Possiedo lo sviluppo di un lavoratore Sidekiq che decrittografa migliaia di CSV crittografati con gpg e li carica nel database.
Anche se non è necessario, sto usando una gemma per interagire con il binario gpg / GnuPG. La gemma che sto utilizzando è ruby-gpgme . Funziona alla grande.
Il mio enigma è come gestire al meglio il portachiavi gpg utilizzato per memorizzare la chiave privata necessaria per decrittografare i file. La nostra app è containerizzata e non vogliamo mantenere la nostra private.key nel controllo del codice sorgente.
Quello che facciamo ora, che non mi piace, è mantenere private.key in S3. Ogni volta che il lavoro viene eseguito, scarica e importa la chiave nel portachiavi. Procede quindi con la decrittografia del file.
Qual è il modo corretto di gestire le chiavi in questo caso?