Passphrase wird nicht mehr abgefragt

Vielleicht hält der GPG-Agent die Passphrase noch aufgrund seiner Konfiguration. Siehe https://wiki.ubuntuusers.de/GPG-Agent/

Ich bin mir nicht sicher, ob ich hier weiterhelfen kann. Unter Ubuntu und dessen Derivaten war die Passphrasenverwaltung schon in der Vergangenheit verwirrend, weil der Gnome-Keyring sich dazwischengedrängelt hat. Ich habe mir das nie im Detail angeschaut und kann deshalb nur wenig dazu mitteilen.

In GnuPG 2.x ist der gpg-agent nach meinem Kenntnisstand zwingend erforderlich. Die Verwendung anderer Tools kann zu Fehlern führen. Ich weiß aber nicht, ob Lubuntu 16.04 immer noch versucht, die Verwaltung zu hijacken.

Feststellen kann man das über das Kommando echo $GPG_AGENT_INFO

Es sollte etwas in dieser Art anzeigen: /tmp/gpg-amlISF/S.gpg-agent:1998:1 also auf den gpg-agenten verweisen und nicht auf einen anderen Prozess.

Noch kurz zur Erklärung der Cache-Werte ...

default-cache-ttl gibt die Zeit an, für die die Passphrase gespeichert wird. Sie startet stets von vorn, wenn die Passphrase zwischendurch aus dem Cache benutzt wird. Allerdings nur so lange, bis die Zeit max-cache-ttl erreicht ist. Dann erfolgt die Abfrage auch, wenn der Cache zwischenzeitlich benutzt wurde.

Es kann somit vorkommen, dass die Passphrase über den Wert von default-cache-ttl hinaus aus dem Cache genommen wird.

Rosika schrieb:

Kann es sein, daß man da etwas ändern müßte? Und wenn ja, wie?

Wie man Änderungen vornimmt steht in der oben verlinkten der Anleitung.

Spätestens nach Erreichen von max-cache-ttl oder nach einem Neustart des Rechners (vielleicht auch nach einem Log Out/Log In) sollte die Passphrase erneut abgefragt werden. Sollte das nicht erfolgen, stimmt etwas nicht. In diesem Fall würde ich bei GnuPG oder bei Enigmail nachfragen.

Durch die Eingabe von gpg-connect-agent reloadagent /bye sollte der Cache ebenfalls gelöscht werden.

Ich habe es gerade selbst unter Ubuntu 14.04 getestet. Auch bei mir wird die Passphrase nicht zuverlässig gelöscht. Weder über den erwähnten Reload noch über den Befehl aus dem Enigmail-Menü. Manchmal klappt es korrekt, manchmal nur für ein Konto, manchmal gar nicht. Eine tieferliegende Regelmäßigkeit konnte ich in der Kürze der Zeit nicht feststellen.

Nach meiner Erinnerung hat der Befehl über den Menüpunkt in der Vergangenheit funktioniert. Zeit für jemanden, der sich damit besser auskennt als ich.

Rosika schrieb:

Nun sieht´s so aus, als ob´s nicht nur bei mir so ist.

Hier war ich vielleicht nicht präzise genug in meiner Formulierung. Was in meinen Tests nicht richtig funktionierte, das was das manuelle Löschen der Passphrase.

Das eigentliche Problem hingegen tritt bei mir nicht auf. Nach Ablauf der eingestellten Haltezeit werde ich erneut zur Eingabe der Passphrase aufgefordert. Bei mir wird auch die Variable GPG_AGENT_INFO beim Systemstart gesetzt. Ich weiß nicht, welcher Prozess oder Demon dafür verantwortlich ist. Vielleicht der gpg-agent selbst, oder GnuPG beim ersten Aufruf.

Solaris schrieb:

Nach Ablauf der eingestellten Haltezeit werde ich erneut zur Eingabe der Passphrase aufgefordert.

Hier muss ich mich korrigieren. Weitere Tests zeigen, dass die Speicherzeit für die Passphrase auch bei mir ignoriert wird. Dies sowohl unter Ubuntu wie auch unter Windows 10. Das war nicht immer der Fall und macht die Annahme eines Fehler in Enigmail durchaus möglich. Insofern ist es gut, dass das Problem auch dort gemeldet wurde.

Rosika schrieb:

Wie hast Du das versucht?

Wie erwähnt, über den Befehl aber auch über das Menü.

Rosika schrieb:

Aber das Löschen der Passphrase über das Menü? Das würde mich interessieren.

Menü-Leiste Einigmail Gespeicherte Passphrase löschen

Rosika schrieb:

In der Zwischenzeit hab ich eine Antwort aus der enigmail-users mailing-list bekommen:

Das Neustarten des Agenten hatten wir schon mit meiner Empfehlung zu dem Reload-Kommando oben. Hilft bei mir auch nicht.

Rosika schrieb:

gnupg-agent hingegen ist installiert!

Das ist nur der Name des Pakets, in dem der gpg-agent enthalten ist. Siehe erneut https://wiki.ubuntuusers.de/GPG-Agent/

Zu systemctl kann ich nichts sagen. Das gehört zu systemd. Ich bleibe noch für ein knappes Jahr auf 14.04. .

Ob der Agent läuft kann man aber "klassisch" über ein

feststellen. In meinem Fall läuft er. Leider erledigt er aus mir unbekanntem Grund seine Aufgabe nicht korrekt. Dass er grundsätzlich funktioniert, erkennt man daran, dass die Passphrase im Cache ist. Er scheint lediglich nicht auf die TTL zu reagieren.

Die wird übrigens von Enigmail richtig eingetragen, wie man anhand der gpg-agent.conf überprüfen kann. Ich weiß zu wenig über das Zusammenspiel von Enigmail, dem gpg-agent und anderen Daemons, um zu beurteilen, welche der Komponenten ursächlich ist.

Rosika schrieb:

Ich habe jetzt eine "Lösung" gefunden, d.h. eher ein workaround.

Hier würde ich eher ausprobieren, durch Auskommentieren der Zeile use-agent in der gpg.conf ganz auf den gpg-agent verzichten. Dann sollte die Passphrase gar nicht mehr im Cache gehalten werden. Ich habe das selbst aber nicht ausprobiert.

Rosika schrieb:

Wie Du bereits sagtest, es wird wohl an enigmail selbst liegen.

Das habe ich so nicht gesagt. Ich schrieb:

Solaris schrieb:

Er scheint lediglich nicht auf die TTL zu reagieren.

Die wird übrigens von Enigmail richtig eingetragen, wie man anhand der gpg-agent.conf überprüfen kann. Ich weiß zu wenig über das Zusammenspiel von Enigmail, dem gpg-agent und anderen Daemons, um zu beurteilen, welche der Komponenten ursächlich ist.

Ich weiß nicht, wo der Fehler steckt. Für mich ist er auch nicht so schwerwiegend, weil ich die E-Mails entschlüsselt abspeichere. Deshalb habe ich mich damit auch bisher nicht tiefer auseinandergesetzt.

Rosika schrieb:

Vielleicht auf eine neue Version von enigmail warten?

Wenn der Fehler nicht in Enigmail liegt, wird das wenig helfen.

Wir sind nicht die einzigen, die GnuPG/Enigmail verwenden. Vielleicht weiß von denen ja mehr dazu.

Schön wäre, wenn sich hier oder bei Enigmail jemand finden würde, der das Problem auflösen könnte.

Hallo,

seit der gpg-agent (oder ein anderer agent oder daemon, der die Kontrolle an sich reißt) verwendet wird, haben die Einstellungen in Enigmail keine Wirkung mehr. "Passphrase löschen" funktioniert nicht, die eingestellte Ablaufzeit hat keine Wirkung.

Bei mir (Ubuntu Mate 16.04) ist offenbar der keyring daemon zuständig (der sich wohl "dazwischengedrängelt hat") :

Schießt man den ab, bekommt man wieder (einmalig) den Passphrase-Dialog. Der hat ein sehr einnehmendes Wesen (modaler Dialog), d.h. alle anderen Aktionen sind unmöglich, man kann nicht einmal einen Screenshot davon machen - außer mit einer Kamera.

Ist die Passphrase irgendwo gespeichert?

Sobald man den Fehler macht, dem Speichern der Passphrase "im Passwortmanager" zuzustimmen, kann man das schwer rückgängig machen. "Passwortmanager" läßt ja vermuten, daß es um den TB-Passwortmanager geht, was nicht der Fall ist.

Die Einstellungen für Speicherdauer usw. scheinen jedenfalls beim keyring-daemon zu liegen. Die Oberfläche (Seahorse) gibt da aber nicht viel her.

https://wiki.ubuntuusers.de/GNOME_Schl%C3%BCsselbund/

Es scheint also der Normalfall zu sein, daß der Keyring mit dem Login, also der Eingabe des Betriebssytem-Passworts für die gesamte Session entsperrt wird und die Passphrase nicht mehr eingegeben werden muß.

Soweit, so bruchstückhaft, ich umgehe das Problem derzeit, indem ich meine gnupg-Schlüssel zusätzlich in einen verschlüsselten Container einsperre. Da meckert allerdings Enigmail neuerdings beim Start.

Gruß, muzel

Solaris schrieb:

Unter Ubuntu und dessen Derivaten war die Passphrasenverwaltung schon in der Vergangenheit verwirrend, weil der Gnome-Keyring sich dazwischengedrängelt hat.

Dass unter Linux so unübersichtlich ist, ist einer der Gründe, aus denen ich mich bisher nie eingehend mit diesen Agents beschäftigt habe. Ich hatte immer den Eindruck, das wäre insofern zwecklos, weil es einer ständigen Änderung unterworfen ist und auch von der Distribution abhängt.

muzel schrieb:

Es scheint also der Normalfall zu sein, daß der Keyring mit dem Login, also der Eingabe des Betriebssytem-Passworts für die gesamte Session entsperrt wird und die Passphrase nicht mehr eingegeben werden muß.

Die Intention dahinter ist nicht schlecht. Aber nicht von jedem gewünscht. Schlussendlich hieße das, dass die Einstellung in Enigmail wirkungslos ist und bleibt.

Gilt das nur für Ubuntu und Co. oder auch für andere Distributionen? Überrascht hat mich, dass die eingestellte Ablaufzeit auch unter Windows keine Wirkung hat.

Solaris schrieb:

Überrascht hat mich, dass die eingestellte Ablaufzeit auch unter Windows keine Wirkung hat.

Hilf mir auf die Sprünge: Wo eingestellt - im Agent oder in Enigmail? Ich hatte in Enigmail (unter Windows) die Zeit auf "0" Minuten gestellt, und werde auch brav jedes Mal nach der Passphrase gefragt.

In der gpg-agent.conf in C:\Users\%Username%\AppData\Roaming\gnupg\steht bei mir folgendes:

Wenn ich in Enigmail die Einstellung auf beispielsweise 10 Minuten stelle, dann sieht die Datei so aus: