Entrada de frase de contraseña GnuPG y X11 sniffing

10

Cada vez que ingrese mi contraseña en pinentry-gtk-2 , cualquier otra aplicación X11 puede olerla, como se ve en

$ xinput test-xi2

ejecutándose en segundo plano.

¿Qué se puede hacer al respecto?

O tengo que confiar en cientos de procesos diferentes que se ejecutan bajo mi cuenta (*) a no X11-sniff mi frase de contraseña cuando la estoy escribiendo y no enviar mi directorio ~/.gnupg/ junto con él a través de Internet a algún adversario?

(*) Aquí, no estoy considerando un keylogger casi de hardware que se ejecute como root muy cerca del kernel, ya que no se puede hacer mucho al respecto. Hablo de aplicaciones regulares de usuario, como Skype de código cerrado o Insync .

    
pregunta Michal Rus 04.07.2015 - 12:47
fuente

1 respuesta

3

La mejor solución es ejecutar su sesión como usuario SELinux user_u o staff_u , lo que aplicará de manera mucho más estricta la comunicación entre procesos entre otras aplicaciones y la aplicación de entrada de pin, que se ejecuta en el dominio gpg_pinentry_t .

De forma predeterminada, los usuarios se asignan a unconfined_u , lo que ofrece alguna protección, pero no tanto como si tuviera que ejecutar cosas como user_u (por ejemplo, notará que la mayoría de las cosas se ejecuta como unconfined_t , pero los complementos de Firefox se ejecutan como mozilla_plugin_t ).

Para paranoia extra alta, puede probar Qubes OS que resuelve precisamente este problema, pero requiere acostumbrarse a la restricciones que impone a su entorno de trabajo.

    
respondido por el mricon 04.07.2015 - 19:38
fuente

Lea otras preguntas en las etiquetas