Comment faire confiance auto gpg clé publique?

Je suis en train d'ajouter ma clé publique GPG comme une partie de notre appliance processus d'installation. Le but de crypter tous les fichiers importants, comme les journaux avant d'admin traine dans son local à l'aide du portail d'administration, puis de les décrypter à l'aide de la clé privée.
Le plan est d'exporter la clé publique dans un fichier et de rendre l'appareil processus d'installation de l'importer en utilisant gpg --import de commande. Mais j'ai compris, la clé est nécessaire pour être digne de confiance/signé avant de faire toute chiffrement.
Comment faire de cette clé est de confiance, sans aucune intervention humaine au moment de l'installation?
Btw, notre appareil os est ubuntu en vm et nous utiliser kickstart à automatiser.

Merci d'avance pour toute aide.

source d'informationauteur user1366786

  1. 12

    Votre question est vraiment "Comment crypter une clé sans gpg rechigner à le fait que la clé n'est pas fiable?"

    Une réponse est de vous pourrait signer la clé.

    gpg --edit-key YOUR_RECIPIENT
sign
yes
save

    L'autre est que vous pourriez dire gpg pour aller de l'avant et de confiance.

    gpg --encrypt --recipient YOUR_RECIPIENT --trust-model always YOUR_FILE
  2. 10

    Par coïncidence, j'ai une situation similaire à l'OP - je suis en train d'utiliser les clés privée/publique pour signer et crypter firmware pour différents périphériques embarqués. Depuis pas encore de réponse montre comment ajouter de la confiance à une clé que vous avez déjà importé, voici ma réponse.

    Après la création et le test sur les touches d'une machine de test, j'ai exporté au format ascii:

    $ gpg --export -a <hex_key_id> > public_key.asc
$ gpg --export-secret-keys -a <hex_key_id> > private_key.asc

    Puis fixez-copié et importé pour le serveur de build:

    $ gpg --import public_key.asc
$ gpg --import private_key.asc

    Important: ajouter la confiance

    Maintenant modifier la clé pour ajouter de confiance ultime:

    $ gpg --edit-key <[email protected]>

    À la gpg> invite de commandes, tapez trustpuis tapez 5 de confiance ultime, alors y pour confirmer, puis quit.

    Maintenant tester avec un fichier de test:

    $ gpg --sign --encrypt --yes --batch --status-fd 1 --recipient "recipient" --output testfile.gpg testfile.txt

    les rapports

    ...
[GNUPG:] END_ENCRYPTION

    sans ajout de confiance, je reçois plusieurs erreurs (non limitative):

    gpg: There is no assurance this key belongs to the named user
gpg: testfile.bin: sign+encrypt failed: Unusable public key
  3. 5

    Ajouter trusted-key 0x0123456789ABCDEF à votre ~/.gnupg/gpg.conf remplacement de la keyid. C'est l'équivalent en fin de compte de faire confiance à cette clé, qui signifie que les certifications fait qu'elle va être accepté comme valable. Juste marquer cette clé comme valide sans la confiance, il est plus difficile et plus d'une signature ou la commutation de la fiducie-modèle direct. Si vous êtes certain de n'importer des clés valides que vous pouvez simplement marquer toutes les touches comme valide par l'ajout de trust-model always. Dans ce dernier cas, s'assurer que vous désactivez automatique de récupération de clé (non activé par défaut).

  4. 5

    Cela a fonctionné pour moi:

    Essayer de chiffrer un fichier répond avec ce:

    gpg -e --yes -r <uid> <filename>

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

Use this key anyway? (y/N)

That causes my shell script to fail.

    J'Ai Donc:

    $gpg --edit-key <uid>

gpg> trust

Please decide how far you trust this user to correctly verify other 
users' keys (by looking at passports, checking fingerprints from 
different sources, etc.)

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately
  m = back to the main menu

Your decision? 5
Do you really want to set this key to ultimate trust? (y/N) y

Please note that the shown key validity is not necessarily correct
unless you restart the program.

gpg> quit

    Maintenant le chiffrer fonctionne correctement.

  5. 2

    Voici un truc que j'ai trouvé pour l'automatisation de GnuPG la gestion des clés, de l'indice heredoc + --command-fd 0 est comme de la magie. Ci-dessous est une version abrégée d'un des scripts qui a été écrit à l'aide de l'automatisation avec GnuPG.

    #!/usr/bin/env bash
## First argument should be a file path or key id
Var_gnupg_import_key=""
## Second argument should be an integer
Var_gnupg_import_key_trust="${2:-1}"
## Point to preferred default key server
Var_gnupg_key_server="${3:-hkp://keys.gnupg.net}"
Func_import_gnupg_key_edit_trust(){
    _gnupg_import_key="${1:-${Var_gnupg_import_key}}"
    gpg --no-tty --command-fd 0 --edit-key ${_gnupg_import_key} <<EOF
trust
${Var_gnupg_import_key_trust}
quit
EOF
}
Func_import_gnupg_key(){
    _gnupg_import_key="${1:-${Var_gnupg_import_key}}"
    if [ -f "${_gnupg_import_key}" ]; then
        echo "# ${0##*/} reports: importing key file [${_gnupg_import_key}]"
        gpg --no-tty --command-fd 0 --import ${_gnupg_import_key} <<EOF
trust
${Var_gnupg_import_key_trust}
quit
EOF
    else
        _grep_string='not found on keyserver'
        gpg --dry-run --batch --search-keys ${_gnupg_import_key} --keyserver ${Var_gnupg_key_server} | grep -qE "${_grep_string}"
        _exit_status=$?
        if [ "${_exit_status}" != "0" ]; then
            _key_fingerprint="$(gpg --no-tty --batch --dry-run --search-keys ${_gnupg_import_key} | awk '/key /{print $5}' | tail -n1)"
            _key_fingerprint="${_key_fingerprint//,/}"
            if [ "${#_key_fingerprint}" != "0" ]; then
                echo "# ${0##*/} reports: importing key [${_key_fingerprint}] from keyserver [${Var_gnupg_key_server}]"
                gpg --keyserver ${Var_gnupg_key_server} --recv-keys ${_key_fingerprint}
                Func_import_gnupg_key_edit_trust "${_gnupg_import_key}"
            else
                echo "# ${0##*/} reports: error no public key [${_gnupg_import_key}] as file or on key server [${Var_gnupg_key_server}]"
            fi
        else
            echo "# ${0##*/} reports: error no public key [${_gnupg_import_key}] as file or on key server [${Var_gnupg_key_server}]"
        fi
    fi
}
if [ "${#Var_gnupg_import_key}" != "0" ]; then
    Func_import_gnupg_key "${Var_gnupg_import_key}"
else
    echo "# ${0##*/} needs a key to import."
    exit 1
fi

    Courir avec script_name.sh 'path/to/key' '1' ou script_name.sh 'key-id' '1' pour importer une clé et d'attribuer une fiducie de la valeur de 1 ou de modifier toutes les valeurs avec script_name.sh 'path/to/key' '1' 'hkp://preferred.key.server'

    De chiffrement doivent maintenant être sans plainte, mais même si elle ne le suit --always-trust option devrait permettre de chiffrement, même avec de la plainte.

    gpg --no-tty --batch --always-trust -e some_file -r some_recipient -o some_file.gpg

    Si vous voulez le voir en action, puis de vérifier la Travis-CI les journaux de construction et de la façon dont le script d'aide GnuPG_Gen_Key.sh est utilisé pour générer et d'importer des clés dans la même opération... la version deux de ce script d'aide sera beaucoup plus propre et modifiables, mais c'est un bon point de départ.

  6. 1

    Je pense, j'ai pensé de le faire.
    J'ai utilisé "gpg --import-confiance envers le propriétaire" à l'exportation ma confiance db dans un fichier texte ensuite retiré tous mes clés à l'exception de la clé publique j'avais besoin de pousser. Et puis importé ma clé publique et édité propriétaire-dépôt de fichier sur le serveur. Cela semble fonctionner.
    Maintenant, je vais avoir de la difficulté à la mise en œuvre de ces mesures dans le fichier Kickstart:-(

  7. 1

    @Tersmitten de l'article et un peu d'essais et d'erreurs, j'ai fini avec la ligne de commande suivante pour la confiance de toutes les clés dans un trousseau de clés sans interaction de l'utilisateur. Je l'utilise pour les clés utilisées avec les deux StackEschange Blackbox et hiera-eyaml-gpg:

    # The "-E" makes this work with both GNU sed and OS X sed
gpg --list-keys --fingerprint --with-colons |
  sed -E -n -e 's/^fpr:::::::::([0-9A-F]+):$/:6:/p' |
  gpg --import-ownertrust

    Personnellement, je préfère une solution qui stocke les résultats dans le trustdb fichier lui-même plutôt que d'dépend de l'environnement de l'utilisateur à l'extérieur de l'partagé repo Git.

  8. 1

    Il y a un moyen plus facile de dire GPG à faire confiance à l'ensemble de ses clés à l'aide de la croyez-modèle option:

        gpg -a --encrypt -r <recipient key name> --trust-model always

    À partir de la page de man:

      --trust-model pgp|classic|direct|always|auto

    Set what trust model GnuPG should follow. The models are:

      always Skip  key  validation  and assume that used 
             keys are always fully trusted. You generally 
             won't use this unless you are using some 
             external validation scheme. This option also 
             suppresses the "[uncertain]" tag printed 
             with signature checks when there is no evidence 
             that the user ID is bound to the key.  Note that 
             this trust model still does  not  allow  the use 
             of expired, revoked, or disabled keys.
  9. 0

    Avec powershell, voici comment faire confiance à [email protected] (adapté de @tersmitten blog):

    (gpg --fingerprint [email protected] | out-string)  -match 'fingerprint = (.+)'
$fingerprint = $Matches[1] -replace '\s'
"${fingerprint}:6:" | gpg --import-ownertrust

    Remarque: l'utilisation de cinst gpg4win-vanilla

  10. -1

    Voir cet article j'ai récemment écrit à ce sujet. Deux solutions possibles:

    • Shell magie
    • Attendre