<div dir="auto">Hi Caprian,<div dir="auto"><br></div><div dir="auto">I'm not able to answer your main question, but I believe it is you explained. However, regarding the matter in P.S., I'm glad to inform you that such a tool exists. It is called pass [1] and it is fully integrated with GnuPG and Git. So you can backup your password like a Git repository.</div><div dir="auto"><br></div><div dir="auto">There's also Android and iOS implementation of pass.</div><div dir="auto"><br></div><div dir="auto">Hope this helps.</div><div dir="auto"><br></div><div dir="auto">Regards,</div><div dir="auto">Sarun</div><div dir="auto"><br></div><div dir="auto">[1]: <a href="https://www.passwordstore.org">https://www.passwordstore.org</a></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 26 Feb 2019, 17:47 Ciprian Dorin Craciun, <<a href="mailto:ciprian.craciun@gmail.com" target="_blank" rel="noreferrer">ciprian.craciun@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello all!<br>
<br>
Given the recent survey in password managers security [1], which<br>
concluded with their failure to properly sanitize / scrub the<br>
sensitive data (i.e. "master key") in "running locked state", I was<br>
wondering how does GnuPG Agent fare in this regard?<br>
<br>
More specifically:<br>
* let's assume that one uses GnuPG Agent;  (only for PGP;)<br>
* the user enters the password for a particular private key;<br>
* (one assumes that the password was used to get the private key<br>
cryptographic material, and then scrubbed;)<br>
* then `--max-cache-ttl` seconds passes;<br>
* one assumes that the private key cryptographic material is now scrubbed;<br>
<br>
Is this expectation correct?<br>
<br>
<br>
Is there some external analysis about the security of the agent with<br>
regard to the scrubbing of both passwords and cryptographic material?<br>
<br>
Thanks,<br>
Ciprian.<br>
<br>
<br>
[1] <a href="https://www.securityevaluators.com/casestudies/password-manager-hacking/" rel="noreferrer noreferrer noreferrer" target="_blank">https://www.securityevaluators.com/casestudies/password-manager-hacking/</a><br>
<br>
<br>
<br>
<br>
P.S.:  My interest in this subject is because I have a "custom"<br>
password-manager implemented on-top of GnuPG, which I'm sure leaks<br>
passwords all over the place (because it's written in Bash, and uses<br>
various X tools, none made for security).  However I am curios how<br>
"safe" the actual GnuPG agent really is.<br>
<br>
_______________________________________________<br>
Gnupg-users mailing list<br>
<a href="mailto:Gnupg-users@gnupg.org" rel="noreferrer noreferrer" target="_blank">Gnupg-users@gnupg.org</a><br>
<a href="http://lists.gnupg.org/mailman/listinfo/gnupg-users" rel="noreferrer noreferrer noreferrer" target="_blank">http://lists.gnupg.org/mailman/listinfo/gnupg-users</a><br>
</blockquote></div>