tệp mã hóa gpg mà không có tương tác bàn phím [đã đóng]

Tôi đang chạy lệnh tiếp theo trong crontab để mã hóa tệp và tôi không muốn tương tác bàn phím

echo "PASSPHRASE" | gpg --passphrase-fd 0 -r USER --encrypt FILENAME.TXT

nhưng tôi có câu trả lời này:

gpg: C042XXXX: There is no assurance this key belongs to the named user

pub  40XXX/C042XXXX 2012-01-11 Name LastName. (comment) <user@email.com>
 Primary key fingerprint: XXXX XXXX XXXX XXXX XXXX  XXXX XXXX XXXX XXXX XXXX
      Subkey fingerprint: XXXX XXXX XXXX XXXX XXXX  XXXX XXXX XXXX XXXX XXXX

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

Use this key anyway? (y/N) 

Như David đã nói, vấn đề ở đây là gpg không tin tưởng vào khóa công khai mà bạn đang sử dụng để mã hóa. Bạn có thể ký vào chìa khóa như anh ấy giải thích.

Một giải pháp thay thế - đặc biệt nếu khóa có thể thỉnh thoảng thay đổi - sẽ là gắn vào --trust-model always dụng lệnh gpg của bạn.

Đây là thông tin liên quan từ trang người đàn ông:

--trust-model pgp|classic|direct|always|auto

     Set what trust model GnuPG should follow. The models are:

     pgp    This is the Web of Trust combined with trust signatures as used in
            PGP 5.x and later. This is the default trust model when creating a
            new trust database.

     classic
            This is the standard Web of Trust as used in PGP 2.x and earlier.

     direct Key validity is set directly by the user and  not  calculated  via
            the Web of Trust.

     always Skip  key  validation  and  assume that used keys are always fully
            trusted. You generally won't use this unless you  are  using  some
            external  validation  scheme.  This  option  also  suppresses  the
            "[uncertain]" tag printed with signature checks when there  is  no
            evidence that the user ID is bound to the key.

     auto   Select  the  trust  model depending on whatever the internal trust
            database says. This is  the  default  model  if  such  a  database
            already exists.

Đây là giải pháp của tôi, dựa trên gpg2 (nhưng tôi cá là bạn có thể áp dụng kỹ thuật tương tự cho gpg)

$ gpg2 --edit-key {recipient email address}  
> trust
> 5 (select 5 if you ultimately trust the key) 
> save

Điều này sẽ yêu cầu gpg2 tin tưởng hoàn toàn vào khóa để bạn có thể mã hóa mà không cần nhắc

Cách tiếp cận hack:

echo -n PASSPHRASE > phrase
chmod 400 phrase #Make sure ONLY the user running the cron job can read the phrase
yes | gpg --passphrase-fd 3 --recipient USER --encrypt FILENAME.txt 3<phrase

Vấn đề cơ bản là khóa bạn có cho USER chưa được ký. Nếu bạn tin tưởng nó, bạn có thể ký nó bằng

gpg --edit-key USER sign

Nó có thể sẽ hỏi một vài câu hỏi, tùy thuộc vào cấu hình của bạn. Làm điều này một lần, sau đó bạn nên sử dụng crontab của mình. Tôi vẫn khuyên bạn nên sử dụng giải pháp mà tôi đã đề xuất, đặt cụm mật khẩu vào một tệp riêng biệt và làm cho nó chỉ có thể đọc được bởi một người dùng mà lệnh chạy. Nếu bạn làm điều đó, bạn có thể loại bỏ yes |, và chỉ có dòng mã hóa.

Sử dụng lệnh này, nó sẽ giúp bạn

echo "PASSPHRASE" | gpg --passphrase-fd 0 --always-trust -r USER --encrypt FILENAME.TX

Tôi cũng đang chạy vào điều này. Tôi không thể nhận được phím đăng nhập để làm bất cứ điều gì thú vị. Đây là những gì tôi đã làm:

tạo khóa gpg:

gpg --gen-key

lấy ID khóa dài (kết quả ở cột thứ 5):

gpg --list-keys --with-colon name@domain.tld

Thêm dòng khóa đáng tin cậy vào ~ / gnupg / gpg.conf

trusted-key 16DIGITALPHANUMERICKEYID

dòng gpg trong tập lệnh sao lưu:

gpg -e -r name@domain.tld backup_file.tgz

Gỡ lỗi cron: Tôi cũng đang nắm bắt đầu ra cron dubugging bằng cách gửi stdout và stderr đến tệp nhật ký trong dòng lệnh cron. Thật hữu ích khi biết

Tôi giả định rằng giống như tôi, rất nhiều người đến đây vì phần câu hỏi 'không có bàn phím tương tác'. Với gpg2 và gpg-agent, việc ký / mã hóa / giải mã nội dung mà không có bất kỳ tương tác bàn phím nào trở nên khá phức tạp. Đây là cách bạn tạo chữ ký khi cụm mật khẩu khóa cá nhân bản rõ của bạn được lưu trong một tệp văn bản:

cat something_so_sign.xzy | gpg \
    --passphrase-file "plaintext_passphrase.txt" \
    --batch \
    --pinentry-mode loopback \
    -bsa

Thay đổi -b -s -a tùy theo nhu cầu của bạn. Các công tắc khác là bắt buộc. Bạn cũng có thể chỉ cần sử dụng --passphrase 'SECRET'. Như đã chỉ ra, hãy cẩn thận với điều đó. Tất nhiên, các tệp văn bản rõ ràng không tốt hơn nhiều.

Hoặc ký vào chìa khóa (tất nhiên sau khi bạn xác nhận dấu vân tay):

gpg --sign-key <recipient email address>

Sau đó bạn hoàn toàn tin tưởng vào chìa khóa.

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately

Khi bạn tạo một chứng chỉ lần đầu tiên với email-id của bạn, hãy chọn chứng chỉ hoàn toàn tin cậy sau đó bất cứ khi nào bạn mã hóa bất kỳ tệp nào sẽ không đặt câu hỏi như .... để biết thêm thông tin, hãy mở hình ảnh trong liên kết trên.

KHÔNG chắc chắn rằng khóa thuộc về người có tên trong ID người dùng. Nếu bạn thực sự biết mình đang làm gì, bạn có thể trả lời câu hỏi tiếp theo là có.

Vẫn sử dụng khóa này? (y / N)

Một cách tiếp cận khác: Để từ chối quyền truy cập vào dữ liệu nhạy cảm (thay vì mã hóa nó bằng khóa của bên thứ ba), tôi CHỈ tải lên * khóa ** CÔNG KHAI của tôi lên máy chủ mà tôi muốn bảo vệ dữ liệu và sử dụng khóa đó để mã hóa. Điều này phủ nhận sự cần thiết của một lời nhắc tương tác để cung cấp mật khẩu tạo điều kiện tự động hóa và tốt nhất là khóa RIÊNG TƯ không có trong máy chủ công cộng.

gpg --batch --yes --trust-model always -r $YOURPUBKEYEMAILADDRESS -e ./file.txt

Tuy nhiên, nếu KHÔNG mã hóa bằng khóa công khai của riêng bạn, việc sử dụng công tắc --trust-model alwayssẽ hơi phức tạp. Dù sao, một cách khác để giải quyết vấn đề từ chối quyền truy cập vào dữ liệu. HTH- Terrence Houlahan