jettero
Bonjour à tous,
J'ai installé seahorse pour gérer mes différentes clés, dont une clé PGP - GPG.
Je n'arrive tout simplement pas à régler le timing pour que le système oublie la phrase de passe.
Si je crypte un fichier, il me demande la phrase de passe. Je la lui donne et il crypte, jusque là tout roule. Par contre après 10 minutes, si je cliques sur un autre fichier au hasard qui est crypté, il le décrypte sans me demander la phrase de passe et ça j'aime moins. Car au niveau sécurité c'est pas top.
J'ai cherché à configurer le fait que soit :
- il annule la phrase de passe après chaque opération ; ou
- que je puisse mettre un timing plus court et que, mettons après 2 min, la phrase de passe s'annule.
Je me souviens qu'il existait des interface graphiques pour régler quelques détails de ce genre. Mais dans synaptic je n'ai trouvé que KGPG qui est lourd et plante sur mon installation !
La fenêtre qui me demande ma phrase de passe semble être intégrée dans Gnome, peut être y a-t-il un autre programme gnome qui gère les clés et leurs utilisations ?
Avez-vous un conseil ou une astuce ?
Merci d'avance,
Jet
pingou
Apparament ça se configure dans dconf:
http://askubuntu.com/questions/340809/how-can-i-adjust-the-default-passphrase-caching-duration-for-gpg-pgp-ssh-keys
En gros, dans dconf-editor voire la config Desktop > Gnome > crypto > cache
Je pense que la clé gpg-cache-method et gpg-cache-ttl est ce que tu cherches
jettero
Bon c'est une piste. Cependant il semble que le problème soit connu comme étant une faille du système ?
http://vigilance.fr/vulnerabilite/GNOME-Keyring-non-expiration-du-cache-gpg-11835
Puis c'est difficile de configurer dans dconf-editor, il y a peu de doc sur les valeur correctes à rajouter et surtout lesquelles modifier ?
J'ai mis :
gpg-cache-methode = timeout
gpg-cache-ttl = 60
Mais après tests, ça ne change rien...🙁
marc2006
Et
https://superuser.com/questions/624343/keep-gnupg-credentials-cached-for-entire-user-session ? Dans le lien, on parle du fichier ~/.gnupg/gpg-agent.conf et des paramètres default-cache-ttl et maximum-cache-ttl
jettero
En effet.
2 problèmes :
1) pas de gpg-agent.conf ;
2) un gpg.conf qui ne contient pas les paramètres "defautl-cache-ttl et maximum-cache-ttl"
Galère !
marc2006
Le fichier gpg.conf est dans /etc je suppose ? Tu n'as rien dans ~/.gnupg/ ?
Si tu crées le fichier gpg-agent.conf dans ~/.gnupg/, et que tu mets ces deux paramètres, est-ce que ca change quelque chose (il faut redémarrer le service gpg-agent je pense, voire la session) ? Je ne sais pas si tu utilises gpg-agent ou un autre service (seahorse se base sur gpg-agent ?)
L'unité de valeur des deux paramètres est en seconde, et par défaut c'est 2h, tu as pu vérifier ça par hasard ?
EDIT : Y a bien gnome-keyring qui démarre aussi par défaut et c'est lui qui doit jouer, donc avant de créer le fichier de conf, il faudrait désactiver gnome-keyring-gpg :
http://askubuntu.com/questions/349238/how-can-i-clear-my-cached-gpg-password/381221#381221
jettero
Hum.. manifestement c'est gnome-keyring-gpg (seahorse) qui pose problème.
J'ai désinstallé gnome-keyring et il ne reste que seahorse je pense. A volonté je peux chiffrer un fichier, le déchiffrer (il me demande la phrase de passe) je déchiffre, je le mets à la corbeille et je recommence. Systématiquement il me demande la phrase de passe.
Mais ça veut dire aussi que je dois gérer mes clés en ligne de commande, car sans seahorse tools, je n'ai pas d'outils graphique pour le faire.
Mais en gros je navigue un peu dans la confusion, entre :
-seahorse ;
-gpg ;
- gpg-agent ;
- gnome-keyring
pffff c'est un peu le bronx quand même.
marc2006
Euh je pense que tu devrais juste désactiver l'autostart de gnome-keyring-gpg comme écrit, pas le virer (le gnome-keyring). Mais si tu veux utiliser seahorse, il faut le laisser alors ! gpg-agent servira donc à rien quant à lui.
http://askubuntu.com/questions/340809/how-can-i-adjust-the-default-passphrase-caching-duration-for-gpg-pgp-ssh-keys/358514#358514 bon on rejoint le dconf (pour seahorse)...
gnome-keyring-gpg semble être lié à seahorse, donc là seahorse ne sert à rien ? gpg-agent doit être démarré là, tu dois pouvoir agir sur les paramètres. C'est soit seahorse soit gpg-agent.
Peut-être que c'est un peu plus clair ? :
http://comments.gmane.org/gmane.comp.gnome.apps.seahorse.devel/516
jettero
Merci pour ton aide et tes conseils. J'y vois un peu plus clair !
Pour le moment je laisse comme ça. Finalement, pour gérer les clés j'ai le module Enigmail qui peut le faire et pour mes fichiers cryptés, seahorse-tools semble faire le nécessaire.
Du coup, ça correspond assez bien à mes besoins, je ne touche plus rien ^^
marc2006
Je t'en prie ! Je connaissais pas trop personnellement, j'ai essayé de glaner quelques informations sur des sites, en espérant que ça t'aide ^^
Donc là si tu utilises seahorse (avec le service seahorse-daemon ?), et je suppose que tu as réinstallé gnome-keyring (^^), tu dois pouvoir changer les paramètres dans le dconf comme pingou l'a écrit =)
Actuellement, tu dois mettre la passphrase à chaque fois que tu veux chiffrer/déchiffrer tes fichiers ?
jettero
En fait le service qui ressort sur les processus actifs est : seahorse-tools
Je n'ai pas dû réinstaller gnome-keyring.
Actuellement je dois mettre chaque fois la paraphrase pour déchiffrer un fichier .pgp et c'est ce que je voulais 😉
marc2006
Ok donc pour faire du caching entre autres, il faut démarrer seahorse-daemon =) Mais bon, c'est pas ca que tu veux.
Sinon, gnome-keyring est utilisé par Network Manager par exemple, je doute que ce soit une bonne idée de l'avoir viré ^^ Mais si t'as pas de souci particulier, c'est ok 🙂
jettero
Ah ben... mince 😉
Bon en même temps, tout marche à merveille, si vraiment j'ai un souci avec NetworkManager, je saurai d'où ça vient.
pingou
Tu as pas peur que si tu as un souci avec NM se sera un jour où tu veux te connecter à un wifi et que tout d'un coup tu n'ais plus le mot de passe ? 🙂
marc2006
Hmmm d'après wikipedia "The GNOME Keyring Manager was a user interface for the GNOME Keyring. As of GNOME 2.22 it is deprecated and replaced entirely with Seahorse". Ah bon ?
Je n'ai jamais fait attention lol
jettero
Pingu, je ne comprends pas réellement le risque. Keyring gère des mots de passe ça j'ai bien compris, mais je comprends pas quel pourrait être le problème sur NM ?
J'ai oublié mon réseau et je me suis reconnecté. Il est vrai que j'ai du mettre le mot de passe dans la config directement et que je n'ai pas eu une fenêtre qui me l'a demandé, mais à part ça je n'ai pas eu de soucis avec les mots de passe. Peux-tu développer ?
pingou
Bah c'est juste que je me dis que keyring garde en mémoire les mots de passe des réseaux wifi que tu connais. Du coup un jour tu aurais le risque de te retrouver quelque part où tu as déjà été mais où tu ne connais plus le mot de passe du wifi alors que ton ordi le connaitrais s'il avait accès à keyring.
Et la loi de Murphy dit que ça t'arrivera le jour où tu auras un besoin urgent de te connecter à internet 🙂