gpg-keyring-daemon aparentemente armazena em cache a frase secreta para sempre (entre as reinicializações)

3

Eu tenho descriptografado meus arquivos criptografados por GPG há anos. Minha chave privada foi criptografada com uma frase secreta. Ao tentar descriptografar, uma caixa de diálogo apareceu, pedindo a minha frase secreta. Isso só aconteceu uma vez, e então ele se lembraria da minha senha até o logout. Isso foi no Debian wheezy e, por alguns meses agora, em jessie. (Eu estou usando o ambiente GNOME 3 padrão do Debian.)

Recentemente, ele começou a descriptografar sem pedir uma frase secreta. Tentei alterar a senha com gpg --edit-key my-key-id e, em seguida, passwd , mas não há diferença. Primeiro, pedi a minha frase-senha existente antes de pedir que eu entrasse, duas vezes, na nova frase secreta. Mas gpg -d some_encrypted_file sempre funcionará, imediatamente após a reinicialização, sem solicitar uma frase secreta.

Parece que o gpg-keyring-daemon está com defeito. Se eu tentar unset GPG_AGENT_INFO; gpg -d some_encrypted_file , ele pedirá a frase secreta, senão ela não decifrará.

Atualizar : de alguma forma, em dconf-editor , desktop.gnome.crypto.cache.gpg-cache-method foi definido como always . Eu mudei para session mas não há diferença.

    
por Antonis Christofides 10.02.2015 / 12:56

1 resposta

4

Eu acredito que descobri o que estava acontecendo.

Quando a caixa de diálogo pedindo a senha aparece (acho que a caixa de diálogo é um aplicativo chamado pinentry ), tem uma caixa de seleção que diz "Desbloquear automaticamente esta chave sempre que eu estou logado". Se você (acidentalmente) marcar essa caixa de seleção, ela fará duas coisas: (a) Registrará a decisão de desbloquear automaticamente essa chave; (b) Ele armazena sua frase secreta.

Então, agora você precisa desfazer essas duas coisas.

Primeiro, vá para dconf-editor e defina desktop.gnome.crypto.cache.gpg-cache-method para o valor padrão, session , em vez de always .

Em segundo lugar, você vai para o aplicativo "Senhas e chaves" (ou seja, seahorse , sim, estou bastante confuso), senhas, login e você exclui a frase secreta armazenada.

(Tudo isso certamente não é um bom candidato para um concurso de usabilidade).

    
por 11.02.2015 / 11:48

Tags