Passwort-Verwaltung mit dem pw-Script ===================================== 2019-02-18 J.E. Klasek j klasek at Pfade ----- ~/bin/pw Das Script ~/.pword Die Passwortdatei (wenn sie unverschlüsselt ist) ~/.pword.gpg Die Passwortdatei verschlüsselt ~/REV/.pword.gpg.JJJJ-MM-TT Historie der verschlüsselten Passwortdateien (Sicherungen, tageweise) ~/.gnupg/ Verzeichnis mit Gnu-Privacy-Guard-Dateien (Schlüssel) ~/.gnupg/gpg.conf GPG-Konfiguration Voraussetzungen --------------- Es werden folgenden Programmpakete benötigt: tcsh gpg Optional: joe Schlüssel erstellen ------------------- gpg --gen-key Das ist interaktiv: Auswahl 1: RSA und RSA Schlüssellänge 4096 0 = key does not expire y(es) Real name: Vorname Nachname Email address: .... Comment: (leer) O(key) Mit der E-Mail-Adresse kann man auch verschlüsselte E-Mails empfangen und eigene E-Mails signiert versenden. Es wird nun nach eine Passprase gefragt. Dies sollte möglichst eine ganzer Merksatz sein, den man schnell vor sich hersagen kann und auch tippen kann. Lieber länger, aber dafür einfach zu tippen. Damit wird der "private" Schlüssel versperrt. Für alle Aktionen muss man damit Eventuell Verlangt das Programm nun nach mehr "entropy", d.h. es braucht für den Zufallsgenerator mehr zufällige Daten. Das macht man damit, in dem am Linux-System auf der Konsole Tasten tippt, mit der Maus herumfährt oder auf der Kommandozeile find / -ls ausführt ... Oder mit dem Browser etwas tun etc., damit das System irgendwie "beschäftig" ist. Jetzt hat man sein "persönliches" Schlüsselpaar bestehend aus dem "public" und dem "private" Key. Der "private Key" darf nicht aus der Hand gegeben werden, den "public Key" kann jeder haben. Wenn ich den z.B. auch habe, kann ich dir eine Nachricht verschlüsselt übermitteln, die nur du mit deinem "privte Key" entschlüsseln kannst. Deine Keys kannst du dir mit gpg -K ansehen. Wenn du mehr Key von anderen Leuten gespeichert hättest, könnte man sie mit gpg -k anzeigen lassen. GPG-Einstellungen anpassen -------------------------- In der Datei ~/.gnupg/gpg.conf die Zeilen cipher-algo AES256 default-recipient-self hinzufügen. Z.B. geht das auch mit den Kommandos (wenn man keinen Editor bemühen möchte): echo "cipher-algo AES256" >> ~/.gnupg/gpg.conf echo "default-recipient-self" >> ~/.gnupg/gpg.conf Installation ------------ mkdir ~/bin # für ISO-8859-1 (Latin1, Western) cp pw.iso ~/bin/pw # sonst für UTF-8 cp pw.utf ~/bin/pw chmod +x ~/bin/pw Der Pfad "$HOME/bin" sollte im Suchpfad der Shell enthalten sein. Z.B. in ~/.bashrc hinzufügen: export PATH="$PATH:$HOME/bin" Eine leere Passwortdatei anlegen und erstmalig aufrufen (und damit verschlüsseln): touch ~/.pword ~/bin/pw Verwendung ---------- In der Umgebungsvariable EDITOR kann das fürs Bearbeiten gewünschte Programm hinterlegt werden. Typischerweise in ~/.bashrc export PATH="gedit" um den grafischen Editor Gnome-Edit zu verwenden. Der Aufruf erfolgt mit pw oder mit vollem Pfad ~/bin/pw und das Programm fragt nach der Passphrase, entschlüsselt die Datei und man kann diese ansehen und bearbeiten. Beim Verlassen des Editors wird die Datei wieder automatisch verschlüsselt.