Como deixar o gpg-agent confirmar cada uso de chave

Navegue suas respostas
4

Ao executar gpg-agent como parte da minha sessão de login, cada programa que eu executar terá acesso à minha (possivelmente) chave PGP desbloqueada. Pode ser paranóico, mas eu quero obter uma confirmação sobre o uso de cada chave, então eu desejo uma opção para gpg-agent que quando a frase secreta ou o pino do cartão já está em cache, aparece um diálogo de confirmação antes de permitir o acesso à chave. / p>

Para chaves ssh gerenciadas por gpg-agent , essa opção existe de acordo com o manpage , mas não para PGP.

Eu senti falta de algo?

    
por Uwe Kleine-König 12.01.2015 / 20:26

1 resposta

2

Não há opção que simplesmente exiba uma mensagem. No final, você tem que escolher entre duas opções:

  1. Desative o cache completamente , para garantir que a frase secreta não seja armazenada: 

    --max-cache-ttl n
      Set the maximum time a cache entry is valid to n seconds.  After
      this time a cache entry will be expired  even  if  it  has  been
      accessed  recently  or has been set using gpg-preset-passphrase.
      The default is 2 hours (7200 seconds).

    Não tenho certeza se um valor de 0 desativa completamente o cache ou define o tempo máximo para infinito - você poderá descobrir facilmente. Configurá-lo para 1 segundos provavelmente deve ser bom também.

  2. Existe uma opção para desativar o cache ao assinar (enquanto a descriptografia ainda o usa): 

    --ignore-cache-for-signing
      This option will let gpg-agent bypass the passphrase  cache  for
      all  signing  operation.   Note that there is also a per-session
      option to control this behaviour but this  command  line  option
      takes precedence.

    A ideia por trás disso é impedir a assinatura acidental de uma mensagem (que possivelmente não pode ser desfeita), enquanto a decodificação acidental de uma mensagem provavelmente não causará danos.

Se você considerar essas opções, pense em qual ataque deseja atenuar. Se alguém é capaz de realizar ações com a sua chave, é bem provável que ele possa executar comandos arbitrários de qualquer maneira e pode instalar um trojan ou keylogger.

    
por 12.01.2015 / 23:57

Tags

Alterar a rede padrão que o VirtualBox atribui às VMs conectadas ao NAT como posso permitir o acesso de saída a uma porta no firewall