Guten Tag,
an unseren Windows PC (Windows 10) melden sich die Anwender grundsätzlich nur mit SmartCards an. Leider gibt es dabei ein Problem:
Plötzlich können die Anwender sich an ihren gesperrten PC’s nicht mehr anmelden. Nach langer Prüfung haben wir festgestellt, dass der Gnu-smartcardaemon Prozess die Smartcard exclusiv nutzt und somit für Windows sperrt.
Kann mit jemand sagen, wo ich den Daemon abstelle?
Danke und Grüße
Klaus
Hallo Klaus,
die Option ‘disable-scdaemon’ in der gpg-agent.conf sollte beim nächsten Rechner-Start
scdaemon nicht mehr verwenden. (Habe ich allerdings nicht selbst ausprobiert.)
Gruß,
Bernhard
ps.: Gefällt Dir meine Antwort?
→ Unterstütze Gpg4win https://www.gpg4win.de/donate-de.html
pps.: Auf https://www.gpg4win.de/support-de.html gibt es bezahlte Unterstützungsoptionen.
Hallo Bernd,
ich habe gar keine gpg-agent.conf.
Kann wenn, aber auch nur ein Workaround sein, denn wer macht schon ein Exclusiv Zugriff auf eine Smartcard. Das kann nur schief gehen …
Die gpg-agent.conf kann einfach angelegt werden.
(In dem Verzeichnis, in dem GnuPG nach den Konfigurationsdateien sucht.)
Gruß,
Bernhard
Hallo Bernd,
okay, das wäre ja kein Problem. Nur wie gesagt. Das kann nur ein Workaround sein, denn warum will der scdaemon einen Exclusivzugriff auf die Smartcard? Macht keinen Sinn (außer man würde schreibend auf die SC zugreifen). Hinzu kommt, dass der scdaemon nicht einmal einen PIN abfragt, somit der gesamte Smartcard Zugriff vom scdaemon keinen Sinn macht. Oder was will der scdaemon ohne Pinnabfrage auslesen?
Hi,
Ja das ist nur ein Workaround. Wir haben zwei Fälle dazu.
https://bugs.gnupg.org/gnupg/issue2210
https://bugs.kde.org/show_bug.cgi?id=357544
Ein Problem ist das Kleopatra permanent versucht informationen über eine eingesteckte smartcard zu bekommen und somit wohl auslöst das scdaemon die karte blockt.
Der andere Teil des des Problems ist das scdaemon die karte dann blockt. Dies ließe sich aber durch ein kurzes abziehen und neu anstecken der Karte “wokarodunden”. Für den Exklusivzugriff gibt es meine ich gründe. Aber müsste auch nochmal nach diskussionen darüber suchen.
Hi Andre,
auch das Entfernen der Smartcard oder gar des gesamten Lesers, löst das Problem (als Workaround) nicht.
Frage ist doch, wieso überhaupt auf die Smartcard zugegriffen wird, denn die Zertifikate ließen sich auch über den Zertifikatspeicher direkt auslesen.
Jedenfalls sollte ein Lesezugriff niemals exklusiv erfolgen. Der exklusive Zugriff ist nur während eines Schreibvorganges sinnvoll und verlangt dann immer die Benutzer Pinn.
Grüße
Klaus
Auch Microsoft hat den scdaemon als Verursacher identifiziert.
Wird es ein Update geben um das Problem zu beheben?
Hallo Herr Krönert,
übergangsweise können sie den scdaemon ja abschalten.
Mittelfristig werden wir das in die Entwicklungsplanung aufnehmen
(was aber noch keine Verbesserung garantiert, schließlich muss die jemand
beitragen oder finanzieren.)
Viele Grüße,
Bernhard Reiter