Como configurar o gpg2 para passar o PIN do smartcard, a menos que o programa de pinentry?

2

Minha configuração:

  • Centos 6.5
  • gnugp2-2.0.14-6.el6_4.x86_64
  • gnupg2-smime-2.0.14-6.el6_4.x86_64

Eu configurei gpg2 para usar minha chave de assinatura no cartão inteligente gnupg V2.0. Eu importei minha chave de assinatura gpg para a loja de rpm.

Eu preciso assinar um pacote rpm usando rpm --addsign myApp.rpm .

Funciona bem, mas rpm solicita uma vez o PIN do cartão inteligente e gpg2 (com pinentry programm) solicita três vezes o PIN do cartão inteligente.

Eu esperava que rpm --addsign passasse o PIN (entre na primeira solicitação) para gpg2 e gpg2 não pedisse novamente o PIN.

É possível ter apenas o um aviso para assinar o pacote rpm com gpg2 ?

    
por usergfo 09.07.2014 / 18:14

1 resposta

1

Para que o pino seja armazenado em cache, você precisa executar gpg-agent e sua placa não deverá não ter o forcesig definido.

AFAIK, por padrão, os cartões são enviados com o conjunto de bits forceig, que é mais seguro. Você pode ver isso usando gpg --card-edit command e procurar a entrada PIN da assinatura. De acordo com o manual:

Signature PIN

When set to "forced", gpg requests the entry of a PIN for each signature operation. When set to "non forced", gpg may cache the PIN as long as the card has not been removed from the reader.

Você pode alterar o bit usando:

$ gpg --card-edit
....
gpg: detected reader 'MSI StarReader SMART [Smart Card Reader Interface]'
Version ..........: 2.0
Manufacturer .....: ZeitControl
Serial number ....: 0000201C
Name of cardholder: Anthony van der Neut
Language prefs ...: en
Sex ..............: please
URL of public key : http://anthon.home.xs4all.nl/publickey.asc
Login data .......: anthon
Private DO 1 .....: [not set]
Private DO 2 .....: [not set]
Signature PIN ....: forced           <<<<< this is what should not be 'forced'
Key attributes ...: 2048R 2048R 2048R
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 2
....
gpg/card > admin
gpg/card > forcesig

(plug sem graça: para mais detalhes sobre a configuração segura de um cartão, consulte meu rant )

    
por 09.07.2014 / 20:18

Tags