Если кто-то может вклиниваться в момент редактирования на локальной машине, то ты уже проиграл — далее все бесполезно.

Только отдельным устройством, куда не вклинятся.

Если редактирование выполняется в Vim, то есть vim-gnupg. С ним расшифрованный файл есть только в памяти и меньше геморроя с шифрованием.

Спасибо!

Если файл небольшой, то в расшифрованном виде его можно хранить в оперативной памяти без записи на жесткий диск. Но едва ли это можно назвать защитой, скорее дополнительным препятствием для возможных злоумышленников, если они имеют контроль над компьютером.

0) Фиксируем модель безопасности, определяем список угроз, от которых хотим защититься.

1) Защищаемся от них.

Например, если мы хотим защититься от зловреда (человека или программы) с правами того же пользователя, что владелец шифрованного файла, нас спасёт разве что мандатный контроль прав доступа от МСВС или помещение всего и вся в песочницы. А не шифрование.

Если нужна серьезная безопасность - то это только интранет, ограниченный персонифицированный доступ и отдельное помещение.

Все остальное - игра в орлянку с разной степенью вероятности

Погугли по слову Blockchain. Подумай как реализовать цепочку подписей в твоем случае. Если это действительно важно.

Держать в памяти (открывая какой-нибудь in-memory редактор), или, проще, расшифровывать в tmpfs. Тогда данные даже не коснутся ПЗУ.

Поставь на файл ярлык эксплорера, ща бы не шарить, неосилятор

Редактировать sed-ом

gpg -d current.gpg | sed -e '...' | gpg -e >new.gpg