gpg-agent dice que el agente existe, pero gpg dice que el agente no existe?

Tengo problemas con algunos problemas al crear scripts gpg bashen un cuadro de Debian 6.0.6. Tengo un script que realiza un lote de operaciones y quiere asegurarse de que haya un agente gpg disponible antes de intentar continuar.

Dado que gpg-agent no realizará ninguna acción y devolverá el éxito si se inicia cuando ya se está ejecutando, garantizar que el agente esté presente es tan simple como:

eval $(gpg-agent --daemon)

gpg-agent comenzará o informará:

gpg-agent[21927]: a gpg-agent is already running - not starting a new one

y devuelve 0 (éxito) si ya se está ejecutando.

El problema surge cuando un agente ya se está ejecutando en otra sesión. gpg-agentdice que ya se está ejecutando ... pero gpgluego afirma que no está disponible.

$ gpg-agent --version
gpg-agent (GnuPG) 2.0.19
libgcrypt 1.5.0
$ gpg --version
gpg (GnuPG) 1.4.13

$ eval $(gpg-agent --daemon)
gpg-agent[21927]: a gpg-agent is already running - not starting a new one
$ gpg -d demo-file.asc
gpg: gpg-agent is not available in this session

Esto me deja frustrado y confundido. Parece que gpg-agentestá detectando al agente de una manera diferente a gpg por sí mismo. Peor aún, gpgno ofrece ninguna manera de preguntar si el agente está disponible de manera programable, por mucho que le guste ignorar silenciosamente a los destinatarios con claves inutilizables y aún así devolver el éxito, por lo que es muy difícil detectar este problema antes de comenzar el lote. No quiero entrar en el análisis de la salida de gpg por razones i18n entre otras.

Puede reproducir esto asegurándose de no tener un agente gpg ejecutándose o GPG_AGENT_INFOconfigurado, luego en un terminal ejecutándose eval $(gpg-agent --daemon)y en otro terminal ejecutando lo anterior. Notarás que gpg-agent dice que ya se está ejecutando, pero gpg no se conecta al agente.

Ideas?

ACTUALIZACIÓN : gpg-agentdetecta a otro agente buscando un archivo de socket en una ubicación conocida y escribiéndole para probar la vida, por esto strace:

socket(PF_FILE, SOCK_STREAM, 0)         = 5
connect(5, {sa_family=AF_FILE, sun_path="/home/craig/.gnupg/S.gpg-agent"}, 32) = 0
fcntl(5, F_GETFL)                       = 0x2 (flags O_RDWR)
fcntl(5, F_GETFL)                       = 0x2 (flags O_RDWR)
select(6, [5], NULL, NULL, {0, 0})      = 1 (in [5], left {0, 0})
read(5, "OK Pleased to meet you, process "..., 1002) = 38
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f41a3e61000
write(2, "gpg-agent: gpg-agent running and"..., 43gpg-agent: gpg-agent running and available
) = 43

mientras que GnuPG parece mirar solo el entorno, ignorando la conocida ubicación del socket. En common/simple-pwquery.c:

/* Try to open a connection to the agent, send all options and return
   the file descriptor for the connection.  Return -1 in case of
   error. */
static int
agent_open (int *rfd)
{
  int rc;
  int fd;
  char *infostr, *p;
  struct sockaddr_un client_addr;
  size_t len;
  int prot;
  char line[200];
  int nread;

  *rfd = -1;
  infostr = getenv ( "GPG_AGENT_INFO" );
  if ( !infostr || !*infostr )
    infostr = default_gpg_agent_info;
  if ( !infostr || !*infostr )
    {
#ifdef SPWQ_USE_LOGGING
      log_error (_("gpg-agent is not available in this session\n"));
#endif
      return SPWQ_NO_AGENT;
    }
    /* blah blah blah truncated blah */
}

Realmente no quiero matar al agente solo para asegurarme de que puedo iniciarlo nuevamente, y no hay un lugar estándar donde el agente del usuario pueda escribir un archivo de entorno. Peor aún, ni siquiera puedo probar la presencia GPG_AGENT_INFOen el entorno, ya que eso podría referirse a un agente obsoleto (muerto) que desde entonces ha sido reemplazado ... y gpgtampoco gpg-agentproporcionar una opción de línea de comando para hacer ping al agente y devolver verdadero si es Okay.

1. Puede consultar el código de salida de gpg-connect-agent /bye
2. Puede verificar si el socket dado en $ GPG_AGENT_INFO existe. Eso debería ser suficiente, pero también puede verificar con fuser o lsof si el proceso dado en $ GPG_AGENT_INFO es el que ha abierto el socket. Y si quiere ser realmente exhaustivo, también puede verificar si / proc / $ PID / exe es un enlace a / usr / bin / gpg-agent (o lo que sea).

La versión principal del agente de gpg en ejecución es 2. Debe invocar gpg2 en lugar de gpg como se responde aquí: /unix/231386/how-to-make-gpg-find-gpg-agent

Hasta ahora, la mejor solución que tengo es el siguiente desastre horrible:

if ! test -v GPG_AGENT_INFO; then
    if gpg-agent 2>/dev/null; then
        if test -e /tmp/.gpg-agent-$USER/env; then
            . /tmp/.gpg-agent-$USER/env
        elif test -e ~/.gpg-agent-info; then
            . ~/.gpg-agent-info
        else
            echo 'A gpg agent is running, but we cannot find its socket info because'
            echo 'the GPG_AGENT_INFO env var is not set and gpg agent info has not been'
            echo 'written to any expected location. Cannot continue. Please report this'
            echo 'issue for investigation.'
            exit 5
        fi
    else
        mkdir /tmp/.gpg-agent-$USER
        chmod 700 /tmp/.gpg-agent-$USER
        gpg-agent --daemon --write-env-file /tmp/.gpg-agent-$USER/env
        . /tmp/.gpg-agent-$USER/env
    fi
    # The env file doesn't include an export statement
    export GPG_AGENT_INFO
else
    if ! gpg-agent 2>/dev/null; then
        echo 'GPG_AGENT_INFO is set, but cannot connect to the agent.'
        echo 'Unsure how to proceed, so aborting execution. Please report this'
        echo 'issue for investigation.'
        exit 5
    fi
fi

Esto verificará GPG_AGENT_INFOen el entorno y si está configurado, asegúrese de que gpg-agent se esté ejecutando realmente. (Todavía no estoy seguro de cómo interactúa esto con otras implementaciones de agentes gpg como el agente de GNOME). Si la información del agente está configurada pero el agente no se está ejecutando, no sabe cómo hacer frente y se da por vencido.

Si la información del agente no está configurada, verifica si el agente se está ejecutando. Si es así, busca la información ambiental en un par de ubicaciones conocidas y, si no la encuentra, se da por vencida.

Si el agente no se está ejecutando y la información del agente no está configurada, inicia un agente, escribe el archivo env en una ubicación privada y continúa.

Decir que no estoy satisfecho con este truco horrible, hostil para el usuario y poco confiable es un eufemismo.

Es muy sorprendente que gpg, una herramienta de seguridad / criptografía, ignore los argumentos y continúe. --use-agentdebería ser un error grave si un agente no se está ejecutando, al menos opcionalmente, ya que especificar -rcon un destinatario no válido debería ser un error en lugar de ignorarse. El hecho de que gpgencuentre a su agente de una manera diferente al gpg-agentcomando es desconcertante.

En mi sistema Ubuntu gpg-agentestá configurado para escribir su archivo de entorno ~/.gnupg/gpg-agent-info-$(hostname)(que se hace por /etc/X11/Xsession.d/90gpg-agent). Si su sistema no hace esto, puede modificar la forma en que se inicia el agente para escribir un archivo de entorno en una ubicación conocida que luego se puede obtener. Por ejemplo:

$ gpg-agent --daemon --write-env-file="$HOME/.gnupg/gpg-agent-info"
$ source ~/.gnupg/gpg-agent-info