gpg ขอรหัสผ่านแม้จะมี - passphrase

ฉันคาดว่าคำสั่งต่อไปนี้เพื่อแยกไฟล์ gpg โดยไม่ต้องขอรหัสผ่าน:

  gpg --passphrase 1234 file.gpg

แต่จะขอรหัสผ่าน ทำไม?

สิ่งนี้มีพฤติกรรมเหมือนกัน:

  gpg --passphrase-file passfile.txt file.gpg

ฉันใช้ Ubuntu กับ gnome 3 และจำไว้ว่ามันทำงานใน Fedora

ฉันอยู่ในเรือลำเดียวกันของคุณ (ใช้ได้กับ Fedora แต่ไม่ใช่ Ubuntu) นี่คือการทำงานที่ชัดเจนรอบตัวฉันค้นพบ:

echo your_password | gpg --batch --yes --passphrase-fd 0 your_file.gpg

คำอธิบาย: การส่งผ่าน0ทำให้เกิด--passphrase-fdการอ่านจาก STDIN มากกว่าจากไฟล์ ดังนั้นการวางข้อความรหัสผ่านจะได้รับ--passphrase-fdการยอมรับสตริงรหัสผ่านที่คุณระบุ

อัปเกรดแล้ว 2017-12-04 (การเพิ่ม - แบทช์เพื่อป้องกันข้อความรหัสผ่าน)

คุณอาจต้องเพิ่ม--batchตัวเลือก:

จากเวอร์ชัน 2 ของจำเป็นต้องมีGPGตัวเลือก--batchเพื่อให้แน่ใจว่าไม่มีพร้อมท์ ...

$ gpg --version
gpg (GnuPG) 2.1.18
libgcrypt 1.7.6-beta
Copyright (C) 2017 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /home/user /.gnupg
Supported algorithms:
Pubkey: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
        CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2

พยายาม:

$ newdir=$(mktemp -d)
$ cd $newdir
$ seq 1 10 | gpg -c --batch --passphrase 1234 -o file.gpg -
$ ls -ltr
total 4
-rw-r--r-- 1 user  user  91 Dec  4 15:42 file.gpg
$ hd file.gpg 
00000000  8c 0d 04 07 03 02 ea fa  d0 d3 2b 9a ea 06 df d2  |..........+.....|
00000010  4a 01 ed 50 74 ff 27 45  0e 6c 94 74 db e9 8a a5  |J..Pt.'E.l.t....|
00000020  03 9f 67 a0 73 97 e9 15  6b 56 a0 f0 88 71 85 a8  |..g.s...kV...q..|
00000030  dc 41 71 9f fa 3b f9 9d  af ac 80 eb f4 f7 28 19  |.Aq..;........(.|
00000040  9f be 75 47 e6 d8 00 3e  f6 60 f1 00 5e 63 57 ef  |..uG...>.`..^cW.|
00000050  14 c3 4b 20 ff 94 03 03  c1 fc 98                 |..K .......|
0000005b

เสียงดี! ตอนนี้ดี:

$ gpg -d --batch --passphrase 1234 file.gpg
gpg: AES encrypted data
gpg: encrypted with 1 passphrase
1
2
3
4
5
6
7
8
9
10

ในขณะที่ไม่มี-dพารามิเตอร์ที่กำหนด (syntaxe เดียวกับคำถามของ SO) ถอดรหัสข้อมูลจากจะถูกแยกไปอยู่ที่ใหม่file.gpgfile

$ gpg --batch --passphrase 1234 file.gpg
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
gpg: AES encrypted data
gpg: encrypted with 1 passphrase

$ ls -ltr
total 8
-rw-r--r-- 1 user  user  91 Dec  4 15:42 file.gpg
-rw-r--r-- 1 user  user  21 Dec  4 15:44 file

$ cat file
1
2
3
4
5
6
7
8
9
10

มันใช้งานได้ดี!

$ cd -
$ rm -fR $newdir
$ unset newdir

สำหรับรุ่น gpg 2.x คุณไม่จำเป็นต้องใช้--batchเพียง

--pinentry-mode loopback  

ทำงานร่วมกับ--passphrase& --passphrase-fileและจะให้คุณป้อนข้อมูลใหม่ในกรณีที่ชื่อไฟล์ขัดแย้งกัน:

gpg --pinentry-mode loopback --passphrase-file=file encrypted.gpg

...
File 'encrypted' exists. Overwrite? (y/N)n
Enter new filename: f2

ไม่เหมือน--batchที่จะล้มเหลวอย่างรวดเร็วพูด...failed: File exists

(ทดสอบกับ gpg Debian Stable / Stretch ของ 2.1.18 พฤติกรรมการละเลย--passphraseตัวเลือกที่สำคัญนี้ควรเป็นข้อผิดพลาดหากยังไม่ได้ดำเนินการ)

ดูเหมือนว่าคุณกำลังใช้ gpg2 คุณต้องโยน--batchตัวเลือกเช่นกัน (หากคุณวางแผนที่จะเพิ่มสิ่งนี้ลงในสคริปต์คุณจะต้องเพิ่มเข้าไปด้วย--no-ttyและอาจจะ--yes)

สำหรับฉันการเพิ่ม "- no-use-agent" แก้ไขสิ่งนี้สำหรับ "gpg (GnuPG) 1.4.16":

date > foo
echo pass > passphrase
# w/o --no-use-agent
> rm -f foo.gpg; gpg --cipher-algo aes256 --output foo.gpg --passphrase-file ./passphrase --batch --yes --symmetric foo
gpg: gpg-agent is not available in this session
gpg: can't query passphrase in batch mode
gpg: error creating passphrase: invalid passphrase
gpg: symmetric encryption of `foo' failed: invalid passphrase


> rm -f foo.gpg; gpg --cipher-algo aes256 --output foo.gpg --passphrase-file ./passphrase --batch --yes --no-use-agent --symmetric foo
> ls -al
total 20
drwxr-xr-x  2 root root 4096 Aug 22 13:59 .
drwx------ 18 root root 4096 Aug 22 13:58 ..
-rw-r--r--  1 root root   30 Aug 22 13:58 foo
-rw-r--r--  1 root root  103 Aug 22 13:59 foo.gpg
-rw-r--r--  1 root root    5 Aug 22 13:58 passphrase

หากใช้ gpg (GnuPG) 2.2.7 ตามหน้า man,

- passphrase-fd n

อ่านข้อความรหัสผ่านจากตัวอธิบายไฟล์ n เฉพาะบรรทัดแรกเท่านั้นที่จะอ่านจาก file descriptor n หากคุณใช้ 0 สำหรับ n ข้อความรหัสผ่านจะถูกอ่านจาก STDIN สามารถใช้งานได้ก็ต่อเมื่อมีการจัดส่งวลีรหัสผ่านเดียวเท่านั้น

- ข้ามไฟล์ไฟล์

อ่านข้อความรหัสผ่านจากไฟล์ไฟล์ เฉพาะบรรทัดแรกเท่านั้นที่จะอ่านจากไฟล์ไฟล์ สามารถใช้งานได้ก็ต่อเมื่อมีการจัดส่งวลีรหัสผ่านเดียวเท่านั้น เห็นได้ชัดว่าข้อความรหัสผ่านที่เก็บไว้ในไฟล์นั้นมีความปลอดภัยที่น่าสงสัยหากผู้ใช้รายอื่นสามารถอ่านไฟล์นี้ได้ อย่าใช้ตัวเลือกนี้หากคุณสามารถหลีกเลี่ยงได้

- วลีรหัสผ่าน

ใช้สตริงเป็นข้อความรหัสผ่าน สามารถใช้งานได้ก็ต่อเมื่อมีการจัดส่งวลีรหัสผ่านเดียวเท่านั้น เห็นได้ชัดว่านี่เป็นความปลอดภัยที่น่าสงสัยมากในระบบที่มีผู้ใช้หลายคน อย่าใช้ตัวเลือกนี้หากคุณสามารถหลีกเลี่ยงได้

เพิ่ม--pinentry-mode loopbackเพื่อที่จะทำงาน

โปรดทราบว่าตั้งแต่เวอร์ชัน 2.0 ข้อความรหัสผ่านนี้จะใช้เฉพาะในกรณีที่ได้รับตัวเลือก - แบทช์ด้วย ตั้งแต่เวอร์ชัน 2.1 - โหมด pinpin ต้องมีการตั้งค่าเป็น loopback

ตัวอย่างเช่น:

gpg --batch --yes --passphrase="pw" --pinentry-mode loopback -o out -d in

มันทำงานเหมือนเวทมนตร์สำหรับฉัน:

echo "YOUR_PASS_PHRASE" | gpg --batch --yes  --passphrase-fd 0 /home/somewhere/your_file.pgp

read -sp "Enter passphrase: " pass
echo "${pass}" | gpg --batch --no-tty --yes --passphrase-fd 0 --symmetric -o /path/to/saved/file.jpg.gpg /path/to/file.jpg
echo "${pass}" | gpg --batch --no-tty --yes --passphrase-fd 0 --decrypt -o /path/to/decrypted/file.jpg /path/to/encrypted/file.jpg.gpg

คุณลองทำไหม:

gpg --batch --passphrase-fd 0 --decrypt-files *.gpg
gpg --passphrase-fd 0 1234 file.gpg 

ที่มา: ที่นี่

ฉันคิดว่าวิธีที่ปลอดภัยมากในการส่งรหัสผ่านไปยังบรรทัดคำสั่งคือ:

gpg --passphrase-file <(echo password) --batch --output outfile -c file

สิ่งนี้จะทำคือการวางคำสั่ง "echo" และส่งไฟล์ descriptor เป็นชื่อพา ธ ไปยัง gpg (เช่น / dev / fd / 63) gpg จะอ่านรหัสจากที่นั่น ในเวลาเฉลี่ยคำสั่ง echo ควรรันแบบขนานและควรเสร็จทันทีโดยปล่อยปุ่มบนบัฟเฟอร์ของ fd

ประโยชน์คือ:

• คำสั่ง gpg จะไม่มีรหัสผ่านในบรรทัดคำสั่ง
• เสียงสะท้อนจะมีอายุสั้น ในความเป็นจริงมันควรจะเกือบจะทันที
• รหัสผ่านจะไม่อยู่ในดิสก์จะไม่มีไฟล์ที่จะลบและหากคำสั่งถูกขัดจังหวะจะไม่มีสิ่งที่เหลืออยู่

คุณจะไม่เชื่อฉันเมื่อฉันบอกคุณว่าใน ubuntu gpg พยายามที่จะถามรหัสผ่านของคุณถ้ามีการตั้งค่า $ DISPLAY และรับจาก commandline - รหัสผ่านถ้าคุณไม่ได้ตั้งค่า ใช้งานได้ตามที่คาดไว้:

DISPLAY=    gpg --symmetric --passphrase pass --batch

ฉันเดาอีกตัวอย่างหนึ่ง

นี่คือลิงก์ไปยังคำตอบแบบสแต็คโอเวอร์โฟลว์ที่อาจช่วยได้อีก ฉันมีโครงการที่ถอดรหัส / เข้ารหัสเป็นกลุ่มและเนื่องจากGnuPGมีความเข้มงวดมากเกี่ยวกับข้อความรหัสผ่านเรียนรู้วิธีที่ยากลำบากที่--passphraseใช้งานได้เฉพาะในโอกาสที่หายาก พิจารณา--passphrase-fdตัวเลือกที่จะเชื่อถือได้มากขึ้นแทน

นี้สคริปต์ทำให้เหมาะสมการใช้งานของ--passphrase -fdตัวเลือกและได้รับการทดสอบแบบสาธารณะผ่านเทรวิส-CIที่คุณสามารถหาบันทึกของมันในการดำเนินการ

ตอนนี้ฉันจะไม่โพสต์ลิงก์ไปยังคำตอบโดยไม่ต้องให้โค้ดตัวอย่างที่นี่ดังนั้นนี่คือสคริปต์ "stand alone" ที่อัปเดตแล้วที่คุณสามารถเล่นกับ:

#!/usr/bin/env bash
# Set some variables for easy modding
Var_fd='9'
Var_pass="/path/to/passphrase.file"
Var_gpg_opts="--passphrase-fd ${Var_fd} --decrypt"
Var_output_location="out.txt"
Arr_string=( "$@" )
# Open file descriptor and shove the passphrase file into it
if [ -f "${Var_pass}" ]; then
    exec ${Var_fd}<"${Var_pass}"
else
    exec ${Var_fd}<(echo "${Var_pass}")
fi
# Pipe input array though gpg and append to output file
cat <<<"${Arr_string[*]}" | $(which gpg) ${Var_gpg_opts} >> ${Var_output_location}
# Do not forget to close the file descriptor
exec ${Var_fd}>&-

ในขณะที่ข้างต้นไม่ได้เป็นแฟนซีเป็นป้องกันการเชื่อมโยงที่ GitHub มันควรจะทำงานได้มากขึ้นกว่าคำตอบที่เชื่อมโยงที่จุดเริ่มต้นของการโพสต์นี้

แฮ็คมีความสุข

ดังที่ได้กล่าวไว้ใน man gpg ตัวเลือกต่อไปนี้สามารถใช้ได้

- โหมดพินทรีโหมดตั้งโหมดพินทรีเป็นโหมด ค่าที่อนุญาตสำหรับโหมดคือ:

          default
                 Use the default of the agent, which is ask.

          ask    Force the use of the Pinentry.

          cancel Emulate use of Pinentry's cancel button.

          error  Return a Pinentry error (``No Pinentry'').

          loopback
                 Redirect Pinentry queries to the caller.  Note that in contrast to Pinentry the user is not prompted again if he enters a bad password.

พฤติกรรมเริ่มต้นของ gpg คือให้ผู้ใช้ใส่ข้อความรหัสผ่านหากเปลี่ยนโหมดตัวแทนผู้ใช้เป็น "--pinentry-mode loopback" มันทำงานได้อย่างสมบูรณ์แบบ คำสั่งที่สมบูรณ์

gpg --pinentry-mode loopback --passphrase <passphrase> -d <file to decrypt>

วิธีการง่ายๆที่ฉันพบว่าทำงานบนเครื่อง linux คือ: 1) อิมพอร์ต key ไปที่ gpg: => shell> gpg --import private_key.key

2) ถอดรหัสให้ชื่อ outfile: => shell> gpg - output -d

2.1) การให้คำสั่งด้านบนจะแจ้งให้คุณป้อนการถอดความ ป้อนข้อความถอดความแล้วมันจะถอดรหัสไฟล์ gpg

gpg2 -se --passphrase yourpassword --batch --yes -r user@example.com filename

ใส่ตอนท้ายของ~/.gnupg/gpg.conf:

use-agent
pinentry-mode loopback

วางที่ท้ายไฟล์ (อาจจะใหม่) ~/.gnupg/gpg-agent.conf:

allow-loopback-pinentry

จากนั้นเรียกใช้คำสั่งนี้:

echo RELOADAGENT | gpg-connect-agent

ตอนนี้คุณสามารถรันได้โดยไม่ต้องถามรหัสผ่าน:

echo "$1" | gpg2 --trust-model always --clearsign --batch --no-tty --quiet --no-verbose --yes -u $2 --digest-algo SHA512
--s2k-digest-algo SHA512 --passphrase "$3"

โดยที่ $ 1 คือข้อความที่จะเข้ารหัส $ 2 คือ ID ผู้ใช้และรหัสผ่าน $ 3

หมายเหตุ: ฉันจำไม่ได้ว่าทำไมมันถึงได้ผล แต่ใช้งานได้ หากคุณทราบรายละเอียดโปรดแก้ไขและใส่ที่นี่