GPG - limita chi può aggiungere e rimuovere da pubring

1

Sto lavorando a un progetto in cui usiamo git-secret per nascondere le informazioni. Questo è supportato da gpg e l'aggiunta di persone a git-secret ( link ) viene effettuata aggiungendo una chiave pubblica a un pubring.gpg. Dopo aver iniziato con un computer pulito, ho dovuto generare una nuova chiave e aggiungerla a git secret. Di solito qualcun altro fa l'aggiunta, ma ho deciso di provare me stesso, e con mia sorpresa ho potuto aggiungere e rimuovere utenti a questo pubring, senza che la mia chiave ne facesse parte.

C'è un modo per limitare l'accesso alla modifica di un pubring, in modo che solo gli utenti con la loro chiave pubblica possano aggiungere o rimuovere chiavi dal pubring?

    
posta Tobb 14.12.2017 - 12:41
fonte

1 risposta

1

Il modo in cui comprendo l'aggiunta di chiavi al tuo mazzo di chiavi non consente loro di decrittografare nulla. git secret aggiungerà solo le informazioni sulla decrittazione per gli utenti che hai aggiunto con

git secret tell [email protected]

(Che potrebbe essere implementato internamente come portachiavi, però). C'è ancora un problema, come sempre. Dai documenti:

Note, that it is possible to add yourself to the system without decrypting existing files. It will be possible to decrypt them after reencrypting them with the new keyring. So, if you don’t want unexpected keys added, make sure to configure some server-side security policy with the pre-receive hook.

Cercando di rispondere alla domanda dal titolo: Il portachiavi gpg è memorizzato in un file e probabilmente puoi semplicemente utilizzare le normali restrizioni del controllo accessi su quel file.

    
risposta data 14.12.2017 - 13:20
fonte

Leggi altre domande sui tag