Gizli tutarken parola kullanan gpg şifre çözmeyi nasıl otomatikleştirebilirim?

13

Ben cron (veya herhangi bir Ubuntu Server uyumlu iş planlama aracı) kullanarak bir gpg şifre çözme otomatikleştirme ile görevli. Otomatikleştirilmesi gerektiğinden kullandım, --passphraseancak kabuk geçmişinde bitiyor, bu yüzden işlem listesinde görülebilir.

İyi (tercihen büyük) güvenlik standartlarını korurken şifre çözmeyi otomatikleştirmeye nasıl gidebilirim?

Bir örnek çok takdir edilecektir.

ubuntu  security  gpg 
Zakk Coetzee
kaynak
Böyle Argümanlar görülebilir psEğer yoksa vb hidepidüzerinde /proc, ancak bir komut dosyası (cron veya başka bir şekilde) çalıştıran bir kabuk etkileşimli olmayan olup yazma tarih sürece yanlış yapılandırmadığınızdan olmalıdır.
dave_thompson_085

Yanıtlar:

23

Parolayı yalnızca cron işinin kullanıcısı tarafından okunabilen bir dosyada saklayın ve oradaki parolayı okumayı --passphrase-filesöyleme seçeneğini kullanın gpg.

Bu, parolanın bellekteki işlem bilgilerinde görünmemesini sağlar. Güvenlik düzeyi, içeriğinin kopyalandığı her yer de dahil olmak üzere, parolayı depolayan dosyaya erişim düzeyi (ve anahtarı içeren dosyaya erişim düzeyi) tarafından belirlenir, ve çevrimdışı erişilebilirlik (diski sunucudan çıkarmak). Bu güvenlik düzeyinin yeterli olup olmadığı, dosyayı tutan sunucuya erişim denetimlerinize, fiziksel olarak ve yazılımda ve azaltmaya çalıştığınız senaryolara bağlı olacaktır.

Mükemmel güvenlik standartları istiyorsanız , anahtarınızı (ve parolanızı) yerel olarak depolamak yerine bir donanım güvenlik modülü kullanmanız gerekir . Bu, anahtarın yerinde kullanılmasını engellemez, ancak başka bir yerde kopyalanmasını ve kullanılmasını önler.

Stephen Kitt
kaynak
Bu güvenlik için gerçekten tek çözüm olan donanım güvenlik modülünden bahsettiği için +1.
MariusMatutiae
Stephen, donanım güvenlik modülünden bahsettiğim için teşekkürler, biraz araştırma yapacağım. Beni doğru yöne yönlendirdiğiniz için teşekkürler.
Zakk Coetzee
@StephenKitt Donanım anahtarları çalışırken harika.
Yapmadıkları
@ SatōKatsura doğrudur, ancak Yubikey'in bir HSM olmadığını belirtmek isterim. (Bu, HSM'lerin elbette savunmasız olmadığı anlamına gelmez .)
Stephen Kitt
"Mükemmel güvenlik standartları istiyorsanız," otomatik bir iş şifresini çözemez veya hiçbir şeyi imzalayamazsınız.
JimmyB
5

Şifre çözmeyi otomatikleştirmek, parolayı bir yerde saklamanız veya parola kullanmamanız gerektiği anlamına gelir (benim yazarken Stephen tarafından gönderilen diğer cevaba işaret ettiği gibi ek seçenekler kullanmazsanız)! Bunların hiçbiri, iyi veya mükemmel güvenlik standartları gereksiniminize uymuyor.

yani gereksiniminiz güvenli olması ile uyumlu değildir.

Gibi şeylere güvenebilirsiniz - kök olmalısınız, parolamın gerçekten kafa karıştırıcı bir adın saklandığı dosyayı verdim, altta yatan dosya sistemlerini vb. Şifreledim, ancak hepsi katmanlar ilk etapta kök olduktan sonra atlatmak önemsizdir.

Parolanın işlem listesinde görünmesini engelleyen seçenek --passphrase-file <file-name>.

Ancak, bu sadece parolayı kaldırmaktan daha güvenli değildir.

EightBitTony
kaynak
Tony'yi açıkladığınız için teşekkür ederim, konuyla ilgili daha iyi bir görüş verdiniz. Stephen'ın belirttiği gibi bir donanım güvenlik modülü temel amaç olacaktır.
Zakk Coetzee
@ZakkCoetzee: Diğer cevapta söylediğim gibi, saldırganın kök ise HSM'yi kullanmasını engelleyen nedir?
Martin Bonner,
@MartinBonner Yukarıda Stephen Kitt tarafından söylendiği gibi, anahtarı elde etmekten kesinlikle daha iyi olan anahtarı almalarını durdurur.
Zakk Coetzee
Öyle, ama çok daha iyi değil. Diginotar'a (anahtarlarını HSM'de olan, ancak HSM'yi bağlı ve ilgili akıllı kartla birlikte yuvada bırakanlara sorun - böylece bir saldırgan saldırganın birkaç sertifikasını imzalayabilsin.)
Martin Bonner Monica
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.