Christoph Johannes Kleine:
> Moin,
>
> siehe auch meine andere Nachricht von vor ein paar Minuten.
>
> Gegeben: Debian stable, Icedove 45.6.0 und ein frisches Testprofil in
> Icedove. Enigmail ist über Packetverwaltung installiert, hier aber nicht
> konfiguriert.
>
> Vorgang: Einrichten eines pop3 Zuganges und klick auf eine
> verschlüsselte Mail. Diese wird von Enigmail entschlüsselt.
>
> Erklärung: Davor hatte ich das reguläre Profil auf, bei dem Enigmail
> konfiguriert und gpg-agend das Passwort zwischenspeichert. Dieses
> funktioniert leider nur, wenn gnome-session verwendet wird und die
> Umgebungsvariablen
>
> export SSH_AUTH_SOCK=/run/user/1000/keyring/ssh
> export GPG_AGENT_INFO=/run/user/1000/keyring/gpg:0:1
>
> gesetzt sind. Es läuft max. eine Instanz von Icedove.
>
> Frage: Ist dies jetzt als Sicherheitslücke zu interpretieren?
Ich sehe nicht, wieso das so sein sollte. Du hast einen gpg-agent
laufen, der bestimmungsgemäß funktioniert. Man könnte argumentieren,
dass Icedove beim Beenden dem Agent mitteilen soll, den Key zu
vergessen. Da Icedove aber nicht davon ausgehen kann, alleiniger Nutzer
des Keys zu sein, fände ich so ein Verhalten etwas hinterhältig.
J.
--
Watching television is more hip than actually speaking to anyone.
[Agree] [Disagree]
<http://archive.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature