GPG, Gnome shell et caractères accentués

Tags: #<Tag:0x00007f78bb513458> #<Tag:0x00007f78bb513368>

Bonjour bonjour

Je sollicite votre aide, soit pour trouver un contournement, soit pour faire un ticket aux développeurs concernés…

Voici la situation:
J’utilise password-store comme coffre fort numérique, gestionnaire tout simple, il enregistre des fichiers plats, les chiffre avec GPG et les pousse dans un repo Git.

Je l’ai installé il ya plusieurs mois, sous Debian Buster, tout fonctionne bien. J’ai choisi une passphrase avec des caractères français en majuscules, c’est là la difficulté (par exemple É, que je tape avec le verrou majuscule et la touche 2/é au dessus du clavier.
Je partage le dépot Git sur un autre poste et j’y accède sans souci, en pensant à faire git push / git pull.

Lorsque password-store me demande de déchiffrer le contenu, c’est une fenêtre modale de Gnome-shell qui s’ouvre: plein écran, fond noir avec la petite fenêtre au milieu. (impossible d’en faire une capture désolé)

Depuis que Debian Bullseye est sortie, j’ai mis à jour seulement mon PC portable pour tester et j’ai bien fait:
La fenêtre modale de Gnome shell n’accepte pas les É elle le remplace par é, ceci est visible parce qu’il est possible d’afficher la passphrase avant de valider.

J’ai essayé de copier coller la passphrase en l’ayant préalablement tapée correctement dans un éditeur de texte, ça s’affiche correctement mais est refusé quand même.
(Même chose sous debian Buster pour le copier coller, en revanche on ne peut afficher le contenu en clair, mais la saisie fonctionne bien sûr)

Je voudrais éviter d’être contraint et limité dans le choix de la passphrase pour un simple bug :upside_down_face:

J’ai tenté de faire un ticket chez Gnome je me suis fait rembarrer, ils sont sur Gnome 42 et ne maintiennent plus Gnome 3 de Debian stable (meh)

Un contournement temporaire serait d’avoir la demande de passphrase dans le terminal lorsque j’appelle la CLI de password-store, mais cela posera problème avec les mots de passes utilisés par le navigateur avec l’extension passFF. Je ne vois pas comment le faire non plus.

J’ai longuement regardé comment faire un ticket aux devs Debian, mais ils demandent le paquet incriminé et je ne sais pas lequel c’est…

Et j’ai donc toujours ma machine principale en Buster, le temps passe et elle ne recevra bientôt plus aucune mise à jour de sécurité… il faudrait que je mette à jour.

Auriez-vous des idées de solution ou pour le ticket ?
Merci !

Bonjour

Je n’utilise ni gnome ni password-store,
mais je pense que tu devrais pouvoir comparer les fichiers de configuration de password-store sur les deux versions des systèmes debian, ou/et faire des recherches pour essayer de trouver (peut-être depuis une console en mode texte avec top ou htop) quelle application affiche cette fenêtre modale demandant ce mot de passe. Logiquement, tu devrais trouver les différences qui provoquent cette modification de la saisie du mot de passe.

Hello, merci pour la réponse
d’après la doc, password-store utilise directement GPG avec une clé pour chiffrer (que j’ai créée sur la Buster et importée sur Bullseye).
Les fichiers des mots de passe sont des fichiers texte plats, il n’y a pas de formatage particulier et c’est par Git qu’ils sont recopiés vers la Bullseye.
(Le seul point important pour password-store c’est que le mot de passe soit sur la première ligne du fichier)

Selon moi, la fenêtre modale c’est bien Gnome qui l’affiche, elle en a l’apparence. C’était la même fenêtre pour débloquer le « trousseau » quand je m’en servais. C’est pour cela que j’avais commencé par un ticket chez eux.
J’avoue ne pas être super au point sur les clés et le chiffrement (hormis SSH)

J’espérais pouvoir taper le mot de passe dans le terminal mais je n’ai pas trouvé comment faire, en revanche ton idée de la console est bonne, hors Gnome il n’y aura pas d’autre possibilité que de taper le mot de passe dans la console et voir s’il fonctionne.
Je vais faire ça :slight_smile:

Bon, après divers autres tests:

  • En console, j’ai une fenêtre qui est dessinée, la même que sur Gnome pour la saisie de la passphrase.
    Cela ne fonctionne pas non plus et je n’ai aucun moyen de voir si ma saisie est bonne (la touche Verr Maj n’allume aucun témoin du PC en console alors qu’elle le fait sur le bureau, si ça se trouve ça ne fait pas du tout de majuscules
  • J’ai trouvé une autre manière de faire les caractères majuscules accentués: AltGr + Shift + é par exemple, cela fonctionne aussi avec ç, à, etc.
    J’ai donc testé depuis Gnome, contrairement au verrou majuscule le caractère est bien affiché en majuscule (É et non é) mais la passphrase est refusée également…

J’ai peut-être donc deux problèmes: un problème d’import de la clé GPG sur l’autre PC, c’était la première fois que je le faisais, j’ai trouvé des infos dans la doc de password-store, à tester.

Et un problème d’encodage des caractères dans la fenêtre de saisie qui est probablement gérée par GPG si l’import de la clé ne résoud rien. Je me demande s’il conserve le caractère en majuscule même quand il l’affiche en majuscule. Je ne le saurai qu’après avoir refait l’import de la clé.

Mais je suis preneur d’autres idées si vous avez, entre temps :wink:

C’est fâcheux :slight_smile:
Dans le readme de la page indiquée par vous, on trouve que la page du projet est http://www.passwordstore.org/
Et à cette page on trouve que la paquet Debian s’appelle pass.

Ceci étant, il ne faut pas avoir peur pour utiliser dans une phrase de passe des caractères qui ne sont pas directement accessibles au clavier mais seulement via des combinaisons de touches qui dépendent de l’environnement. Par exemple je n’utiliserais pas comme phrase de passe
Mit freundlichen Grüßen,
et encore moins les pattes de mouches qui suivent à la fin de ce message.

Da,s un environnement ligne de commandes bash avec readline on peut taper un caractère unicode quelconque en tapant Shift Ctrl u (un petit u apparaît ) et le code hexadécimal (point code) du caractère. Par exemple pour faire un E on peut taper
Shift Ctrl u 0045
ou même 45 à la place de 0045 pour le point de code.
Tout ceci est très dépendant du contexte, ici la saisie est faite dans un cadre readline.

Dans votre cas, vous pourriez vérifier si la fenêtre de saisie supporte le collage depuis le presse-papiers

echo "Phrase de passe avec É" |  xsel --clipboard -i

et faites une prière à Saint GNOME pour obtenir une combinaison magique de touches qui réalise un collage fonctionnel.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة


F. Petitjean
Ingénieur civil du Génie Maritime.

« Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » (R. Devos)

« Celui qui, parti de rien, n’est arrivé nulle part n’a de merci à dire à personne !! »
Pierre Dac

1 J'aime

Merci, mais pass utilisant GPG, et Gnome intervenant au milieu pour afficher la fenêtre modale de saisie de la passphrase, ce n’est pas aussi simple que cela.
Et même d’un point de vue Gnome seul, il ya de nombreux composants dans l’histoire: le gestionnaire de fenêtre, l’interface avec GPG, la saisie au clavier, la gestion du presse papiers lors du copier-coller (qui n’était qu’un test pas pratique à utiliser)

J’ai voulu faire confiance, puisque ça ne fonctionnait pas avec Debian Stretch (même comportement qu’en Debian Bullseye, à part l’impossibilité de voir ce qui était saisi en clair) et ça s’est mis à fonctionner avec Buster. Je me suis dit qu’à partir de cette version c’était bon…
La preuve que non, en effet, mais je fais des essais avant de changer de version :slight_smile:

Je vais essayer la méthode avec xsel, pour voir ce que ça peut donner. Sinon changer ma passphrase …
merci :slight_smile: :+1:

Bon, de nouveaux essais d’import sur une Debian 11 complètement vierge montrent que la clé n’est même pas importée, la première saisie de la passphrase à l’import est refusé de la même manière que si j’avais mis n’importe quoi.

J’ai vérifié la saisie, elle apparait bonne mais est refusée quand même.
xsel m’insère un caractère mal encodé à la copie, à la fin. Rien de grave mais à savoir.
Étant donné que sur le premier laptop j’avais pu l’importer (puisque sinon je n’aurais pu mettre le trust en « ultime ») alors qu’il était sous Debian 10, je persiste à dire qu’il y a un problème à la saisie de ces caractères depuis Debian 11 et je ne sais pas où rapporter cela.

Pour me sortir de là, hors de la correction du problème, je pense changer la passphrase si cela se fait sans perdre ce qui a été chiffré avec l’ancienne.
Ça parait bête comme crainte mais ce n’est pas juste des fichiers textes de mon journal intime là xD

L’autre possibilité étant, certes un peu plus risquée, de refaire de zéro une nouvelle clé GPG propre, rechiffrer les fichiers de pass avec (les dernières versions le permettent) et écraser tout ça dans le repo Git, puis révoquer l’ancienne et l’enlever de pass