키보드 상호 작용없이 gpg 암호화 파일 [닫기]

crontab 내에서 다음 명령을 실행하여 파일을 암호화하고 키보드 상호 작용을 원하지 않습니다.

echo "PASSPHRASE" | gpg --passphrase-fd 0 -r USER --encrypt FILENAME.TXT

하지만이 대답이 있습니다.

gpg: C042XXXX: There is no assurance this key belongs to the named user

pub  40XXX/C042XXXX 2012-01-11 Name LastName. (comment) <user@email.com>
 Primary key fingerprint: XXXX XXXX XXXX XXXX XXXX  XXXX XXXX XXXX XXXX XXXX
      Subkey fingerprint: XXXX XXXX XXXX XXXX XXXX  XXXX XXXX XXXX XXXX XXXX

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

Use this key anyway? (y/N) 

David가 말했듯이 여기서 문제는 gpg가 암호화에 사용하는 공개 키를 신뢰하지 않는다는 것입니다. 그가 설명한대로 열쇠에 서명 할 수 있습니다.

대안 (특히 키가 가끔 변경 될 수있는 경우)은 --trust-model alwaysgpg 명령을 사용하는 것입니다.

다음은 man 페이지의 관련 부분입니다.

--trust-model pgp|classic|direct|always|auto

     Set what trust model GnuPG should follow. The models are:

     pgp    This is the Web of Trust combined with trust signatures as used in
            PGP 5.x and later. This is the default trust model when creating a
            new trust database.

     classic
            This is the standard Web of Trust as used in PGP 2.x and earlier.

     direct Key validity is set directly by the user and  not  calculated  via
            the Web of Trust.

     always Skip  key  validation  and  assume that used keys are always fully
            trusted. You generally won't use this unless you  are  using  some
            external  validation  scheme.  This  option  also  suppresses  the
            "[uncertain]" tag printed with signature checks when there  is  no
            evidence that the user ID is bound to the key.

     auto   Select  the  trust  model depending on whatever the internal trust
            database says. This is  the  default  model  if  such  a  database
            already exists.

다음은 gpg2를 기반으로 한 내 솔루션입니다 (하지만 비슷한 기술을 gpg에 적용 할 수 있다고 확신합니다)

$ gpg2 --edit-key {recipient email address}  
> trust
> 5 (select 5 if you ultimately trust the key) 
> save

이것은 gpg2에게 키를 완전히 신뢰하도록 지시하므로 프롬프트없이 암호화 할 수 있습니다.

해킹 접근 방식 :

echo -n PASSPHRASE > phrase
chmod 400 phrase #Make sure ONLY the user running the cron job can read the phrase
yes | gpg --passphrase-fd 3 --recipient USER --encrypt FILENAME.txt 3<phrase

근본적인 문제는 USER에 대한 키가 서명되지 않았다는 것입니다. 신뢰할 수있는 경우 다음으로 서명 할 수 있습니다.

gpg --edit-key USER sign

구성에 따라 몇 가지 질문이있을 것입니다. 이 작업을 한 번 수행하면 crontab으로 이동하는 것이 좋습니다. 내가 제안한 솔루션을 사용하여 암호를 별도의 파일에 넣고 명령이 실행되는 한 명의 사용자 만 읽을 수 있도록하는 것이 좋습니다. 그렇게하면을 죽이고 yes |암호화 라인을 가질 수 있습니다 .

이 명령을 사용하면 도움이 될 것입니다.

echo "PASSPHRASE" | gpg --passphrase-fd 0 --always-trust -r USER --encrypt FILENAME.TX

나도 이것에 부딪쳤다. 흥미로운 일을 할 수있는 사인 키를 얻을 수 없었습니다. 내가 한 일은 다음과 같습니다.

gpg 키를 만듭니다.

gpg --gen-key

긴 키 ID 가져 오기 (결과는 5 번째 열에 있음) :

gpg --list-keys --with-colon name@domain.tld

~ / gnupg / gpg.conf에 신뢰할 수있는 키 줄 추가

trusted-key 16DIGITALPHANUMERICKEYID

백업 스크립트의 gpg 라인 :

gpg -e -r name@domain.tld backup_file.tgz

cron 디버깅 : 또한 cron 명령 줄의 로그 파일에 stdout 및 stderr를 전송하여 cron 더 버깅 출력을 캡처하고 있습니다. 알아두면 도움이됩니다

저는 저처럼 많은 사람들이 질문의 '키보드 상호 작용없이'부분을 위해 여기에 온다고 생각합니다. gpg2 및 gpg-agent를 사용하면 키보드 상호 작용없이 항목을 서명 / 암호화 / 암호 해독하는 것이 매우 복잡해졌습니다. 일반 텍스트 개인 키 암호를 텍스트 파일에 저장할 때 서명을 만드는 방법은 다음과 같습니다.

cat something_so_sign.xzy | gpg \
    --passphrase-file "plaintext_passphrase.txt" \
    --batch \
    --pinentry-mode loopback \
    -bsa

필요에 따라 -b -s -a를 변경하십시오. 다른 스위치는 필수입니다. 그냥 사용할 수도 있습니다 --passphrase 'SECRET'. 이미 지적했듯이 조심하십시오. 물론 일반 텍스트 파일은 그다지 좋지 않습니다.

또는 키에 서명하십시오 (물론 지문을 확인한 후) :

gpg --sign-key <recipient email address>

그 후에는 키를 완전히 신뢰합니다.

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately

이메일 ID로 처음으로 인증서를 만들 때 완전히 신뢰할 수있는 인증서를 선택한 다음 파일을 암호화 할 때마다 질문을하지 않을 것입니다.

키가 사용자 ID에 이름이 지정된 사람에게 속하는지 확실하지 않습니다. 당신이하고있는 일 을 정말로 알고 있다면 , 다음 질문에 예라고 대답 할 수 있습니다.

그래도이 키를 사용 하시겠습니까? (y / N)

다른 접근 방식 : 민감한 데이터에 대한 액세스 를 거부 하기 위해 (타사 키를 사용하여 암호화하는 대신) ** PUBLIC 키만 * 데이터를 보호하려는 서버에 업로드하고 해당 키를 사용하여 암호화합니다. 이것은 자동화를 촉진하는 암호를 제공하기위한 대화 형 프롬프트의 필요성을 없애 주며 무엇보다도 PRIVATE 키는 공용 서버와 분리되어 있습니다.

gpg --batch --yes --trust-model always -r $YOURPUBKEYEMAILADDRESS -e ./file.txt

그러나 자신의 공개 키로 암호화 하지 스위치 사용이 --trust-model always약간 복잡합니다. 어쨌든 데이터에 대한 액세스를 거부하는 문제를 해결하는 다른 방법입니다. HTH- 테렌스 훌라 한