Re: Mail-Transport per Filetransfer statt pop3?

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Sun, 3 Nov 2013 02:04:47 +0100
On Sun, Nov 03, 2013 at 01:17:03AM +0100, Raphael Eiselstein wrote:
> | /usr/local/bin/gpg --no-secmem-warning --armor --recipient "${RCPT}"
> | --output "${ENC_TMP}" --encrypt && 
> |         mv "${ENC_TMP}" "${ENC_FILE}"

Aktuell kümmere mich um eine möglichst *zuverlässige* Lösung auf der 
Clientseite des Transports. Der Transport (analog zu pop3/fetchmail) 
ansich ist erstmal trivial mit rsync via ssh:

------------------------
rsync -avHWx --remove-source-files --include="*.asc" --exclude="*" \
        user_at_server:~/.gpgmailer/ ~/.gpgmailer/ 
------------------------

Clientseitig muss mit dem (passenden) OpenPGP Private Key das Zeug
wieder decrypt'et werden. 

Da das als cronjob vollkommen autonom funktionieren soll, suche ich 
derzeit nach einer funktionierenden Lösung, wie ich mittels gnupg-agent 
die Passphrase für genau diesen Key geladen bekomme sodass das Script 
(aus dem cronjob) den richtigen Socket findet und benutzen kann und vor 
allem dort auch eine Passphrase findet, die ich (einmalig nach dem 
Booten) zB via pinentry dort ablegen kann. 

Mein aktuelles Problem besteht nicht darin das Environment für den Agent
zu bekommen (um den Socket zu finden) sondern einen pinentry-Dialog zu 
bekommen, mit dem ich pro-aktiv die Passphrase für den Key eingeben kann 
und zwar so, dass er dann nicht mehr expired oder wenigstens für eine
Dauer von einigen Stunden im RAM gehalten wird. 

Alternativ wäre noch ein Mechanismus, der via kdewallet die Passphrase
für den Schlüssel vorhält. Mir ist unklar an welcher Stelle der
gpg-agent geladen werden muss und wie ich das dann mit kdewallet 
verheiraten kann. Wenn das überhaupt sinnvoll ist.

An irgendeiner Stelle muss die Passphrase nachher gespeichert sein, wenn 
ich nicht alle zehn Minuten diese Interaktiv eintippen will.

Mein aktueller Workaround ist: 
------------------------
find ~/.gpgmailer/ -name "*.asc" | 
        xargs gpg --passphrase-file ~/.gpgmailer/pass --batch --decrypt-files
------------------------
... wobei die Passphrase hier aus einer Datei kommt, was für ernsthaften
Gebrauch definitiv Keine Gute Ideeâ„¢ ist.

Das wird am Ende auch nicht mehr über find|xargs laufen sondern wird
einzeln über die verschlüsselten Nachrichten iterieren, diesevia 
procmail verarbeiten und erst wenn das fehlerfrei ist die Nachrichten
entweder verschieben oder Löschen, damit sie nicht doppelt an procmail
verfüttert werden.

Gruß
Raphael


-- 
Raphael Eiselstein <rabe@uugrn.org>               http://rabe.uugrn.org/
xmpp:freibyter@gmx.de  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 03.11.2013

Dieses Archiv wurde generiert von hypermail 2.2.0 : 03.11.2013 CET