sethipethi
Anmeldungsdatum: 14. Oktober 2011
Beiträge: Zähle...
|
gudn tach! gpg funzte bei mir bisher immer einwandfrei (sowohl in thunderbird als auch im cli). leider ist es seit kurzem so, dass die passphrase nicht mehr vom system vergessen wird. selbst wenn ich den computer aus- und wieder einschalte und mich dann einlogge, muss ich fuer entschluesselungen meine passphrase nicht eingeben. (vermutlich habe ich versehentlich mal ein haekchen "save forever" oder so nicht deaktiviert, keine ahnung.) wie bringe ich das system dazu, die passphrase (nach von mir vorgegebener zeit) zu vergessen? "gpg-agent" ist bei mir anscheinend nicht installiert. deswegen brachte das anlegen einer datei ~/.gnupg/gpg-agent.conf mit entsprechendem inhalt nix. in $GPG_AGENT_INFO steht "/run/user/1000/keyring-[...]/gpg:0:1", aber damit kann ich nix anfangen. prost
seth
|
pepre
Supporter
Anmeldungsdatum: 31. Oktober 2005
Beiträge: 6462
Wohnort: Erlangen
|
Mal mal
ps ax | grep agent
Dann sieht du die laufenden Agenten. Vllt läuft ja zB Seahorse.
|
sethipethi
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 63
|
gudn tach! ps liefert den ssh-agent und /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1. die haben da beide nix mit zu tun, oder? prost
seth
|
pepre
Supporter
Anmeldungsdatum: 31. Oktober 2005
Beiträge: 6462
Wohnort: Erlangen
|
Ok, so kommen wir nicht weiter. Zuerst brauchen wir die Info, was da zickt. Vorgehen: Den Rechner frisch starten (cold boot) Im Terminal eine Datei mit gpg signieren (springt ein Fenster auf wg Passphrase? Wenn ja: welches [Titelzeile]?). Terminal schließen. Nochmal im Terminal eine Datei mit gpg signieren. Wird die Passphrase nochmal abgefragt? Terminal schließen. Thunderbird öffnen, eine verschlüsselte Mail öffnen (wird nach der Passphrase gefragt?) Thunderbird schließen. Im Terminal eine Datei mit gpg signieren. Wird die Passphrase nochmal abgefragt?
Das Ergebnis bitte hier dokumentieren. Zwischen jedem Schritt bitte das ausführen:
ps ax | grep -i agent
|
sethipethi
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 63
|
gudn tach! danke fuer den hilfe-versuch! ☺ pepre schrieb:
ja, da springt tatsaechlich wie von frueher gewohnt eines auf mit dem titel "enter passphrase". hab herausbekommen, dass das wohl der prozess
/usr/lib/gcr/gcr-prompter
ist. ich haette ein haekchen setzen koennen, um die passphrase nicht immer eingeben zu muessen, habe das kaestchen aber "enthakt" (deaktiviert).
aha, nee, passphrase wird nicht mehr abgefragt. signiert wird jetzt automatisch (obwohl ich das haekchen wie gesagt, nicht gesetzt hab, aber vielleicht gibt's da trotzdem ein time-out oder sowas?).
nee, aber da wird wie gesagt ohnehin nicht mehr gefragt. also auch wenn ich vorher keine datei signiert haette, waere ich in thunderbird nicht nach der passphrase zum entschluesseln gefragt worden. das ist das, was mich stoert.
nee, wird nicht mehr abgefragt. signatur erfolgt wieder einfach so.
Das Ergebnis bitte hier dokumentieren. Zwischen jedem Schritt bitte das ausführen:
ps ax | grep -i agent
konstante ausgabe, immer nur ssh-agent und /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1. hmm, und nun? prost
seth
|
pepre
Supporter
Anmeldungsdatum: 31. Oktober 2005
Beiträge: 6462
Wohnort: Erlangen
|
Ok, jetzt nochmal (zur Sicherheit):
Wird die Passphrase abgefragt? Wenn ja, wie heisst das Fenster? Und: startest du wirklich kalt? Keinesfalls aus irgendeinem Schlafmodus starten!
|
sethipethi
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 63
|
gudn tach! pepre schrieb:
geht ohne abfrage.
Wird die Passphrase abgefragt? Wenn ja, wie heisst das Fenster?
ja, wieder "enter password".
Und: startest du wirklich kalt? Keinesfalls aus irgendeinem Schlafmodus starten!
jawoll. in thunderbird kann ich zwar uebers enigmail-menue "clear saves passphrase" anklicken, allerdings kommt dann ein "OpenPGP Alert", der sa sagt: "You are using gpg-agent for passphrase handling. Clearing the passphrase is therefore not possible from within Enigmail." prost
seth
|
pepre
Supporter
Anmeldungsdatum: 31. Oktober 2005
Beiträge: 6462
Wohnort: Erlangen
|
Manmanman! ☺ Noch ein paar Infos bitte: dpkg -l | grep -i gnupg
grep "agent" ~/.gnupg/gpg.conf
cat ~/.gnupg/gpg-agent.conf Ist in Thunderbird bei Enigmail unter "Allgemein - Passphrasen Einstellungen" ein Häkchen bei "Nie nach einer Passphrase fragen"? Und als Pfad ist /usr/bin/gpg oder /usr/bin/gpg2 eingetragen?
|
sethipethi
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 63
|
gudn tach! danke fuer deine hartnaeckigkeit. ☺ pepre schrieb: dpkg -l | grep -i gnupg
ergibt:
ii gnupg 1.4.14-1ubuntu2.1 amd64 GNU privacy guard - a free PGP replacement
ii libgpg-error0:amd64 1.12-0.2 amd64 library for common error values and messages in GnuPG components
ii libgpg-error0:i386 1.12-0.2 i386 library for common error values and messages in GnuPG components
ii ubuntu-extras-keyring 2010.09.27 all GnuPG keys of the Ubuntu extras archive
ii ubuntu-keyring 2012.05.19 all GnuPG keys of the Ubuntu archive
grep "agent" ~/.gnupg/gpg.conf
die zeile "use-agent" ist aktiv (der rest, der von grep hier ausgespuckt wird, ist nur kommentar).
cat ~/.gnupg/gpg-agent.conf
die datei hab ich vor ein paar tagen selbst angelegt, weil es sie noch nicht gab. der inhalt wird derzeit wohl ignoriert (siehe mein erster post ganz oben):
default-cache-ttl 300
max-cache-ttl 600
ignore-cache-for-signing
Ist in Thunderbird bei Enigmail unter "Allgemein - Passphrasen Einstellungen" ein Häkchen bei "Nie nach einer Passphrase fragen"?
nee, die option ist deaktiviert.
Und als Pfad ist /usr/bin/gpg oder /usr/bin/gpg2 eingetragen?
"GnuPG was found in /usr/bin/gpg" prost
seth
|
pepre
Supporter
Anmeldungsdatum: 31. Oktober 2005
Beiträge: 6462
Wohnort: Erlangen
|
Gibt's eine Datei ~/.config/goa-1.0/accounts.conf? Wenn ja, was steht da drin?
|
sethipethi
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 63
|
gudn tach! nee, es gibt nicht mal das unterverzeichnis "goa-1.0" in "~/.config". das einzige, was irgendwie noch auffaellig ist, ist das schon mehrere monate alte file ~/.gnupg/gpg-agent-info-seth-desktop mit dem inhalt
GPG_AGENT_INFO=/tmp/gpg-[...]/S.gpg-agent:[...]:1
(ausgelassen habe ich eine zahlenbuchstabenkombination und eine zahlenkombination, die wie ein port oder eine pid aussah)
damit kann ich aber nix anfangen, da in /tmp kein eintrag existiert, der mit "gpg-" anfaengt. prost
seth
|
pepre
Supporter
Anmeldungsdatum: 31. Oktober 2005
Beiträge: 6462
Wohnort: Erlangen
|
Sehr rätselhaft, das Ganze. ☺ Ich würde ja an deiner Stelle mal in Thunderbird die Config durchforsten (Einstellungen, Erweitert, Allgemein, Konfiguration bearbeiten), ob sich da gpg- oder gnupg- Abgründe auftun. Vllt ist da ein Schalter "remember forever" oder sowas aktiv. Obwohl das allen Sicherheitskonzepten zuwider läuft; wer implementiert sowas?
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Ich habe unter Ubuntu 14.04 das Problem so lokalisiert:
seahorse
startet die grafische Schlüsselverwaltung. Ich habe festgestellt, dass ich das PW dauernd eingeben muss, wenn die automatische Schlüsselbundentsperrung durch einen Bug nicht funktioniert. Wenn ich allerdings dort bei Passwörter → Anmeldung → Doppelklick den Schlüsselbund manuell entsperre, werden sich für diese Sitzung auch die PWs in Thunderbird (GPG per Enigmail) gemerkt. Desweiteren gab es beim letzten Enigmail-Update den Hinweis auf veränderte Einstellungen und irgendwann beim Entsperren, dass wegen einem anderen Schlüsselbund der Enigmail-integrierte/ benutzte deaktiviert wäre. Also kann man ansich in seahorse unter PGP-Schlüssel → GnuPG-Schlüssel rechts den eigenen Schlüssel per Rechtsklick ❗ löschen lassen - nein, damit wäre er ganz weg und nix mehr ent-/verschlüsselbar! Hab das dann nicht weiter verfolgt, da mein System sowieso verschlüsselt und vom Schlüsselbundbug betroffen ist. Habe gehofft, damit sollte die Freischaltung des Schlüssels deaktivierbar sein. Irgendwo hier vermute ich aber den richtigen Ansatz. Was kommt bei Anmeldung → Rechtsklick → Eigenschaften? Da kann man es vermutlich deaktivieren, durch meinen Bug sehe ich aber nur ein Minifenster in Knopfgröße ohne Text mit lediglich dem Knopf Schließen. Suchmaschine hab ich auch nicht bemüht. Hier fragt nun noch jemand: http://forum.ubuntuusers.de/topic/gpg-agent-2/ Grüße, Benno
|
paulisper
Anmeldungsdatum: 29. September 2013
Beiträge: 27
|
Begrenzung der TTL (Time-To-Live) mit dconf: s. 6966622, Punkt (1) – paulisper.
|
sethipethi
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 63
|
gudn tach! der tipp mit dconf-editor und dann desktop > gnome > crypto > cache sah eigentlich sehr vielversprechend aus, zumal dort tatsaechlich als gpg-cache-method "always" drinstand. aber nachdem ich das nun auf "idle" gesetzt habe, scheint sich trotzdem nix geaendert zu haben. auch ein neustart aenderte daran nichts, dass ich meine passphrase nie eingeben muss. prost
seth
|