Comment faire confiance auto gpg clé publique?
Je suis en train d'ajouter ma clé publique GPG comme une partie de notre appliance processus d'installation. Le but de crypter tous les fichiers importants, comme les journaux avant d'admin traine dans son local à l'aide du portail d'administration, puis de les décrypter à l'aide de la clé privée.
Le plan est d'exporter la clé publique dans un fichier et de rendre l'appareil processus d'installation de l'importer en utilisant gpg --import de commande. Mais j'ai compris, la clé est nécessaire pour être digne de confiance/signé avant de faire toute chiffrement.
Comment faire de cette clé est de confiance, sans aucune intervention humaine au moment de l'installation?
Btw, notre appareil os est ubuntu en vm et nous utiliser kickstart à automatiser.
Merci d'avance pour toute aide.
source d'informationauteur user1366786
Vous devez vous connecter pour publier un commentaire.
Votre question est vraiment "Comment crypter une clé sans gpg rechigner à le fait que la clé n'est pas fiable?"
Une réponse est de vous pourrait signer la clé.
L'autre est que vous pourriez dire gpg pour aller de l'avant et de confiance.
Par coïncidence, j'ai une situation similaire à l'OP - je suis en train d'utiliser les clés privée/publique pour signer et crypter firmware pour différents périphériques embarqués. Depuis pas encore de réponse montre comment ajouter de la confiance à une clé que vous avez déjà importé, voici ma réponse.
Après la création et le test sur les touches d'une machine de test, j'ai exporté au format ascii:
Puis fixez-copié et importé pour le serveur de build:
Important: ajouter la confiance
Maintenant modifier la clé pour ajouter de confiance ultime:
À la
gpg>
invite de commandes, tapeztrust
puis tapez5
de confiance ultime, alorsy
pour confirmer, puisquit
.Maintenant tester avec un fichier de test:
les rapports
sans ajout de confiance, je reçois plusieurs erreurs (non limitative):
Ajouter
trusted-key 0x0123456789ABCDEF
à votre~/.gnupg/gpg.conf
remplacement de la keyid. C'est l'équivalent en fin de compte de faire confiance à cette clé, qui signifie que les certifications fait qu'elle va être accepté comme valable. Juste marquer cette clé comme valide sans la confiance, il est plus difficile et plus d'une signature ou la commutation de la fiducie-modèle direct. Si vous êtes certain de n'importer des clés valides que vous pouvez simplement marquer toutes les touches comme valide par l'ajout detrust-model always
. Dans ce dernier cas, s'assurer que vous désactivez automatique de récupération de clé (non activé par défaut).Cela a fonctionné pour moi:
Essayer de chiffrer un fichier répond avec ce:
J'Ai Donc:
Maintenant le chiffrer fonctionne correctement.
Voici un truc que j'ai trouvé pour l'automatisation de GnuPG la gestion des clés, de l'indice heredoc +
--command-fd 0
est comme de la magie. Ci-dessous est une version abrégée d'un des scripts qui a été écrit à l'aide de l'automatisation avec GnuPG.Courir avec
script_name.sh 'path/to/key' '1'
ouscript_name.sh 'key-id' '1'
pour importer une clé et d'attribuer une fiducie de la valeur de1
ou de modifier toutes les valeurs avecscript_name.sh 'path/to/key' '1' 'hkp://preferred.key.server'
De chiffrement doivent maintenant être sans plainte, mais même si elle ne le suit
--always-trust
option devrait permettre de chiffrement, même avec de la plainte.Si vous voulez le voir en action, puis de vérifier la Travis-CI les journaux de construction et de la façon dont le script d'aide GnuPG_Gen_Key.sh est utilisé pour générer et d'importer des clés dans la même opération... la version deux de ce script d'aide sera beaucoup plus propre et modifiables, mais c'est un bon point de départ.
Je pense, j'ai pensé de le faire.
J'ai utilisé "gpg --import-confiance envers le propriétaire" à l'exportation ma confiance db dans un fichier texte ensuite retiré tous mes clés à l'exception de la clé publique j'avais besoin de pousser. Et puis importé ma clé publique et édité propriétaire-dépôt de fichier sur le serveur. Cela semble fonctionner.
Maintenant, je vais avoir de la difficulté à la mise en œuvre de ces mesures dans le fichier Kickstart:-(
@Tersmitten de l'article et un peu d'essais et d'erreurs, j'ai fini avec la ligne de commande suivante pour la confiance de toutes les clés dans un trousseau de clés sans interaction de l'utilisateur. Je l'utilise pour les clés utilisées avec les deux StackEschange Blackbox et hiera-eyaml-gpg:
Personnellement, je préfère une solution qui stocke les résultats dans le trustdb fichier lui-même plutôt que d'dépend de l'environnement de l'utilisateur à l'extérieur de l'partagé repo Git.
Il y a un moyen plus facile de dire GPG à faire confiance à l'ensemble de ses clés à l'aide de la croyez-modèle option:
À partir de la page de man:
Avec powershell, voici comment faire confiance à
[email protected]
(adapté de @tersmitten blog):Remarque: l'utilisation de
cinst gpg4win-vanilla
Voir cet article j'ai récemment écrit à ce sujet. Deux solutions possibles: