Cosa contiene% APPDATA% \ GnuPG \ secring.gpg dopo aver richiamato "gpg --card-edit generate"?

Question

Cosa contiene% APPDATA% \ GnuPG \ secring.gpg dopo aver richiamato "gpg --card-edit generate"?

#1 da (2 voti)

2

Per una nuova smartcard (crypto stick), ho richiamato gpg --card-edit , eseguito il comando generate e selezionato per non creare alcun backup delle chiavi generate. Al termine della generazione della chiave, è stato creato un file %APPDATA%\GnuPG\secring.gpg e gpg --list-secret-keys mi dà l'output seguente, indipendentemente dal fatto che la smartcard sia allegata o meno:

C:/Users/myaccount/AppData/Roaming/gnupg/secring.gpg
-----------------------------------------------
sec>  2048R/A076E602 2017-03-16
      Card serial no. = 0005 00003547
uid                  My Name <my.email@mydomain>
ssb>  2048R/94D78957 2017-03-16
ssb>  2048R/8C953787 2017-03-16

Quando rimuovi questo file, riavvia gpg-agent.exe , ricollegando la smartcard senza inserire il pin ed eseguendo gpg --card-status lo stesso file viene ricreato.

Per me sembra che la chiave segreta venga copiata sul mio disco fisso ancora e ancora?

windows gnupg smartcard

posta mstrap 16.03.2017 - 15:35

fonte

1 risposta

Leggi altre domande sui tag windows gnupg smartcard

Tracciare una backdoor registrando i pacchetti Vulnerabilità della sicurezza durante la condivisione di file tra macchina virtuale e host

score 2 · Accepted Answer

GnuPG memorizza uno stub chiave , quando si interfacciano le smart card. Le smart card OpenPGP contengono solo i dati della chiave non elaborata (e l'ID della chiave), ma non gli ID utente, le certificazioni, le impostazioni e altri attributi che devono essere memorizzati localmente o recuperati dalla rete del server delle chiavi. Inoltre, questo stub chiave rende GnuPG consapevole della scheda anche se non è collegata, quindi può chiedere di fornirla se necessario.

Questo stub di chiave contiene tutto tranne le chiavi private, che non lasceranno mai la carta (le operazioni con la chiave privata vengono invece eseguite dalla carta).

Se il tuo portachiavi è ancora nel vecchio formato di keyring (non nel nuovo formato di keybox introdotto in GnuPG 2.1 per i portachiavi appena generati), puoi anche fare un picco nel portachiavi usando gpg --list-packets C:/Users/myaccount/AppData/Roaming/gnupg/secring.gpg o pgpdump , che fornisce più flag a specificare la verbosità di output e può anche stampare i dati della chiave non elaborata. Entrambi gli strumenti sono molto tecnici e richiedono una conoscenza piuttosto approfondita di RFC 4880, OpenPGP per la comprensione dei dati.