ubuntuusers.de

Du betrachtest eine alte Revision dieser Wikiseite.

GPG-Agent

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Dieser Artikel ist mit keiner aktuell unterstützten Ubuntu-Version getestet! Bitte teste diesen Artikel für eine Ubuntu-Version, welche aktuell unterstützt wird. Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Dieser Artikel beschreibt die Einrichtung des GPG-Agenten. Man kann ihn benutzen, wenn man oft mit GnuPG arbeitet, aber nicht ständig sein Passwort eingeben möchte. Das ist beispielsweise der Fall, wenn man Psi (Abschnitt „mit-OpenPGP-GnuPG“) mit signiertem Status benutzt, aber nicht bei jeder Statusänderung das Passwort neu eingeben will. Der Agent speichert in dem Fall das Passwort in einem Cache und fragt nur nach festlegbaren Zeitintervallen erneut danach.

Installation

Falls der GPG-Agent noch nicht installiert ist, kann man ihn über das Paket gnupg-agent installieren. Wichtig ist, dass man ein Passworteingabeprogramm für die jeweilige Desktop-Umgebung mitinstalliert [1]:

Befehl zum Installieren der Pakete:

sudo apt-get install gnupg-agent pinentry-gtk2 

Oder mit apturl installieren, Link: apt://gnupg-agent,pinentry-gtk2

oder ab Ubuntu 15.10 für GNOME:

Befehl zum Installieren der Pakete:

sudo apt-get install gnupg-agent pinentry-gnome3 

Oder mit apturl installieren, Link: apt://gnupg-agent,pinentry-gnome3

oder für KDE:

Befehl zum Installieren der Pakete:

sudo apt-get install gnupg-agent pinentry-qt4 

Oder mit apturl installieren, Link: apt://gnupg-agent,pinentry-qt4

Den GPG-Agenten starten

Der Agent sollte am Anfang einer Sitzung gestartet werden, da er eine Umgebungsvariable setzt, die allen Programmen, die den Agenten benutzen sollen, bekannt sein muss. Dazu wird auch automatisch ein Startskript in der Datei /etc/X11/Xsession.d/90gpg-agent angelegt. Es ist aber trotzdem noch nötig, im Heimatverzeichnis jedes Benutzers die Datei ~/.gnupg/gpg.conf mit dem Inhalt use-agent anzulegen. Der Befehl [2]:

echo "use-agent" >>  ~/.gnupg/gpg.conf 

erledigt das.

Optionen

Um den GPG-Agenten an die eigenen Bedürfnisse anzupassen, kann man noch verschiedene Optionen einstellen:

Option Bedeutung
--daemon normaler Aufruf um den Dämon zu starten
--ignore-cache-for-signing erzwingt eine erneute Passworteingabe um andere Schlüssel zu signieren
--default-cache-ttl n setzt die Zeit wie lange ein Passwort im Cache bleibt auf n Sekunden, Standard ist 600
--max-cache-ttl n setzt die maximale Zeit wie lange ein Passwort im Cache bleibt auf n Sekunden, Standard ist 7200 (2 Stunden)
--pinentry-program filename setzt explizit das Passworteingabeprogramm auf filename

Die Optionen fügt man entweder direkt mit Root-Rechten [3] in die Datei /etc/X11/Xsession.d/90gpg-agent ein, wodurch sie aber global für alle Benutzer des Systems gelten oder besser in die Datei ~/.gnupg/gpg-agent.conf, die für jeden Benutzer separat (ohne Root-Rechte) angelegt wird. Dort werden dann "–" bei jeder Option weggelassen und es wird jeweils eine neue Zeile angefangen. Mit folgendem Befehl wird eine Grundkonfiguration gespeichert:

echo -e "default-cache-ttl 18000\nmax-cache-ttl 86400\nignore-cache-for-signing" >> ~/.gnupg/gpg-agent.conf 

Dieser Befehl hängt die Zeilen

default-cache-ttl 18000
max-cache-ttl 86400
ignore-cache-for-signing

an die Datei ~/.gnupg/gpg-agent.conf an (und erstellt sie, falls sie noch nicht vorhanden war). Dadurch bleiben Passwörter 18000 Sekunden (= 5 Stunden) im Cache, maximal (also auch bei häufiger Benutzung) jedoch 86400 Sekunden (= 24 Stunden) und zum Signieren von anderen Schlüsseln wird immer nach dem Passwort gefragt.

Weitere Einsatzmöglichkeiten

Der GPG-Agent kann auch SSH-Passwörter verwalten. Hinweise dazu findet man in der Manpage.

Diese Revision wurde am 8. Januar 2016 12:01 von Justin-Time erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Kommunikation, System, Sicherheit, Server, pgp, Verschlüsselung, gpg, OpenPGP