注意:同样的漏洞已在这个问题,但是问题的不同设置(在我的情况下,我不需要存储密码)允许不同的解决方案(IE使用文件描述符而不是将密码保存在文件中,请参阅伊尔卡丘的回答)。
假设我有一个对称加密的文件my_file
(使用 gpg 1.x),其中存储了一些机密数据,并且我想使用以下脚本对其进行编辑:
read -e -s -p "Enter passphrase: " my_passphrase
gpg --passphrase $my_passphrase --decrypt $my_file | stream_editing_command | gpg --yes --output $my_file --passphrase $my_passphrase --symmetric
unset my_passphrase
stream_editing_command
将某些内容替换/附加到流中的位置。
我的问题: 这样安全吗?变量$my_passphrase
和/或解密的输出是否可以某种方式可见/可访问?如果不安全,我应该如何修改脚本?
答案1
gpg --passphrase $my_passphrase
我的问题:这安全吗?变量 $my_passphrase 和/或解密的输出是否以某种方式可见/可访问?
不,这并不真正被认为是安全的。密码将在 的输出中可见ps
,就像所有其他正在运行的进程的命令行一样。数据本身不可见,其他用户无法访问管道。
这手册页gpg
有这样的说法--passphrase
:
--passphrase string
使用细绳作为密码。仅当仅提供一个密码短语时才能使用此选项。显然,这在多用户系统上的安全性非常值得怀疑。如果可以避免,请不要使用此选项。
当然,如果您的系统上没有其他用户并且相信您的服务没有受到损害,则应该没有人查看进程列表。
但无论如何,您都可以使用--passphrase-fd
shell 将密码重定向到程序。使用这里的字符串:
#!/bin/bash
read -e -s -p "Enter passphrase: " my_passphrase
echo # 'read -s' doesn't print a newline, so do it here
gpg --passphrase-fd 3 3<<< "$my_passphrase" --decrypt "$my_file" |
stream_editing_command |
gpg --yes --output "$my_file" --passphrase-fd 3 3<<< "$my_passphrase" --symmetric
gpg
请注意,只有当第二个文件在获取完整输入之前没有截断输出文件时,这才有效。否则,第一个gpg
可能无法在文件被截断之前读取该文件。
为了避免使用命令行,您还可以将密码存储在文件中,然后使用--passphrase-file
.但是,您需要小心设置文件的访问权限,然后将其删除,并为其选择正确的位置,以便密码短语不会实际存储在持久存储中。