig)

4. Importera/generera nycklar

5. Ändra användar- och administratörs-PIN

Inställning av KDF-DO med GnuPG

1. Kör gpg2 --card-edit

2. $ admin

3. $ kdf-setup

4. Ange Admin PIN

5. Kontrollera det aktuella tillståndet genom att titta på kortinformationen (gpg2 --card-status), där KDF setting ......: on bör vara synligt, t.ex:

Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: on
Signature key ....: [none]

Testad med

• gpg (GnuPG) 2.2.20 / 2.2.25

• Nitrokey Start RTM.10

• Curve 25519 tangenter