can't connect to 'socket:///home/tobias/.gnupg/log-socket

[l3u]

Hallo allerseits!

Ich hab grad mal mit pass rumgespielt. Ich kann auch Passwörter speichern und anzeigen, aber ich bekomme sowohl beim Hinzufügen, als auch beim Entschlüsseln folgende Fehlermeldung:

[mike155]

[l3u]

Ich werd momentan aus gnupg bzw. der Wiki-Seite dazu eh nicht schlau. Ich hab das grad mal auf meinem Notebook erstmalig eingerichtet.

Erst konnte ich gar keine Dateien entschlüseln ("gpg: public key decryption failed: Inappropriate ioctl for device"), dann hab ich mit ~/.gnupg/gpg.conf und ~/.gnupg/gpg-agent.conf rumprobiert – beide nicht existent vorher – was dann dazu führte, dass ich zwar das Passwort eingeben konnte, aber nicht via pinentry. Dann hab ich mit eselect pinentry rumprobiert. Auch danach keine Eingabe via pinentry möglich. Irgendwann (warum auch immer) hab ich dann ein pinentry-prompt bekommen. Ich wollte das Nachvollziehen und hab ~/.gnupg/gpg.conf und ~/.gnupg/gpg-agent.conf gelöscht, um nochmal von vorne anzufangen. Und jetzt: Die Eingabe funktioniert via pinentry, ohne irgend welche Konfigurationsdateien.

Äußerst merkwürdig … alles als user, nicht als root wohlgemerkt! Wer hat da wo was gespeichert, dass es jetzt "einfach so" geht?!

[l3u]

So jetzt hab ich einfach mal auf meinem Desktop in meinem ~/.gnupg-Verzeichnis von 2004 alle Konfigurationsdateien gelöscht und hinter den gpg-agent neu gestaret (gpg-connect-agent reloadagent /bye). Und siehe da: Passworteingabe via pinentry und keine Warnung bei der Benutzung von pass. Waren dann vermutlich irgendwelche Altlasten von anno dazumal.

[mike155]

Früher habe ich Gnupg häufig benutzt - zum Verschlüsseln von E-Mails und zum Verschlüsseln meiner Backups.

Mittlerweile vertraue ich dem Programm nicht mehr. Deshalb benutze ich es auch nicht mehr.

Der erste Grund ist die Eingabe der Passwörter. Früher war Gnupg ein "kleines" Programm, das auf der Kommandozeile lief. Da wurde ich direkt vom Programm nach meiner Passphrase gefragt. Ich habe sie eingegeben und gut wars. Gnupg habe ich vertraut. Dann haben die Entwickler beschlossen, die Passphrase nicht mehr direkt abzufragen, sondern ein anderes Programm dazu aufzurufen - und das auf reichlich obskure Art und Weise (pinentry). Diesem Mechanismus und erst recht dem externen Programm traue ich nicht. Auf dem Weg durch das externe Pinentry-Programm bis hin zu GnuPG gibt's zu viele Möglichkeiten, wie ein Angreifer mein Passwort abgreifen könnte.

Eine weiterer Grund ist die Verschlüsselung meiner Backups. Ich habe einen Cron-Job, der ein Backup erstellt und das Backup dann automatisch verschlüsselt, wobei das Passwort aus einer Datei gelesen wird. Die GnuPg Entwickler haben die Parameter geändert und ich habe das Lesen des Passworts aus einer Datei nicht mehr hinbekommen (ging nicht mehr, weil angeblich "zu unsicher". Mittlerweile soll es wohl wieder gehen). Seitdem werden meine Backups mit "openssl enc" verschlüsselt. Funktioniert prima.

[l3u]

Du hast Angst, dass jemand die Passwortkommunikation zwischen pinentry und gnupg abgreifen könnte, verschlüsselst aber ein Backup mit einem symmetrischen Schlüssel, der seinerseits unverschlüsselt in einer Datei auf dem selben Rechner liegt?! Okay … Ich speichere meine Backups einfach auf einer externen Festplatte, die eine LUKS-Partition enthält, die mit Twofish verschlüsselt ist. Aber kann ja jeder machen, wie er will ;-)

Ich vertraue GnuPG zumindest dahingehend, dass wenn es Sicherheitsprobleme geben würde, die Entwickler oder sonstwer das öffentlich machen würden. Ich denke auch, dass es pinentry aus einem gutem Grund gibt, und dass die schon wissen, was sie machen und wieso. Schließlich ist pinentry ja auch vom GnuPG-Projekt. Ich mein, wenn die das nicht wissen, wer dann?!