gpg2 必须使用 pinentry 吗?
为什么 pinentry 比传统提示更好?
答案1
是的,使用一个pinentry程序对于 GnuPG 2 及更高版本是强制性的。
这是从更新后的架构现在使用:
- GnuPG 客户端不再处理私钥材料或密码等(尽可能 - 据我所知,密码短语唯一一次通过客户端是当你更改它时);
- 为了支持这一点,一个单独的进程(代理)存储私钥;它作为用户级守护进程运行,在客户端需要时自动启动;
- 代理作为守护进程,没有“所属”终端,也不知道如何获取用户的输入;
- 从用户获取输入被委托给
pinentry用户选择的兼容程序。
使用pinentry程序可确保您的私钥仅限于代理(当然,如果它完全知道的话),而无需您向代理显式提供私钥和密码(正如所发生的那样)例如和ssh-add)。它还确保对密码短语的请求是一致的,无论请求的来源如何(那规定与往常一样有待辩论)。