4

При запуске gpg-agent как части моего сеанса входа в систему каждая программа, которую я запускаю, имеет доступ к моему (возможно) разблокированному PGP-ключу. Это может быть параноиком, но я хочу получить подтверждение о каждом использовании ключа, поэтому я хочу, чтобы у gpg-agent была опция, которая, когда парольная фраза или пин-код карты уже кэшированы, выдает диалоговое окно подтверждения, прежде чем разрешить доступ к ключу.

Для ключей ssh, управляемых gpg-agent такая опция существует в соответствии с man-страницей, но не для PGP.

Я что-то пропустил?

|источник

1 ответ1

2

Нет опции, которая просто отображает сообщение. В конце концов, вам нужно выбрать один из двух вариантов:

  1. Полностью отключите кэш, чтобы убедиться, что фраза-пароль не сохраняется вообще:

    --max-cache-ttl n
      Set the maximum time a cache entry is valid to n seconds.  After
      this time a cache entry will be expired  even  if  it  has  been
      accessed  recently  or has been set using gpg-preset-passphrase.
      The default is 2 hours (7200 seconds).

    Я не уверен, что значение 0 отключает кэш или устанавливает максимальное время на бесконечность - вы легко сможете узнать. Установка его в 1 секунду, вероятно, тоже подойдет.

  2. Существует возможность отключить кеш при подписании (пока расшифровка все еще использует его):

    --ignore-cache-for-signing
      This option will let gpg-agent bypass the passphrase  cache  for
      all  signing  operation.   Note that there is also a per-session
      option to control this behaviour but this  command  line  option
      takes precedence.

    Идея заключается в том, чтобы предотвратить случайное подписание сообщения (которое, возможно, не удастся отменить), в то время как случайное дешифрование сообщения, вероятно, не принесет вреда.

Рассматривая эти варианты, подумайте, какую атаку вы хотите смягчить. Если кто-то может выполнять действия с вашим ключом, он, скорее всего, в любом случае сможет выполнять произвольные команды и вполне может установить троян или регистратор ключей.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .