id: Гость   вход   регистрация
текущее время 17:03 29/03/2024
Автор темы: Гость, тема открыта 06/11/2013 12:23 Печать
Категории: софт, pgp, gnupg, openpgp, стандарты
https://www.pgpru.com/Форум/РаботаСGnuPG/ЕщеРазОбИзмененииДефолтногоРасположенияgnupg
создать
просмотр
ссылки

Еще раз об изменении дефолтного расположения .gnupg и местоположения ключей


Система debian 7 x64.
Задача:
вар1.: изменить местоположение директории .gnupg (чтобы хранить ключи и настрйоки в контейнере).
вар2.: рассмотреть возможноть оставить местоположение как есть, в папке /.gnupg. Но хранить отдельно сами ключи.


Вопросы:
1. Объясните пожалуйста максимально доступно, как изменить местоположение .gnupg в линукс. Сделать, например, /media/conteiner.
2. Можно ли осуществить вариант 2?
3. Могут ли быть негативные последствия у реализации первого варианта с точки зрения работы программ, использующих gpg (например, psi, mcabber и тд).
Могут ли возникнуть глюки? В любом случае готов проверить, если будет ответ на вопрос 1.


 
Комментарии
— unknown (06/11/2013 12:32, исправлен 06/11/2013 13:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Использовать ln -s /media/conteiner/.gnupg /home/user/.gnupg (симлинк) или mount --bind /media/conteiner/.gnupg /home/user/.gnupg (зеркальное монтирование).

— SATtva (06/11/2013 12:36, исправлен 06/11/2013 12:37)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Объясните пожалуйста максимально доступно, как изменить местоположение .gnupg в линукс. Сделать, например, /media/conteiner.

Есть штатные возможности: опция --homedir и переменная GNUPGHOME. Перенесите содержимое .gnupg в любую директорию и укажите путь к этой директории в переменной окружения GNUPGHOME. То есть в Вашем примере добавьте такую строку в ~/.bashrc:



Можно ли осуществить вариант 2?

Результаты поиска «secret-keyring»: «VAULT. что делать?» (Форум)
: safety, 29/04/2015 13:42
«VAULT. что делать?» (Форум)
: SATtva, 29/04/2015 13:34
«Создание и использование ключа OpenPGP с подключами» (Библиотека)
: SATtva, 03/03/2015 13:33
«Создание и использование ключа OpenPGP с подключами» (Библиотека)
: Гость, 24/02/2015 16:07
«GPG Remote» (Разработки)
: SATtva, 18/03/2015 21:51


Могут ли быть негативные последствия у реализации первого варианта с точки зрения работы программ, использующих gpg (например, psi, mcabber и тд).

Нормально написанные программы должны искать директорию именно по GNUPGHOME, если таковая задана.

— teta_tester (06/11/2013 12:57)   <#>
Использовать ls -l /media/conteiner/.gnupg /home/user/.gnupg

Не получается.
Делалось так:


Но gpg все равно создает все в директории /.gnupg, как и было раньше:

Что я делаю неправильно?
— SATtva (06/11/2013 13:04)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Что я делаю неправильно?

Перелогиниться или выполнить в терминале source ~/.bashrc не забыли?
— teta_tester (06/11/2013 13:04)   <#>
export GNUPGHOME=/media/conteiner


Да, работает! Спасибо!
— unknown (06/11/2013 13:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Я исправил то, что неправильно напечатал ln -s
— Гость (07/11/2013 07:20)   <#>

Очень грязно, unknown. Противник видит, на что симлинк. Противник видит, зачем используется контейнер. А пользователь (дайте мне хрустальные шары) хотел бы, чтобы противник, получивший доступ к его домашней директории, не получил бы никакой дополнительной информации.

Показываю более чистый хак:
  1. Создаём директорию внутри домашней: mkdir ~/mydir
  2. Монтируем в эту директорию отдельный криптораздел (команды понятны).
  3. В директории создаём файл: touch ~/mydir/.zshrc
  4. Прописываем в него строку alias gpg='HOME=$HOME/mydir gpg'
  5. Создаём в директории скрипт для запуска джаббера:
    $ cd ~/mydir
    $ touch mystart.sh
    $ chmod +x mystart.sh
    и кладём в него содержимое:
    #!/bin/sh
    HOME=$HOME/mydir mcabber
  6. В обычной домашней директории в её файл ~/.zshrc добавляем алиас:
    alias mysr="source .zshrc"

Как это работает:
  1. Джаббер: после монтирования криптораздела в директорию ~/mydir вы делаете cd ~/.mydir и потом запускаете оттуда скрипт командой ./mystart.sh. Это запускает джаббер, причём джаббер автоматически подцепит gnupg-директорию из ~/mydir, а не из ~/, т.к. в скрипе мы переопределили переменную $HOME.
  2. GnuPG: после монтирования криптораздела в директорию ~/mydir вы делаете cd ~/.mydir и выполняете команду mysr. Всё, теперь в этом же шелле вы можете выполнять gpg как и обычно, и она будет цеплять каталог ~/mydir/.gnupg автоматически.

Итак,
  1. В вашей домашней директории нет следов ~/.gnupg вообще.
  2. Ваш домашний ~/.zshrc чист перед законом.
  3. Упоминаний о джаббере в вашей домашней директории нет тоже (все конфиги лежат в ~/mydir/.mcabber).
  4. Файлы истории вынесены в /tmp, который не пишется на диск.
  5. Обратите внимание на нейтральность имён и алиасов. Не сообщайте в них больше, чем готовы сказать прокурору.

По схожей системе настраивается почта с выносом всех конфигов почты в свою директорию ~/mydir2 (все имена условны, можете называть иначе). Единственный минус — мне не удалось сделать чисто с procmailrc, слишком уж он тупой, пришлось создать в основной директории символическую ссылку в стиле unknown'а. Если всё делаете правильно, и дополнительные крипторазделы не подмонтированы на момент атаки, то противник не сможет понять даже предназначение дополнительных крипторазделов и директорий.

Форензики не одобрят этот пост.
— unknown (07/11/2013 10:08)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Всё верно: форензики, обфускация и отрицаемость перед кем-то никак не рассматривались. Противник предполагался по Керхгофсу — если имеет частичный доступ, то догадывается обо всём.
— Гость (07/11/2013 22:16)   <#>
Керхгоффс не противоречит принципу несмешивания информации, обфускация и отрицаемость тут ни при чём. Если информация хранится на отдельном разделе, криптография требует, чтобы у противника было ноль знаний про содержимое этого криптораздела. На практике это условие часто не выполняется из-за мусорных файлов, остающихся в других крипторазделах. Предложенный метод решает именно эту проблему.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3