
<p dir="ltr">Sorry, replace the name Andre with Anders. I mixed the two up in my reply.</p>

<p dir="ltr">/David</p>

<div class="gmail_quote">Den 28 sep 2014 19:02 skrev "David Kronlid" <<a href="mailto:david@kronlid.net">david@kronlid.net</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Remembering hundreds of passwords is to hard for me, so I use KeePass. I use KeePass 2 and have encountered a similar problem but not the same. KeePass's automatic entering of the password doesn't work with GPG4Win, and GPG's pinentry is the only software that I have ever encountered that blocks the automatic entry of passwords for some reason.</p>

<p dir="ltr">However if I instead copy and paste to and from the clipboard it works. = Ctrl+c Ctrl+v works. But this method of transferring the password is less secure according to the KeePass website/help.</p>

<p dir="ltr">I agree with Andre that there is a possibility to improve GPG4Win here, and that securing a compromised computer doesn't make too much sense and that an encrypted hard drive removes the problem with passwords getting saved in swap files. Of course it's good to stop an attacker every possible way we can, but not if it means that the passwords get too weak. However I also would like to know what password manager Andre uses, as copy and paste to and from the clipboard actually works for gpg4win. Are you using KeePass or another software? Is this software really using the clipboard (in a normal way)? I suspect that it doesn't use the clipboard in a normal way as that should work fine.</p>

<p dir="ltr">On Linux it's different as KeePass 2 there only uses the clipboard instead of the other two offered methods that the KeePass creator claim to be more secure on Windows, and the normal clipboard usage works with the GPG pinentry on both Linux and Windows.</p>

<p dir="ltr">/David</p>

<div class="gmail_quote">Den 28 sep 2014 17:55 skrev "PrivacyDefence" <<a href="mailto:webmaster@privacydefence.org" target="_blank">webmaster@privacydefence.org</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Andre<br>

Thank you for your response. I really appreciate that you have taken the<br>

time to comment on my email.<br>

<br>

Quote: "Which pinentry program are you using?"<br>

<br>

We provide point-and-click tutorials for encryption software such as<br>

Gpg4win. In our testing we install the latest version of Mozilla<br>

Thunderbird and then the corresponding version of Enigmail. Enigmail<br>

then handles the installation of Gpg4win. The user will then have<br>

whatever version of pinentry-qt4 is installed by default.<br>

It's interesting that apparently there is a fix for the lacking ability<br>

to copy and paste the password, thank you for mentioning that. We try<br>

however to make our tutorials as simple to follow as possible, so these<br>

tweaks would make a long tutorial even longer.<br>

<br>

Quote: "If you just copy / paste it you defeat that and make it extremly<br>

easy for other programs to grab the passphrase. .<br>

E.g. if your clipboard contents are swapped to disk or if you hibernate<br>

it will even be stored on the disk."<br>

<br>

These are valid points, although only relevant if the computer should be<br>

compromised. They are also the reason why you should encrypt your<br>

harddisk and secure the computer against hacking. Having done that,<br>

copying and pasting on your own computer should be the least of your<br>

worries.<br>

Also, if your computer is already compromised, the primary accident is<br>

already done. Making it a bit more difficult for other programs to grab<br>

your copied passwords will only give you a very minimal increase in<br>

security. In fact, many would argue that the whole concept of securing a<br>

computer that is already compromised is somewhat problematic.<br>

I guess one could even come up with some specific threat landscapes<br>

where copy and paste would be safer than typing the password manually.<br>

Think "hardware keyloggers"...<br>

<br>

Quote: "... We have enabled copy&paste for pinentry-qt some time last<br>

year. So it should work."<br>

<br>

This requires the tweaks you have mentioned, right? Because it does not<br>

work when installing Gpg4win in the straightforward fashion that I<br>

described above.<br>

<br>

I do get the point about choosing sensible defaults for the users, and I<br>

can only wish the whole industry will some day understand the importance<br>

of that. Most users go with the default, period. So thank you for trying<br>

to choose the right defaults in your software. But how about the point I<br>

made, that when password managers can no longer be used, people are<br>

forced to choose passwords that are weak enough that they can remember<br>

them and type they in manually. Won't you agree that this weakens the<br>

protection provided by the password?<br>

<br>

---<br>

Kind regards<br>

Anders<br>

<a href="http://www.PrivacyDefence.org" target="_blank">www.PrivacyDefence.org</a><br>

<br>

Public key:<br>

<a href="http://www.privacydefence.org/?page_id=69" target="_blank">www.privacydefence.org/?page_id=69</a><br>

<br>

<br>

<br>

<br>

On 22-09-2014 10:38, Andre Heinecke wrote:<br>

> Hi,<br>

><br>

> On Wednesday, September 17, 2014 04:27:23 PM PrivacyDefence wrote:<br>

>> Hi all<br>

>> Apparently copy-paste has been disabled in the latest version of<br>

>> Gpg4win. We have asked Enigmail about this and they believe it is an<br>

>> issue with Gpg4win.<br>

><br>

> Which pinentry program are you using?  Copy and Paste is only enabled in<br>

> pinentry-qt4 (you can rename pinentry-qt4.exe in your installation folder to<br>

> pinentry.exe to make sure it is used if you have not configured it in your gpg-<br>

> agent.conf otherwise)<br>

>><br>

>> Our post:<br>

>> <a href="https://lists.enigmail.net/pipermail/enigmail-users_enigmail.net/2014-Septem" target="_blank">https://lists.enigmail.net/pipermail/enigmail-users_enigmail.net/2014-Septem</a><br>

>> ber/002055.html<br>

>><br>

>> Their reply:<br>

>> <a href="https://lists.enigmail.net/pipermail/enigmail-users_enigmail.net/2014-Septem" target="_blank">https://lists.enigmail.net/pipermail/enigmail-users_enigmail.net/2014-Septem</a><br>

>> ber/002056.html<br>

>><br>

>> So is this a bug that will be fixed, or something done deliberately?<br>

><br>

> Kind of. As said above, pasting the passphrase is enabled in pinentry-qt4. The<br>

> problem is that internally we jump through some hoops to ensure that the<br>

> passphrase is stored in secure memory. If you just copy / paste it you defeat<br>

> that and make it extremly easy for other programs to grab the passphrase. .<br>

> E.g. if your clipboard contents are swapped to disk or if you hibernate it<br>

> will even be stored on the disk.<br>

><br>

> So we advise against copy&pasting your passphrase.<br>

><br>

>> I am hoping for an open debate about this, as I believe it lowers<br>

>> security while also causing frustration for the users.<br>

>><br>

>> Please let me hear your thoughts.<br>

><br>

> As I have written above due to many requests to have the possibility to do<br>

> this. (And ultimately we can only set sane defaults / recommend stuff) We have<br>

> enabled copy&paste for pinentry-qt some time last year.<br>

><br>

> So it should work.<br>

><br>

> Best Regards,<br>

> Andre<br>

><br>

_______________________________________________<br>

Gpg4win-users-en mailing list<br>

<a href="mailto:Gpg4win-users-en@wald.intevation.org" target="_blank">Gpg4win-users-en@wald.intevation.org</a><br>

<a href="https://lists.wald.intevation.org/cgi-bin/mailman/listinfo/gpg4win-users-en" target="_blank">https://lists.wald.intevation.org/cgi-bin/mailman/listinfo/gpg4win-users-en</a><br>

</blockquote></div>

</blockquote></div>