gpg зашифрувати файл без взаємодії з клавіатурою [закрито]

Я запускаю наступну команду в crontab для шифрування файлу, і я не хочу взаємодії з клавіатурою

echo "PASSPHRASE" | gpg --passphrase-fd 0 -r USER --encrypt FILENAME.TXT

але я маю таку відповідь:

gpg: C042XXXX: There is no assurance this key belongs to the named user

pub  40XXX/C042XXXX 2012-01-11 Name LastName. (comment) <user@email.com>
 Primary key fingerprint: XXXX XXXX XXXX XXXX XXXX  XXXX XXXX XXXX XXXX XXXX
      Subkey fingerprint: XXXX XXXX XXXX XXXX XXXX  XXXX XXXX XXXX XXXX XXXX

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

Use this key anyway? (y/N) 

Як нагадав Девід, проблема тут полягає в тому, що gpg не довіряє відкритому ключу, який ви використовуєте для шифрування. Ви можете підписати ключ, як він пояснив.

Альтернативою - особливо якщо ключ може мінятись час від часу - буде вирішення --trust-model always до вашої команди gpg.

Ось відповідний біт з довідкової сторінки:

--trust-model pgp|classic|direct|always|auto

     Set what trust model GnuPG should follow. The models are:

     pgp    This is the Web of Trust combined with trust signatures as used in
            PGP 5.x and later. This is the default trust model when creating a
            new trust database.

     classic
            This is the standard Web of Trust as used in PGP 2.x and earlier.

     direct Key validity is set directly by the user and  not  calculated  via
            the Web of Trust.

     always Skip  key  validation  and  assume that used keys are always fully
            trusted. You generally won't use this unless you  are  using  some
            external  validation  scheme.  This  option  also  suppresses  the
            "[uncertain]" tag printed with signature checks when there  is  no
            evidence that the user ID is bound to the key.

     auto   Select  the  trust  model depending on whatever the internal trust
            database says. This is  the  default  model  if  such  a  database
            already exists.

Ось моє рішення, засноване на gpg2 (але я впевнений, що ви можете застосувати подібний прийом до gpg)

$ gpg2 --edit-key {recipient email address}  
> trust
> 5 (select 5 if you ultimately trust the key) 
> save

Це скаже gpg2 повністю довіряти ключу, щоб ви могли шифрувати без запиту

Хакерський підхід:

echo -n PASSPHRASE > phrase
chmod 400 phrase #Make sure ONLY the user running the cron job can read the phrase
yes | gpg --passphrase-fd 3 --recipient USER --encrypt FILENAME.txt 3<phrase

Основна проблема полягає в тому, що ключ, який ви маєте для USER, не підписаний. Якщо ви йому довіряєте, можете підписати

gpg --edit-key USER sign

Можливо, він задасть кілька запитань, залежно від вашої конфігурації. Зробіть це один раз, тоді вам повинно бути добре зайти у ваш crontab. Я все одно рекомендую використовувати запропоноване рішення, помістивши парольну фразу в окремий файл і зробивши її доступною для читання лише тим користувачем, який виконує команду як. Якщо ви зробите це, ви можете вбити yes |і просто мати рядок шифрування.

Використовуйте цю команду, вона вам допоможе

echo "PASSPHRASE" | gpg --passphrase-fd 0 --always-trust -r USER --encrypt FILENAME.TX

Я теж стикався з цим. Я не міг отримати ключ-знак, щоб зробити щось цікаве. Ось що я зробив:

створити ключ gpg:

gpg --gen-key

отримати довгий ідентифікатор ключа (результат у 5-му стовпці):

gpg --list-keys --with-colon name@domain.tld

Додайте надійний ключовий рядок до ~ / gnupg / gpg.conf

trusted-key 16DIGITALPHANUMERICKEYID

gpg-рядок у сценарії резервного копіювання:

gpg -e -r name@domain.tld backup_file.tgz

Налагодження cron: я також фіксую вихідні дані дублювання cron, надсилаючи stdout і stderr у файл журналу в командному рядку cron. Це корисно знати

Я припускаю, що, як і я, багато людей приходять сюди для того, щоб відповісти на питання "без взаємодії з клавіатурою". З gpg2 та gpg-agent стало досить складно підписувати / шифрувати / розшифровувати речі без будь-якої взаємодії з клавіатурою. Ось як ви могли б створити підпис, коли ваша парольна фраза відкритого тексту зберігається у текстовому файлі:

cat something_so_sign.xzy | gpg \
    --passphrase-file "plaintext_passphrase.txt" \
    --batch \
    --pinentry-mode loopback \
    -bsa

Змінюйте -b -s -a залежно від ваших потреб. Інші вимикачі є обов’язковими. Ви також можете просто використовувати --passphrase 'SECRET'. Як уже зазначалося, будьте обережні з цим. Текстові файли з відкритим текстом, звичайно, не набагато кращі.

Або підпишіть ключ (звичайно, після того, як ви підтвердили свій відбиток):

gpg --sign-key <recipient email address>

Після цього ви повністю довіряєте ключу.

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately

Коли ви створюєте сертифікат вперше за допомогою свого ідентифікатора електронної пошти, виберіть повністю надійний сертифікат, тоді кожен раз, коли ви зашифруєте будь-який файл, не буде задаватися питання типу .... для отримання додаткової інформації відкрийте зображення у верхньому посиланні.

НЕ впевнено, що ключ належить особі, вказаній в ідентифікаторі користувача. Якщо ви дійсно знаєте, що робите, можете відповісти на наступне запитання так.

Усе одно використовувати цей ключ? (р / н)

Інший підхід: щоб заборонити доступ до конфіденційних даних (а не шифрувати їх за допомогою сторонніх ключів), я завантажую ТІЛЬКИ * свій ** ПУБЛІЧНИЙ ключ на сервер, на якому я хочу захистити дані, і використовую цей ключ для шифрування. Це заперечує необхідність інтерактивного підказки для введення пароля, що полегшує автоматизацію, і найкраще, ключ PRIVATE - крім загальнодоступного сервера.

gpg --batch --yes --trust-model always -r $YOURPUBKEYEMAILADDRESS -e ./file.txt

Однак, якщо НЕ шифрувати за допомогою власного відкритого ключа, використання перемикача --trust-model alwaysтрохи важке. У будь-якому випадку, інший спосіб вирішення проблеми відмови у доступі до даних. HTH- Терренс Хоулахан