web-dev-qa-db-fra.com

Le décryptage GnuPG ne demande pas de phrase secrète

J'ai des trucs chiffrés avec GnuPG en utilisant gpg -e. Lorsque je les déchiffre, le système ne demande pas la phrase secrète, il la déchiffre immédiatement.

Stocke-t-il la clé secrète quelque part et l'utilise-t-elle (j'ai également stocké ma clé secrète dans la chaîne de clés GnuPG, l'utilise-t-elle)?

Comment forcer le système à demander la phrase secrète à chaque fois?

35
EsseTi

Stocke-t-il la clé secrète quelque part et l'utilise-t-elle (j'ai également stocké ma clé secrète dans la chaîne de clés GnuPG, l'utilise-t-elle)?

GnuPG utilise uniquement les clés de votre porte-clés, donc il doit être là pour l'utiliser.

Comment forcer le système à demander la phrase secrète à chaque fois?

Les anciennes versions de GnuPG utilisent le gpg-agent, qui met en cache la phrase secrète pour un temps donné. Utilisez l'option --no-use-agent ou ajoutez une ligne no-use-agent à ~/.gnupg/gpg.conf pour empêcher l'utilisation de l'agent.

Pour les versions plus récentes (v2.1 +), désactivez la mise en cache des mots de passe pour l'agent en créant ~/.gnupg/gpg-agent.conf et en ajoutant les lignes suivantes:

default-cache-ttl 1
max-cache-ttl 1

Redémarrez l'agent avec:

echo RELOADAGENT | gpg-connect-agent
39
Jens Erat

GnuPG 2.2.15

  --symmetric
          -c  Encrypt with a symmetric cipher using a passphrase. The default sym-
          metric cipher used is AES-128, but may be chosen with the  --cipher-algo
          option.  This command may be combined with --sign (for a signed and sym-
          metrically encrypted message), --encrypt (for  a  message  that  may  be
          decrypted  via  a  secret  key or a passphrase), or --sign and --encrypt
          together (for a signed message that may be decrypted via a secret key or
          a  passphrase).  gpg caches the passphrase used for symmetric encryption
          so that a decrypt operation may not require that the user needs to enter
          the  passphrase.   The  option  --no-symkey-cache can be used to disable
          this feature.
# encrypt files
gpg -c --no-symkey-cache file.txt
# decrypt files
gpg --no-symkey-cache file.txt.gpg

avec l'option --no-symkey-cache, il ne mettra pas votre mot de passe en cache

3
anonymous

Pour la version 2.2.4 de gpg, le travail suivant utilise symétrique et ajoute --batch à la commande gpg :

Par conséquent, pour effacer le mot de passe stocké dans la session, nous pouvons exécuter:

echo RELOADAGENT | gpg-connect-agent

Plus d'informations dans ce tutoriel: https://www.baeldung.com/linux/encrypt-decrypt-files

0
K F