Вопросы по gpg

запускается агент, который хранит кешированный пароль какоето время

Почему если расшифровывать файл gpg первый раз пароль спрашивает, а второй и последующие запоминает и расшифровывает уже без пароля зашифровываю командой gpg -c file.txt

Потому что gpg-agent.

gpg первой версии спрашивал пароль текстом, а gpg 2 спрашивает пароль графическим способом? Можно вернуть текстом?

Да, настраивается в ${GNUPG_HOME}/gpg-agent.conf, директива pinentry-program, принимает полный путь, pinentry-tty идёт в комплекте с gpg2.

Так это не безопасно, Допустим я проверил файл и удалил оригинал, а оставил зашифрованный. Потом ушел с компа, пришел кто-то другой и расшифровал.

Потом ушел с компа

Это твоя проблема, а не проблема софта.

Ну и он запоминается не навечно, а на ограниченное время. Конкретно не помню, но ты можешь найти это в манах.

А если тебе нужно пачкой расшифровать 100500 файлов, ты начнёшь ныть что нет такого режима, где можно ввести passphrase один раз и переиспользовать её на остальные файлы в ограниченное время.

Такой юзкейс реально существует, и многими используется.

Ещё это позволяет использовать пробрасывать сокет gpg на удалённую систему по ssh и шифровать там, что тоже круто

До этого топикстартеру ещё предстоит дойти. Пусть вначале локально разберётся. ☺

Кстати, ещё можно пробрасывать сокет не только на удалённый хост, но и другому юзеру, чем я часто пользуюсь.

1. Да не безопасно, да это дыра, да раньше ее небыло, а в новых версиях пробурили «пользователи которым надо много файлов шифровать»… У тебя еще много дыр, кейлогеров, ptrace… В ядре Linux надо YAMA включать. Секретный ключ паролить. Следить за правами каталога ~/.gnupg ….. Лучше спользовать аппаратную защиту секретного ключа: https://www.nitrokey.com

2. В gpg.conf есть параметры по умолчанию: хеш, алгоритм,… Их, для расшифровки на другой машине надо вводить с командной строки, если есть разница.

1. Да не безопасно, да это дыра, да раньше ее небыло, а в новых версиях пробурили «пользователи которым надо много файлов шифровать»... У тебя еще много дыр, кейлогеров, ptrace... В ядре Linux надо YAMA включать. Секретный ключ паролить. Следить за правами каталога ~/.gnupg ..... Лучше использовать аппаратную защиту секретного ключа: https://www.nitrokey.com

3. В gpg.conf есть параметры по умолчанию: хеш, алгоритм,... Их, для расшифровки на другой машине надо вводить с командной строки, если есть разница.

gpg file.txt.gpg
gpg: Внимание: команда не отдана. Пытаюсь угадать, что имелось в виду ...
gpg: данные зашифрованы алгоритмом AES
gpg: проблема с агентом: Отказано в доступе
gpg: зашифровано одной фразой-паролем
gpg: сбой расшифровки: Нет закрытого ключа

вот именно эта ошибка и вылезла, когда я зашел по ssh, а потом еще через ssh под другим юзером, странно, но при этом пароль не спросило графическим способом, а я сильно перенервничал, подумал, что я как-то не так зашифровал. Раньше текстовым способом спрашивало и не было никаких проблем. Шифрование это конечно хорошо, но потом можно запутаться не расшифровать и потерять данные. Я все время шифровал первой версией gpg и проблем не знал, в ключи даже углубляться не хотел, т.к. этого было достаточно, а тут очень понервничал

Моя задача простая, зашифровать файл паролем, как архив с паролем, потом на другом компе через какое-то время расшифровать(может даже через несколько лет), и чтобы потом сюрпризов не было, что gpg поменяли на 3-ю версию, и ей не поддерживается шифрование gpg1-2 версий, или что я банально забыл какие-то ключи записать, которые помимо фразы пароля нужно было скопировать.

Они сделали, чтобы пароль запоминался, но что сложно было вывести подсказку? что пароль сохранен на столько-то секунд, лично меня это очень напрягло.

потом на другом компе через какое-то время расшифровать(может даже через несколько лет), и чтобы потом сюрпризов не было, что gpg поменяли на 3-ю версию, и ей не поддерживается шифрование gpg1-2 версий

Гарантию даст только хранение вместе с данными, LiveCD/DVD с теми версиями ПО которые использовались при шифровании данных.

или что я банально забыл какие-то ключи записать, которые помимо фразы пароля нужно было скопировать.

Надо записывать хеши, алгоритмы шифрования и компресии:

–digest-algo …

–cipher-algo …

–compress-algo …

1)Почему если расшифровывать файл gpg, то первый раз пароль спрашивает, а вот второй и последующие разы запоминает и расшифровывает уже без пароля. Это не безопасно!

Выше правильно говорят, это gpg-agent виноват. И да, это небезопасно. Отключается вот этой настройкой в файле ~/.gnupg/gpg-agent.conf:

default-cache-ttl 1
max-cache-ttl 1

2) gpg первой версии спрашивал пароль текстом, а gpg второй версии спрашивает пароль графическим способом? Можно вернуть текстом?

Можно. В том же самом файле прописать allow-loopback-pinentry, далее в ~/.gnupg/gpg.conf добавить строку pinentry-mode loopback. Собственно всё.

3) Надо писать gpg -d file.txt

Не за что.