Ho il compito di automatizzare una decrittazione di gpg usando cron (o qualsiasi strumento di pianificazione dei lavori compatibile con Ubuntu Server). Dato che deve essere automatizzato, l'ho usato --passphrasema finisce nella cronologia della shell, quindi è visibile nell'elenco dei processi.
Come posso automatizzare la decrittazione mantenendo standard di sicurezza buoni (preferibilmente grandi)?
Un esempio sarà molto apprezzato.
Risposte:
Memorizza la passphrase in un file che è leggibile solo dall'utente del lavoro cron e usa l' --passphrase-fileopzione per dire gpgdi leggere lì la passphrase.
Ciò garantirà che la passphrase non sia visibile nelle informazioni di processo in memoria. Il livello di sicurezza sarà determinato dal livello di accesso al file che memorizza la passphrase (così come dal livello di accesso al file contenente la chiave), incluso ovunque il suo contenuto finisca per essere copiato (quindi fai attenzione con i backup), e accessibilità off-line (estrarre il disco dal server). Se questo livello di sicurezza è sufficiente dipenderà dai tuoi controlli di accesso al server che contiene il file, fisicamente e nel software, e dagli scenari che stai cercando di mitigare.
Se si desiderano elevati standard di sicurezza, è necessario utilizzare un modulo di sicurezza hardware anziché archiviare la chiave (e la passphrase) localmente. Ciò non impedisce che la chiave venga utilizzata in situ , ma impedisce che venga copiata e utilizzata altrove.
L'automazione della decrittazione significa che devi memorizzare la passphrase da qualche parte o non utilizzare una passphrase (a meno che tu non usi opzioni aggiuntive come indicato nell'altra risposta inviata da Stephen mentre stavo digitando la mia)! Nessuno di questi soddisfa i tuoi requisiti di standard di sicurezza buoni o grandi.
cioè il tuo requisito non è compatibile con la sua sicurezza.
Puoi fare affidamento su cose come: devi essere root, ho dato al file in cui è memorizzata la mia passphrase un nome davvero confuso, ho crittografato i file system sottostanti, ecc. Ecc., Ma sono tutti livelli che sono banali da eludere una volta che si è root in primo luogo.
L'opzione che impedisce la visualizzazione della passphrase nell'elenco dei processi è --passphrase-file <file-name>.
Tuttavia, non è più sicuro della semplice rimozione della passphrase.
psetc se non si disponehidepidsu/proc, ma un guscio esecuzione di uno script (da cron o altro) è non interattivo e la storia non dovrebbe scrivere a meno che non configurato correttamente.