私の使命は、cron(またはUbuntu Serverと互換性のある作業スケジュールツール)を使用してgpg復号化を自動化することです。自動化しなければならなかったので使いましたが、--passphrase結局シェル履歴に残り、プロセスリストにも見えました。
優れた(できるだけ優れた)セキュリティ標準を維持しながら自動復号化を達成するには?
たとえば、ありがとうございます。
答え1
cronジョブユーザーのみが読み取ることができるファイルにパスワードを保存し、オプションを使用してそのファイルからパスワードを読み取るように--passphrase-file指示します。gpg
これにより、メモリ内のプロセス情報にパスワードが表示されなくなります。セキュリティレベルは、コンテンツが最終的にコピーされる場所(したがってバックアップに注意)を含む、パスワードが保存されているファイルへのアクセスレベル(およびキーを含むファイルへのアクセスレベル)によって異なります。オフラインアクセシビリティ(サーバーからのディスクの移動)このセキュリティレベルが十分であるかどうかは、ファイルが保存されているサーバーへの物理的およびソフトウェアアクセス制御と軽減する状況によって異なります。
優れたセキュリティ標準が必要な場合は、次のものを使用する必要があります。ハードウェアセキュリティモジュールキー(およびパスワード)をローカルに保存する代わりに。これはキーの使用を妨げません。現場でしかし、他の場所でコピーして使用するのを防ぎます。
答え2
自動復号化は、パスワードをどこかに保存する必要があるか使用しないことを意味します(Stephenが私の回答を入力したときに送信した他の回答で指摘されている他のオプションを使用しない限り)!これらのどれも、良好または良好な安全基準の要件を満たしていません。
つまり、お客様の要件はセキュリティと互換性がありません。
次のことに頼ることができます。ルートでなければなりません。私のパスワードが保存されているファイルには非常に混乱した名前を付けました。まず、これらの問題は簡単に回避できます。
プロセスリストにパスワードが表示されないようにするオプションはです--passphrase-file <file-name>。
しかし、これは最初にパスワードを削除するよりも安全ではありません。