[Gpg4win-users-de] Verwendung eines Passwortmanagers
Werner Koch
wk at gnupg.org
Di Aug 25 08:29:22 CEST 2009
On Mon, 24 Aug 2009 21:43, tlambeck at gmx.de said:
> Zumal ich die Eingabe bei durchschnittlich 3...5 E-Mails pro Stunde alle
> 10 Minuten wiederholen muss, da das Passwort ja schon wieder aus dem
> Cache gelöscht wurde.
Das kann man in den Einstellungen ändern:
--default-cache-ttl N
Setzt das Timeout für Cache-Einträge auf N Sekunden. Der Default
sind 600 Sekunden.
--max-cache-ttl N
Setzt die maximale Zeit, die ein Cache-Eintrag gültig ist (in
Sekunden). Nach Ablauf dieser Zeit Wird der Cache Eintrag gelöscht,
auch wenn er in der Zwischenzeit benutzt wird. Der Default sind 2
Stunden.
Die Zweite Option ist im Einstellungsmenü nur im Modus "Experte"
sichtbar.
> Ist das eine Design-Entscheidung oder mit "pinentry.exe" nur nicht
Das ist eine grundsätzliche Design-Entscheidung. Copy und Paste müsste
es Erlauben, daß man mit mehreren Windows arbeiten kann. Aus
Sicherheitsgrüden macht der Pinentry ein "Grab" auf die Tastatur und die
Maus um dies zu verhindern. Leider ist das nur auf einem X-Windows
System (z.B. auf GNU/Linux) möglich. Wir würden so etwas auch gerne
unter Windows implementieren (ala Ctrl-Alt-Del vor dem Einloggen), das
geht aber so einfach nicht.
Bei der Beurteilung möglicher Angriffszenarien stellt sich ein
Passphrasemanager, der die Passphrases im Klartext via Clipboard hin und
her kopiert als leichter angreifbar da, als unser System, welches die
Passphrase nur intern hält und gar nicht nach aussen erscheinen lässt
[1]. Das ist so ähnlich wie bei einer Smartcard: Das Auslesen der
Passphrase soll nicht möglich sein.
Shalom-Salam,
Werner
[1] Trifft zur Zeit nur für den S/MIME Teil zu. Für OpenPGP wird noch
die Passphrase zwischen GPG und dem GPG_AGENT ausgetauscht. Das wird
sich in GnuPG 2.1 ändern.
--
Die Gedanken sind frei. Auschnahme regelt ein Bundeschgesetz.
Mehr Informationen über die Mailingliste Gpg4win-users-de