Descubrí hoy, que enigmail está descifrando un mensaje sin pedirme el PIN de la tarjeta inteligente. Es pedir solo una vez, y luego no preguntar en absoluto.
este es mi gpg-agent.conf:
default-cache-ttl 0
max-cache-ttl 0
no-allow-external-cache
ignore-cache-for-signing
scdaemon.conf:
card-timeout 0
deny-admin
gpg.conf está vacío
gpg (GnuPG) 2.1.16
libgcrypt 1.7.3-beta
El llavero de Gnome está parado. ¿Qué me estoy perdiendo aquí?
He estado investigando esto yo mismo. Deseo que se me solicite ingresar mi PIN cada vez que solicite mi tarjeta inteligente (Yubikey en mi caso) para realizar una operación de firma / cifrado / autenticación. Es posible habilitar este comportamiento para la firma habilitando forcesig hasta gpg2 --card-edit (consulte documentación de GnuPG) ):
forcesig toggle the signature force PIN flag
pero no para las operaciones de encriptación y autenticación.
Esta publicación en la lista de correo de GnuPG por el propio Werner Koch parece implica que la tarjeta inteligente en sí misma está guardando el PIN.
Seguiré investigando esto (tal vez envíe un correo electrónico a la lista de correo de GnuPG) y actualizaré esta respuesta si encuentro más información.