Состоялся (https://www.mail-archive.com/info-gnu@gnu.org/msg02568....) релиз инструментария GnuPG 2.2.13 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880 (https://tools.ietf.org/html/rfc4880)) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.1 допускаются только корректирующие исправления.Основные изменения:
- В утилите gpg реализована возможность поиска ключей по "keygrip (https://wiki.debian.org/Subkeys)" (идентификатор мастер-ключа), используя префикс "&";
- Добавлена возможность генерации ключей Ed25519 на основе существующих ключей;
- Добавлен вывод сообщения об ошибке в случае, если при указании опции "-k" не удалось найти ключи;
- В утилите gpgsm в процессе интерактивной генерации ключей обеспечено отображение алгоритмов ключей, используемых на смарткарте, и их keygrip-идентификаторов.
URL: https://www.mail-archive.com/info-gnu@gnu.org/msg02568....
Новость: https://www.opennet.me/opennews/art.shtml?num=50142
Делаю gpg --export --armor НЕСУЩЕСТВУЮЩИЙ_КЛЮЧ, а он в exit code возвращает 0, словно ошибок не было.
А ключ -k указал?
--list-keys
-k
--list-public-keysList the specified keys. If no keys are specified, then all keys from the configured public keyrings are listed.
Ты точно понял проблему? Я хочу из скрипта экспортнуть публичный ключ. Если экспорт прошел неудачно (а отсутствующий ключ - это пример причины неудачного экспорта), я хочу это отловить. А gpg2 просто стреляет варнингом, но выходит с $? = 0.
> Ты точно понял проблему? Я хочу из скрипта экспортнуть публичный
>А gpg2 просто стреляет варнингом, но
> выходит с $? = 0.У них, вроде, _для_скриптов_ другая и отдельная (да, это тстранно) утилита.
Не gpg, а gpgv, кажется.
# man gpgv
"This program is actually a stripped-down version of gpg which is only able to check signatures."
"gpgv2 assumes that all keys in the keyring are trustworthy. That does also mean that it does not check for expired or revoked keys."
Короче, нет. Должна работать или gpg, или gpg2.
Проверил у себя, конструкция """if ! gpg --verify "${asc}" "${sha512}" ; then""" вполне рабочая.
Другое дело, что экспорт — не проверка и разработчики могли просто полениться расставить коды возврата.
Ссылку на багрепорт пожалуйста.
А прочитал ли ты руководство пользователя?
Я вот подумал, какая же у нас (да и не только у нас) паршивая ситуация с подписями. Подпись за человека может поставить любой, и с 100% уверенностью говорить, что это подписал не он будет нельзя, даже в суде.
Столько экспертов привлечены к анализу поддельных подписей, а зачем это в XXI веке, когда есть тот же GNU PG с электронными подписями, которые взломать сложнее, чем украсть миллион биткоинов у Сатоши Накамото?
Я был бы очень рад подписать какое-нибудь извещение на почте с помощью цифровых подписей и надеюсь что скоро так будет везде и у всех.
Потому что в плане usability эти самые электронные подписи убоги и по сей день. Когда ты подписываешь бумажный документ - ты точно знаешь, что именно подписываешь. Когда это электронная подпись - ты жмёшь какую-то кнопочку и можешь только надеяться, что магия сработает как надо и что ты подписал то, что хотел, а не договор о продаже своей души Аццкой Сотоне. Во всяком случае, именно так это выглядит для обывателя. Управление ключами - тоже либо неудобно, либо небезопасно, а обычно - то и другое одновоременно.
Ничего, скоро гинетически будут встраивать qrcode-рисунок на предплечье, и это будет вместо росписи рукой. Почему генетически? Так сложнее изменить и сильнее гарантируется индивидуальность - только лишь при очередном пренатальном осмотре вводится безопасная сертифицированная инъекция, и тебя посчитали, и удостоверяющим центром заверили.
> Во всяком случае, именно так это выглядит для обывателяскорее наоборот -- рбыватель думает будто то что на экране было высвечено то и подписал..
а воо эксперт призадумается "а какая вообще свять между javascript-сообщением и реальностью?"
Я всегда емейл шифрую с помощью GPG!
В рассылке это лишнее. Если только не анонс
А почему не S/MIME или как оно там в Outlook называлось.
Я пытался в свое время какой-то сертификат выпустить себе, но чего-то не получалосьвсе никак это сделать в свое время. Так вот и живу и отправляю пьсма не зашифрованные.
А Вы кстати чего шифруете любовную переписку? )
Ага, что бы ее не только лишь все потные извращенцы не читали, а каждый кто не указан в реципиентах.
Без резидентного агента так и требует пляски с бубном, даже при простом симметричном шифровании...
Так есть же шикарная Kleopatra.
> Так есть же шикарная Kleopatra.Вы не поняли, во первых на серваках нет десктопа, во вторых, пользователь сам должен решать, нужно ли ему кэшировать в памяти пароли или нет, особенно в свете последних новостей о багах в хардвари CPU. Есть очень много задач, когда нужно ввести пароль и быть уверенным, что после того как ЖПЖ закончит работу, пароль нигде не будет сохранен, ни в памяти, ни на диске.
gpg-agent (https://linux.die.net/man/1/gpg-agent) это-же и есть менеджер паролей, который на фиг не нужен на удаленной системе. ЖПЖ-же категорически отказывается работать без кэширования паролей.
На фига спрашивается ЖПЖ нужен менеджер паролей при симметричном шифровании (без ключевом варианте) ?