id: Гость   вход   регистрация
текущее время 14:22 23/11/2017
Автор темы: Вий, тема открыта 19/01/2009 18:39 Печать
Категории: инфобезопасность, защита im
https://www.pgpru.com/Форум/РасширенияИДополнения/ШифрованиеВJabberПриПередачеФайлов
создать
просмотр
ссылки

Шифрование в Jabber при передаче файлов


При настройке шифрованного OpenPGP канала переписки с помощью Jabber клиента Gajim программа не предоставляет меню отправки файлов для тех контактов, которым назначен OpenPGP ключ для шифрованной переписки, предоставляя такую возможность для тех контактов, которым ключ не назначен. Программа PSI такую возможность предоставляет. GnuPG все равно, что шифровать, но практически интересен такой вопрос – будет ли канал передачи файла, организованный с помощью программы PSI, криптован? Ограничение ли это конкретной программы (в данном случае Gajim) или такая возможность исключена на каком-либо другом уровне?



 
Комментарии
— Гость (20/01/2009 14:47)   <#>
Мне кажется что на уровне протокола стандарт о шифрованном канале передачи файлов отсутствует. Типично (как мне говорили), следующее поведение клиентов: сообщения идут с pgp, а посылаемые файлы – открытым текстом. Впрочем, их можно вручную зашифровать, а потом отослать :) Если кто уточнит спеки на протокол, было бы интересно услышать. Btw, передача файлов через джаббер имеет ряд существенных ограничений, типа как у одного их адресатов должен быть реальный IP или выход через jabber-прокси с реальным IP.
— Гость (25/01/2009 21:26)   <#>
http://psi-im.org/wiki/File_Transfer#Encryption
Psi не шифрует передаваемые файлы.
— Гость (26/12/2013 19:05)   <#>
Давно пора плагин такой написать. К тому же pidgin.
— sentaus (27/12/2013 12:23)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
Если кто уточнит спеки на протокол, было бы интересно услышать.

Нету в xep-0027 шифрования файлов.
— enot22 (11/08/2015 17:08)   профиль/связь   <#>
комментариев: 4   документов: 0   редакций: 0
Может немного не в тему.
Понадобилось мне сегодня импортировать ключевую пару из файла.
gpg --import file
Выскочило окно "дорогого и любимого" pinentry, в который невозможно скопировать пароль, ладно, помучились минут 10 и набрали злосчастный пароль.
Далее привязал я этот ключ к джабеер-аккаунту(клиент пси плюс). Перезапускаю клиент, подключаю аккаунт – и вижу снова я окно pinentry, к вышеозначенной фичи, требующее ручного ввода пароля.


Тут у меня запас нервных клеток кончился и я полез гуглить данную проблему, но способа избавиться от этой чертовой улиты не нашел. Удалить ее тоже не удалишь, т.к. гпг агент не хочет работать.
Поэтому я пришел в сие убежище с вопросом: можно ли как-то подкорректировать работу данной улиты, чтоб она таки позволяла вставлять пароли из буфера обмена либо как ее отключить, чтобы не пострадала функциональность гпг и джаббер-клиента.
З.Ы. Вводить пароли в ручную прошу не советовать, т.к. с такими длиннами я скоро в психушке окажусь.
— SATtva (11/08/2015 17:27)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
man gpg-agent. Настройте его корректный запуск в начале X- или шелл-сессии, как показано там в примерах, и, если надо, измените интервал кэширования парольных фраз.
— enot22 (11/08/2015 18:34, исправлен 11/08/2015 18:51)   профиль/связь   <#>
комментариев: 4   документов: 0   редакций: 0

Сатва, если я правильно понял, то
в /.gnupg/gpg.conf добавляем use-agent (т.е. гпг-агент запускается вместе с иксами)


в /.gnupg/gpg-agent.conf добавляем
pinentry-program /usr/bin/pinentry-x11

no-grab

Переспрашиваю, т.к. переводил гуглом.
P.S. Отредактировал, перезапустил сисмему, включаю джабер. выдает:
Произошла ошибка установки вашего состояния.
Причина: Неизвестная ошибка.
Диагностика:
GPGProc: Pipe setup complete
GPGProc: Running: [gpg --no-tty --enable-special-filenames --status-fd 30 --command-fd 27 --armor --always-trust --default-key 0x535CFC02C1FC438C --detach-sign]
GPGProc: Process started
{BEGIN_SIGNING H8}
GPGProc: Status: Closed (gone)
GPGProc: Process finished: 2
GPGProc: Done
GPG Process Finished: exitStatus=2
stderr: [gpg: подписать не удалось: Нет модуля ввода PIN
gpg: signing failed: Нет модуля ввода PIN
]
GpgAction error: ErrorUnknown

— SATtva (11/08/2015 18:54)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046

Нет. Опция --use-agent в gpg 2.x вообще no-op, она ничего не делает, т.к. агент используется принудительно.

Самый простой способ — добавьте следующую строку в ~/.xsession (создайте файл, если его нет):
eval $(gpg-agent --daemon)

И следующее — в ~/.bashrc:
GPG_TTY=$(tty)
export GPG_TTY
if [ -f "${HOME}/.gpg-agent-info" ]; then
    . "${HOME}/.gpg-agent-info"
    export GPG_AGENT_INFO
    export SSH_AUTH_SOCK
fi


Не надо такого туда добавлять, хотя бы почитайте, зачем нужны эти опции, и есть ли смысл их менять. Если хотите изменить время кэширования пассфраз с дефолтных 10 минут, укажите (в секундах) опциями default-cache-ttl и max-cache-ttl (вторая определяет максимальный срок кэширования, после которого кэш обнуляется, даже если ключ недавно использовался).
— enot22 (11/08/2015 19:39)   профиль/связь   <#>
комментариев: 4   документов: 0   редакций: 0
to SATtva
По опциям. Переводил гуглом, а он переводит не очень корректно.

Добавил, перезапустил систему, но все равно требует ручного ввода пароля, из буфера никак не хочет.
— SATtva (11/08/2015 21:49)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
Вставить из буфера нельзя. Суть этих настроек в том, что пассфраза будет запрашиваться один* раз, затем закэшируется и при последующих применениях ключа будет автоматически браться из кэша.

* На самом деле, может быть запрошена дважды: один раз для ключа подписи, чтобы подписать присутствие в XMPP, и второй раз для шифровального подключа, чтобы расшифровывать входящие сообщения.
— enot22 (11/08/2015 22:10)   профиль/связь   <#>
комментариев: 4   документов: 0   редакций: 0
Не весело.
А может прикрутить pinentry-curses( http://manpages.ubuntu.com/man.....entry-curses.1.html).
Вроде предназначено для консоли:

pinentry-curses implements a PIN entry dialog using the curses tool
kit, meaning that it is useful for users working in text mode without
the X Window System.

Или через эту улиту нельзя работать с жабой?
— SATtva (11/08/2015 22:23, исправлен 11/08/2015 22:23)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046

Один-два раза за сессию ввести пассфразу — это проблема? Если Вы её откуда-то копипастите, то не проще тогда уж сразу вписать её в gpg.conf с опцией passphrase или вообще удалить её с ключа? Я Ваш use-case не понимаю.



И как, интересно, GUI-приложение будет вызывать и отображать консольный pinentry вне терминала? Нет, так не получится.

— pgprubot (12/08/2015 20:40, исправлен 12/08/2015 20:45)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Смысл этой утилиты во всяких там защитах, перехвате управления окнами при вводе пароля (grab windows) и т.д. Это всё целево заточено как костыль для ручного ввода.


Отказаться от такой «услуги» нельзя, а виной всему то, что автор Psi+, мейнтейнер пакета Psi+ или мейнтейнер ещё какого-то промежуточного пакета вдруг внезапно решил, что всем на свете скучно жить, поэтому давайте заменим в зависимостях ветку GnuPG 1.4.x на 2.0. Как следствие, десятки пакетов оказываются сломаны, ещё какие-то работают некорректно, юзеры от души благодарят разработчиков за заботу и трят время на то, чтоб понять, как теперь жить по-новому. Потом будет переход на 2.1 и вся волынка повторится вновь.



Пассфраза кэшируется агентом, и если выставить длительные времена кэширования, её не придётся вводить повторно до перезагрузки компьютера. Т.е. она будет оставаться в памяти и тогда, когда jabber-клиент не запущен.



+1



Раньше это всё как бы уже обсуждали (тип jabber-клиента, думаю, не принципиален).



Если Psi+ запускать из терминала, как там описано, то почему нет?

Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3