passphrase GnuPG e X11 sniffing

10

Ogni volta che inserisco la mia passphrase in pinentry-gtk-2 , ogni altra app X11 può annusarla, come mostrato in

$ xinput test-xi2

in esecuzione in background.

Che cosa si può fare a riguardo?

O devo fidarmi di centinaia di processi diversi in esecuzione sotto il mio account (*) a non X11-sniff my passphrase quando sto digitandolo e non manda la mia cartella ~/.gnupg/ insieme ad essa su internet ad un avversario?

(*) Qui, non sto considerando un keylogger quasi-hardware in esecuzione come root molto vicino al kernel, poiché non si può fare molto a riguardo. Sto parlando di applicazioni user-land regolari, come Skype a chiusura o InSync .

    
posta Michal Rus 04.07.2015 - 12:47
fonte

1 risposta

3

La soluzione migliore è eseguire la sessione come utente SELinux user_u o staff_u , che imporrà molto più strettamente la comunicazione tra processi tra altre app e l'app di inserimento pin, che viene eseguita in% dominio% dominio.

Per impostazione predefinita, gli utenti sono mappati su gpg_pinentry_t , che offre una protezione alcuni , ma non tanto quanto se si dovessero eseguire cose come unconfined_u (ad esempio si noterà che la maggior parte delle cose esegui come user_u , ma i plugin di firefox vengono eseguiti come unconfined_t ).

Per paranoia extra alta, puoi provare Qubes OS che risolve esattamente questo problema - ma richiede di abituarsi al vincoli che impone al tuo ambiente di lavoro.

    
risposta data 04.07.2015 - 19:38
fonte

Leggi altre domande sui tag