[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Mail-Transport per Filetransfer statt pop3?


On Sun, Nov 03, 2013 at 01:17:03AM +0100, Raphael Eiselstein wrote:
> | /usr/local/bin/gpg --no-secmem-warning --armor --recipient "${RCPT}"
> | --output "${ENC_TMP}" --encrypt && 
> |         mv "${ENC_TMP}" "${ENC_FILE}"

Aktuell kuemmere mich um eine moeglichst *zuverlaessige* Loesung auf der 
Clientseite des Transports. Der Transport (analog zu pop3/fetchmail) 
ansich ist erstmal trivial mit rsync via ssh:

------------------------
rsync -avHWx --remove-source-files --include="*.asc" --exclude="*" \
        user@server:~/.gpgmailer/ ~/.gpgmailer/ 
------------------------

Clientseitig muss mit dem (passenden) OpenPGP Private Key das Zeug
wieder decrypt'et werden. 

Da das als cronjob vollkommen autonom funktionieren soll, suche ich 
derzeit nach einer funktionierenden Loesung, wie ich mittels gnupg-agent 
die Passphrase fuer genau diesen Key geladen bekomme sodass das Script 
(aus dem cronjob) den richtigen Socket findet und benutzen kann und vor 
allem dort auch eine Passphrase findet, die ich (einmalig nach dem 
Booten) zB via pinentry dort ablegen kann. 

Mein aktuelles Problem besteht nicht darin das Environment fuer den Agent
zu bekommen (um den Socket zu finden) sondern einen pinentry-Dialog zu 
bekommen, mit dem ich pro-aktiv die Passphrase fuer den Key eingeben kann 
und zwar so, dass er dann nicht mehr expired oder wenigstens fuer eine
Dauer von einigen Stunden im RAM gehalten wird. 

Alternativ waere noch ein Mechanismus, der via kdewallet die Passphrase
fuer den Schluessel vorhaelt. Mir ist unklar an welcher Stelle der
gpg-agent geladen werden muss und wie ich das dann mit kdewallet 
verheiraten kann. Wenn das ueberhaupt sinnvoll ist.

An irgendeiner Stelle muss die Passphrase nachher gespeichert sein, wenn 
ich nicht alle zehn Minuten diese Interaktiv eintippen will.

Mein aktueller Workaround ist: 
------------------------
find ~/.gpgmailer/ -name "*.asc" | 
        xargs gpg --passphrase-file ~/.gpgmailer/pass --batch --decrypt-files
------------------------
... wobei die Passphrase hier aus einer Datei kommt, was fuer ernsthaften
Gebrauch definitiv Keine Gute Ideeâ?¢ ist.

Das wird am Ende auch nicht mehr ueber find|xargs laufen sondern wird
einzeln ueber die verschluesselten Nachrichten iterieren, diesevia 
procmail verarbeiten und erst wenn das fehlerfrei ist die Nachrichten
entweder verschieben oder Loeschen, damit sie nicht doppelt an procmail
verfuettert werden.

Gruss
Raphael


-- 
Raphael Eiselstein <rabe@xxxxxxxxx>               http://rabe.uugrn.org/
xmpp:freibyter@xxxxxx  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..




-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/