Oggi ho scoperto che enigmail sta decifrando un messaggio senza chiedermi il PIN della smart card. Si sta chiedendo solo una volta, e poi non chiedere affatto.
questo è il mio gpg-agent.conf:
default-cache-ttl 0
max-cache-ttl 0
no-allow-external-cache
ignore-cache-for-signing
scdaemon.conf:
card-timeout 0
deny-admin
gpg.conf è vuoto
gpg (GnuPG) 2.1.16
libgcrypt 1.7.3-beta
Il portachiavi Gnome viene fermato. Cosa mi manca qui?
Ci ho già pensato io stesso. Voglio essere invitato a inserire il mio PIN ogni volta che richiedo la mia smart card (Yubikey nel mio caso) per eseguire un'operazione di sign / encrypt / auth. È possibile abilitare questo comportamento per la firma abilitando forcesig fino gpg2 --card-edit (si veda la documentazione di GnuPG ):
forcesig toggle the signature force PIN flag
ma non per le operazioni di crittografia e autenticazione.
Questo post sulla mailing list di GnuPG di Werner Koch sembra implica che la stessa smart card stia memorizzando il PIN nella cache.
Cercherò di approfondire ulteriormente (magari inviando un'email alla mailing list di GnuPG) e aggiorno questa risposta se trovo altre informazioni.