gpg зашифровать файл без взаимодействия с клавиатурой

Как намекнул Дэвид, проблема здесь в том, что gpg не доверяет открытому ключу, который вы используете для шифрования. Вы можете подписать ключ, как он объяснил.

Альтернативой, особенно если ключ может время от времени меняться, может быть добавление --trust-model always к вашей команде gpg.

Вот соответствующий бит со страницы руководства:

--trust-model pgp|classic|direct|always|auto

     Set what trust model GnuPG should follow. The models are:

     pgp    This is the Web of Trust combined with trust signatures as used in
            PGP 5.x and later. This is the default trust model when creating a
            new trust database.

     classic
            This is the standard Web of Trust as used in PGP 2.x and earlier.

     direct Key validity is set directly by the user and  not  calculated  via
            the Web of Trust.

     always Skip  key  validation  and  assume that used keys are always fully
            trusted. You generally won't use this unless you  are  using  some
            external  validation  scheme.  This  option  also  suppresses  the
            "[uncertain]" tag printed with signature checks when there  is  no
            evidence that the user ID is bound to the key.

     auto   Select  the  trust  model depending on whatever the internal trust
            database says. This is  the  default  model  if  such  a  database
            already exists.

Вот мое решение, основанное на gpg2 (но я уверен, что вы можете применить аналогичную технику к gpg)

$ gpg2 --edit-key {recipient email address}  
> trust
> 5 (select 5 if you ultimately trust the key) 
> save

Это укажет gpg2 полностью доверять ключу, чтобы вы могли шифровать без запроса.

Хакерский подход:

echo -n PASSPHRASE > phrase
chmod 400 phrase #Make sure ONLY the user running the cron job can read the phrase
yes | gpg --passphrase-fd 3 --recipient USER --encrypt FILENAME.txt 3<phrase

Основная проблема заключается в том, что ключ, который у вас есть для USER, не подписан. Если вы доверяете ему, вы можете подписать его с помощью

gpg --edit-key USER sign

Вероятно, он задаст пару вопросов, в зависимости от вашей конфигурации. Сделайте это один раз, тогда вы должны быть готовы войти в свой crontab. Я бы по-прежнему рекомендовал использовать предложенное мной решение, поместив кодовую фразу в отдельный файл и сделав ее доступной для чтения только одному пользователю, от имени которого запускается команда. Если вы это сделаете, вы можете убить yes | и просто получить зашифрованную строку.

Используйте эту команду, она поможет вам

echo "PASSPHRASE" | gpg --passphrase-fd 0 --always-trust -r USER --encrypt FILENAME.TX

Я тоже столкнулся с этим. Я не мог заставить знак-ключ сделать что-нибудь интересное. Вот что я сделал:

создайте gpg-ключ:

gpg --gen-key

получить длинный идентификатор ключа (результат в 5-м столбце):

gpg --list-keys --with-colon [email protected]

Добавьте строку доверенного ключа в ~/gnupg/gpg.conf

trusted-key 16DIGITALPHANUMERICKEYID

строка gpg в скрипте резервного копирования:

gpg -e -r [email protected] backup_file.tgz

Отладка cron: я также фиксирую выходные данные отладки cron, отправляя stdout и stderr в файл журнала в командной строке cron. полезно знать

Я предполагаю, что, как и я, многие люди приходят сюда из-за части вопроса «без взаимодействия с клавиатурой». С gpg2 и gpg-agent стало довольно сложно подписывать/шифровать/расшифровывать вещи без какого-либо взаимодействия с клавиатурой. Вот как вы могли бы создать подпись, когда ваша парольная фраза закрытого ключа в открытом виде сохранена в текстовом файле:

cat something_so_sign.xzy | gpg \
    --passphrase-file "plaintext_passphrase.txt" \
    --batch \
    --pinentry-mode loopback \
    -bsa

Измените -b -s -a в зависимости от ваших потребностей. Остальные переключатели являются обязательными. Вы также можете просто использовать --passphrase 'SECRET'. Как уже было сказано, будьте осторожны с этим. Текстовые файлы с открытым текстом, конечно, не намного лучше.

Или подпишите ключ (конечно, после проверки отпечатка пальца):

gpg --sign-key <recipient email address>

После этого вы полностью доверяете ключу.

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately

Когда вы создаете сертификат в первый раз с вашим идентификатором электронной почты, выберите полностью доверенный сертификат, тогда всякий раз, когда вы шифруете какой-либо файл, не будет задаваться вопрос, например.... для получения дополнительной информации откройте изображение по ссылке выше.

НЕТ уверенности в том, что ключ принадлежит лицу, указанному в идентификаторе пользователя. Если вы действительно понимаете, что делаете, вы можете ответить утвердительно на следующий вопрос.

Все равно использовать этот ключ? (г/н)

Другой подход:

Это решение будет работать без участия пользователя.

Чтобы запретить доступ к конфиденциальным данным (а не шифровать их с помощью сторонних ключей), я загружаю *ТОЛЬКО свой ОБЩЕСТВЕННЫЙ strong> ключ к серверу, на котором я хочу защитить данные, и использовать этот ключ для шифрования. Это устраняет необходимость в интерактивной подсказке для ввода пароля, облегчающего автоматизацию, и, что лучше всего, ключ PRIVATE находится отдельно от общедоступного сервера.

gpg --batch --yes --trust-model always -r $YOURPUBKEYEMAILADDRESS -e ./file.txt