gpg-agent continua a salvare pin per una smartcard

2

Oggi ho scoperto che enigmail sta decifrando un messaggio senza chiedermi il PIN della smart card. Si sta chiedendo solo una volta, e poi non chiedere affatto.

questo è il mio gpg-agent.conf:

default-cache-ttl 0
max-cache-ttl 0
no-allow-external-cache
ignore-cache-for-signing

scdaemon.conf:

card-timeout 0
deny-admin

gpg.conf è vuoto

gpg (GnuPG) 2.1.16

libgcrypt 1.7.3-beta

Il portachiavi Gnome viene fermato. Cosa mi manca qui?

    
posta Stanimir Stoyanov 04.01.2017 - 17:52
fonte

1 risposta

6

Ci ho già pensato io stesso. Voglio essere invitato a inserire il mio PIN ogni volta che richiedo la mia smart card (Yubikey nel mio caso) per eseguire un'operazione di sign / encrypt / auth. È possibile abilitare questo comportamento per la firma abilitando forcesig fino gpg2 --card-edit (si veda la documentazione di GnuPG ):

forcesig   toggle the signature force PIN flag

ma non per le operazioni di crittografia e autenticazione.

Questo post sulla mailing list di GnuPG di Werner Koch sembra implica che la stessa smart card stia memorizzando il PIN nella cache.

Cercherò di approfondire ulteriormente (magari inviando un'email alla mailing list di GnuPG) e aggiorno questa risposta se trovo altre informazioni.

    
risposta data 28.08.2017 - 02:33
fonte

Leggi altre domande sui tag