GPG Agent conserve votre clef privée en mémoire vive

GPG Agent

Un agent GPG est une application à part entière utilisée par GPG pour mettre en cache la phrase de passe de manière standard et sécurisée. Cela permet aux applications d'utiliser GPG de manière concurrente : si vous entrez votre phrase de passe alors que vous utilisez déjà une application, la seconde pourra travailler avec le GPG sans devoir demander de nouveau le mot de passe pour libérer la clé, si l'agent GPG est configuré pour permettre cela, bien sûr. Source de la définition sur Gentoo.org

Pour avoir plus de détails sur les options de Gpg Agent, il y a la page de man en anglais sur ubuntu.com

Quand on a plusieurs mails à envoyer chiffrer/ou signer, il peut être intéressant de ne pas avoir à saisir à chaque fois sa phrase de passe. Dans ce cas, Gpg Agent est intéressant. Il faut toutefois faire attention aux conditions dans lesquelles on utilise ce système car le fait que l'on ait pas à ressaisir la phrase de passe signifie que cette dernière est stockée temporairement en mémoire et est donc accessible. En particulier si on est sur une machine qui tourne en continue (24h sur 24 comme un serveur par exemple) ou sur des temps très long (la journée par exemple). Durant tout ce temps, la clef restera en mémoire... Et est donc susceptible d'être dérobée en cas de machine compromise...

GPG Agent et Enigmail

Dans le plugin Enigmail de Thunderbird, il y a une option "Use gpg-agent for passphrase handling" (dans l'onglet Advanced/avancé) cf www.enigmail.net, en anglais.

Par défaut, elle n'est pas cochée/activée, mais il faut faire attention si on souhaite activer cette option. Car une fois Thunderbird fermée, le démon de GPG Agent lui continuera de tourner, et on en revient au contexte de sécurité mentionné ci-dessus.

Vus : 612
Publié par genma : 387