gnome-keyring zu Gunsten von gpg-agent ausknipsen (was: Re: gpg-agent - scheinbar endlose ttl)

Stefan U. Hegner stefan at hegner-online.de
Fri Jan 3 20:37:07 CET 2014 

Tach JBG,

Am 02.01.2014 22:45, schrieb Jan-Benedict Glaw:
> On Thu, 2014-01-02 21:41:34 +0100, Stefan U. Hegner <stefan at hegner-online.de> wrote:
>> Aber wenn ich einen geheimen Schlüssel entsperre, wird die passphrase so
>> lange gecacht, wie die Gnome-Session offen ist. - Da ist völlig Wurscht,
>> was ich in der gpg-agent.conf für ttls definiere.
> Vor gar nicht langer Zeit hatte ich mal so ein buntes System in den
> Händen und ebenfalls Key-Probleme. Da ließ sich ein frisch erzeugter
> ssh-key (ECDSA) nicht laden, was daran lang, daß eben _nicht_ wie
> erwartet wirklich der `ssh-agent' genutzt worden ist, sondern
> irgendein Programm mit "besserer" Desktop-Integration, das leider mit
> diesem Key-Typ nicht umgehen konnte.
>
>   Meine Empfehlung wär' also ersteinmal, zu gucken, was die Programme
> da als agent eigentlich nutzen sollen. Also mal in einem Terminal
> gucken, wie das environment aussieht.  Würd' mich nicht wundern, wenn
> die Passphrase-Abfrage (und die Auslieferung der Keys) nämlich ganz
> anders läuft, als Du Dir das denkst.
... tja, da hat er wohl mal wieder recht gehabt: Irgendwie wird
standardmäßig gnome-keyring genutzt, und genau das ist das Übel.

Aufgrund dieses Hinweises ist es mir gelungen etwas spezifischer zu
suchen und da habe ich auch so manches gefunden. - Im Wesentlichen
scheint es jetzt zu funktionieren, wenn man von einigen kleinen
Problemchen absieht. Hinweise dazu, wie man Teile davon "richtig" bzw.
"richtiger" macht, nehme ich gerne entgegen.

Habe mittlerweile folgendes erreicht (und mal grad' zur Doku
mitgeschrieben):

 1. In der /etc/pam.d/gdm3 habe ich die beiden Zeilen, die sich auf den
    gnome-keyring beziehen kommentiert:

        [...]
        ### Gnome Keyring ausknipsen
        ### auth    optional        pam_gnome_keyring.so
        [...]
        ### session optional        pam_gnome_keyring.so auto_start

 2. Ferner poppt der gnome-keyring immer mit anderen Komponenten hoch.
    Es gibt da gpg, pkcs11, ssh und secrets. Ich habe mir die Configs
    aus /etc/xdg/autostart/gnome-keyring*.desktop nach
    ~/.config/autostart geholt und dort eine Zeile an die Config gehängt:

        |X-GNOME-Autostart-enabled=false|

    Damit habe ich alle Komponenten bis auf die "secrets" ausgeknipst
    bekommen - und die scheinen im Moment kein Problem zu verursachen.

 3. Bei mir im Environment war gar kein $GNUPGHOME gesetzt. Habe meine
    /etc/profile entsprechend aufgebohrt:

        GNUPGHOME="$HOME/.gnupg"
        export GNUPGHOME

 4. Der gpg-agent bekommt bei Start folgenden Parameter mitgegeben:
    "--write-env-file=/home/hegi/.gnupg/gpg-agent-info-zomba". In dieser
    Datei wird die Variable GPG_AGENT_INFO definiert, die den
    Zugriffsweg auf den Agent spezifiziert. Irgendwie wird
    GPG_AGENT_INFO aber auch vom gnome-keyring gesetzt:

        $ echo $GPG_AGENT_INFO
        /home/hegi/.cache/keyring-OBD8uf/gpg:0:1

    Da soll aber was anderes rein, nämlich vom gpg-agent:

        $ cat gpg-agent-info-zomba 
        GPG_AGENT_INFO=/tmp/gpg-mgdRxy/S.gpg-agent:26853:1

    Deshalb habe ich mein ~/.profile entsprechend angepasst, dass die
    Variable neu gesetzt wird und folgende Zeilen am Ende ergänzt:

    	eval $(cat ${GNUPGHOME}/gpg-agent-info-zomba)
    	eval $(cut -d= -f 1 < ${GNUPGHOME}/gpg-agent-info-zomba | xargs echo export)

 5. Nach all diesen Änderungen scheint es erst mal zu funzen. Sowohl an
    der Console mit gpg und gpg2 als auch mit Thunderbird und Enigmail.

Ich hatte noch Probleme dass die an der Konsole mit gpg gecachte
Passphrase von TB neu verlangt wurde usw. Aber nach einem Reboot geht
auch das im Moment für das Entschlüsseln. Zum Signieren muss ich die
Passphrase aber noch mal neu eingeben - Kann das daran liegen, dass das
ein anderer Subkey ist?

Hilfreiche Infos zum Thema fand ich hier:

  * http://www.thunderbird-mail.de/forum/viewtopic.php?f=33&t=45955
  * http://wiki.ubuntuusers.de/GNOME_Schl%C3%BCsselbund
  * http://ubuntuforums.org/showthread.php?t=1905422

Sofern es noch Kommentare gibt, immer her damit.

LG

Stefan.

-- 
Stefan U. Hegner 
         <stefan at hegner-online.de>
              * * *
D-32584 Löhne --- good ole Germany
internet: http://www.hegner-web.de
              * * *
GPG-Key | 048D 7F64 0BEB 73B1 2725  
F-Print | C05E 4F77 9674 EF11 55FE

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 230 bytes
Desc: OpenPGP digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20140103/5db73bb6/attachment.sig>

More information about the Linux mailing list