LINUX.ORG.RU

Вопросы по gpg

 


0

1

Вопросы по gpg:

gpg (GnuPG) 2.2.20

  • 1)Почему если расшифровывать файл gpg, то первый раз пароль спрашивает, а вот второй и последующие разы запоминает и расшифровывает уже без пароля. Это не безопасно! Зашифровываю я командой gpg -c file.txt
  • 2) gpg первой версии спрашивал пароль текстом, а gpg второй версии спрашивает пароль графическим способом? Можно вернуть текстом?
  • 3) Когда я шифрую файл gpg -c file.txt нужно ли какие-то ключи сохранять из ~/gnupg ? Я всегда был уверен, что если я шифрую фразой паролем, то никакие ключи мне после не нужны, а теперь засомневался. Спрашиваю не просто так, т.к. столкнулся с проблемой, которую уже решил, но чуть не поседел, думал надо какой-то ключ, а тут обычная ошибка gpg:
gpg file.txt.gpg
gpg: Внимание: команда не отдана. Пытаюсь угадать, что имелось в виду ...
gpg: данные зашифрованы алгоритмом AES
gpg: проблема с агентом: Отказано в доступе
gpg: зашифровано одной фразой-паролем
gpg: сбой расшифровки: Нет закрытого ключа

Спасибо.

Почему если расшифровывать файл gpg первый раз пароль спрашивает, а второй и последующие запоминает и расшифровывает уже без пароля зашифровываю командой gpg -c file.txt

Потому что gpg-agent.

gpg первой версии спрашивал пароль текстом, а gpg 2 спрашивает пароль графическим способом? Можно вернуть текстом?

Да, настраивается в ${GNUPG_HOME}/gpg-agent.conf, директива pinentry-program, принимает полный путь, pinentry-tty идёт в комплекте с gpg2.

mord0d ★★★ ()
Ответ на: комментарий от dimagra

Потом ушел с компа

Это твоя проблема, а не проблема софта.

Ну и он запоминается не навечно, а на ограниченное время. Конкретно не помню, но ты можешь найти это в манах.

А если тебе нужно пачкой расшифровать 100500 файлов, ты начнёшь ныть что нет такого режима, где можно ввести passphrase один раз и переиспользовать её на остальные файлы в ограниченное время.

Такой юзкейс реально существует, и многими используется.

mord0d ★★★ ()
Ответ на: комментарий от sparks

До этого топикстартеру ещё предстоит дойти. Пусть вначале локально разберётся. ☺

Кстати, ещё можно пробрасывать сокет не только на удалённый хост, но и другому юзеру, чем я часто пользуюсь.

mord0d ★★★ ()
Последнее исправление: mord0d (всего исправлений: 1)
  1. Да не безопасно, да это дыра, да раньше ее небыло, а в новых версиях пробурили «пользователи которым надо много файлов шифровать»… У тебя еще много дыр, кейлогеров, ptrace… В ядре Linux надо YAMA включать. Секретный ключ паролить. Следить за правами каталога ~/.gnupg ….. Лучше спользовать аппаратную защиту секретного ключа: https://www.nitrokey.com

  2. В gpg.conf есть параметры по умолчанию: хеш, алгоритм,… Их, для расшифровки на другой машине надо вводить с командной строки, если есть разница.

anonymous ()

1. Да не безопасно, да это дыра, да раньше ее небыло, а в новых версиях пробурили «пользователи которым надо много файлов шифровать»... У тебя еще много дыр, кейлогеров, ptrace... В ядре Linux надо YAMA включать. Секретный ключ паролить. Следить за правами каталога ~/.gnupg ..... Лучше использовать аппаратную защиту секретного ключа: https://www.nitrokey.com

3. В gpg.conf есть параметры по умолчанию: хеш, алгоритм,... Их, для расшифровки на другой машине надо вводить с командной строки, если есть разница.

anonymous ()
Ответ на: комментарий от sparks
gpg file.txt.gpg
gpg: Внимание: команда не отдана. Пытаюсь угадать, что имелось в виду ...
gpg: данные зашифрованы алгоритмом AES
gpg: проблема с агентом: Отказано в доступе
gpg: зашифровано одной фразой-паролем
gpg: сбой расшифровки: Нет закрытого ключа

вот именно эта ошибка и вылезла, когда я зашел по ssh, а потом еще через ssh под другим юзером, странно, но при этом пароль не спросило графическим способом, а я сильно перенервничал, подумал, что я как-то не так зашифровал. Раньше текстовым способом спрашивало и не было никаких проблем. Шифрование это конечно хорошо, но потом можно запутаться не расшифровать и потерять данные. Я все время шифровал первой версией gpg и проблем не знал, в ключи даже углубляться не хотел, т.к. этого было достаточно, а тут очень понервничал

dimagra ()
Ответ на: комментарий от dimagra

Моя задача простая, зашифровать файл паролем, как архив с паролем, потом на другом компе через какое-то время расшифровать(может даже через несколько лет), и чтобы потом сюрпризов не было, что gpg поменяли на 3-ю версию, и ей не поддерживается шифрование gpg1-2 версий, или что я банально забыл какие-то ключи записать, которые помимо фразы пароля нужно было скопировать.

Они сделали, чтобы пароль запоминался, но что сложно было вывести подсказку? что пароль сохранен на столько-то секунд, лично меня это очень напрягло.

dimagra ()
Ответ на: комментарий от dimagra

потом на другом компе через какое-то время расшифровать(может даже через несколько лет), и чтобы потом сюрпризов не было, что gpg поменяли на 3-ю версию, и ей не поддерживается шифрование gpg1-2 версий

Гарантию даст только хранение вместе с данными, LiveCD/DVD с теми версиями ПО которые использовались при шифровании данных.

anonymous ()
Ответ на: комментарий от dimagra

или что я банально забыл какие-то ключи записать, которые помимо фразы пароля нужно было скопировать.

Надо записывать хеши, алгоритмы шифрования и компресии:

–digest-algo …

–cipher-algo …

–compress-algo …

anonymous ()

1)Почему если расшифровывать файл gpg, то первый раз пароль спрашивает, а вот второй и последующие разы запоминает и расшифровывает уже без пароля. Это не безопасно!

Выше правильно говорят, это gpg-agent виноват. И да, это небезопасно. Отключается вот этой настройкой в файле ~/.gnupg/gpg-agent.conf:

default-cache-ttl 1
max-cache-ttl 1

2) gpg первой версии спрашивал пароль текстом, а gpg второй версии спрашивает пароль графическим способом? Можно вернуть текстом?

Можно. В том же самом файле прописать allow-loopback-pinentry, далее в ~/.gnupg/gpg.conf добавить строку pinentry-mode loopback. Собственно всё.

3) Надо писать gpg -d file.txt

Не за что.

SM5T001 ()