问题[encryption](computer)

我想解密一个文件并对其进行编辑，而不将其清晰的内容写入临时文件，以避免敏感数据的泄露。

我已经用以下命令创建了原始文件：

echo -n "hello world" | gpg --encrypt --symmetric --output sensitive.gpg

我可以解密此文件并输出：

$ gpg --decrypt sensitive.gpg
gpg: AES256.OCB encrypted session key
gpg: encrypted with 1 passphrase
gpg: encrypted with cv25519 key, ID <blablabla>
hello world

但是，当我尝试将输出通过管道传输到时gpg --encrypt，似乎两个进程同时运行并尝试同时使用 stdin：

gpg --no-symkey-cache --pinentry-mode loopback --decrypt sensitive.gpg | gpg --encrypt --symmetric --pinentry-mode loopback --output sensitive.gpg

在我输入任何密码之前，这里是输出：

gpg: AES256.OCB encrypted session key
Enter passphrase: Enter passphrase:

您可以看到它两次询问我密码。

以下是正在运行的进程：

$ ps | grep gpg
49716 ttys002    0:00.02 gpg --no-symkey-cache --pinentry-mode loopback --decrypt sensitive.gpg
49717 ttys002    0:00.01 gpg --encrypt --symmetric --pinentry-mode loopback --output sensitive.gpg

有没有什么解决方案可以gpg --encrypt等待gpg --decrypt它完成其工作？

我想vipe在这两个命令之间添加一个编辑器。

我实际上为我的电子邮件帐户启用了外部 GPG 密钥 ID，因此我可以毫无问题地解密/签名。

但是，我发现现在无法使用系统密钥环中的公钥。今天我发现了这个问题，因为我导入了新密钥。我不记得之前需要做什么特别的事情，但现在显然 Thunderbird 无法看到我的 中的新密钥~/.gnupg。

有没有办法导入所有的公钥？

我可以格式化 BitLocker 加密驱动器而无需解锁它。但我在网上看到很多文章说我做不到。如果我在锁定状态下格式化驱动器，会对驱动器造成任何损坏吗？期待你的答复。

当我记得当时我对驱动器进行了备份时，我丢失了一些相当旧的帐户的密码。在那里，我找到了一个~/.local/share/password-store目录，其中我的密码是由pass密码管理器加密的。我还找到了~/.gnupg和~/.local/share/gnupg目录。

我的问题是：是否可以解密并恢复备份中的密码？感觉好像必须的，但是我尝试使用gpg --import却没有成功。

长话短说，在尝试将我的外部 SSD 从 exFAT 转换为 NTFS 时，我搞砸了一些事情，最终损坏了一个充满 EFS 加密文件的文件夹。我可以看到这些文件，但在 Windows 下访问它们会出现错误 ( Make sure a disk is in the drive you specified)。但是，使用 Linux，我可以访问这些文件，无论它们的PFILE格式如何。如果我尝试将PFILE文件复制到 Windows，它不会将它们视为加密的，因此不会提供解密它们的选项。有什么办法可以解密它们，还是我被搞砸了？

编辑：我发现当创建加密文件或将其移动到 exFAT 驱动器时，该文件具有PFILE扩展名（仅在 Linux 下可见）。但是，在 NTFS 驱动器上，该文件具有其正常扩展名（在 Windows 和 Linux 下）。但是，这不会影响解密，因为我能够成功解密同一 exFAT 驱动器中的其他文件。

我id_rsa使用以下命令将私钥转换为 RSA 格式

ssh-keygen -p -m PEM -f ~/.ssh/id_rsa

在这个答案中解释了。

然后我添加了一些方便的别名，这些别名允许我使用自己的身份文件加密和解密数据：

alias encrypt='openssl pkeyutl -encrypt -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -pubin -inkey <(ssh-keygen -e -f "$HOME/.ssh/id_rsa.pub" -m PKCS8)'
alias decrypt='openssl pkeyutl -decrypt -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -inkey "$HOME/.ssh/id_rsa"'

现在我可以做：

echo foobar | encrypt > test.enc
cat test.enc | decrypt

它将打印foobar，但test.enc可以存储而不暴露foobar。当然有更好的方法来做到这一点，但我尝试这样做的原因是为了摆脱任何密码提示。

我的id_rsa受密码保护，但我启动终端会话时ssh-add仅提示我输入一次密码，这样当我使用ssh（包括git）时，我不必再次输入我的密码。

然而，对于 却不能这样说openssl pkeyutl -decrypt，每当我使用它时，它都会要求输入密码短语，这是有道理的，因为openssl是 所使用的底层工具openssh。

无论如何，有什么办法可以使用ssh-add会话吗openssl？

具体来说，我询问密文是否可以包含诸如 之类的字节序列170303，这是一种可能的 TLS 记录标头。

通常，解析 TCP 字节流的应用程序通过解析标头并从标头开始后的第 4 个和第 5 个字节中提取八位位组的长度来分隔 TLS 记录。然后，我假设它向前跳过并尝试在由先前解析的标头计算出的偏移量处读取下一条记录。

我的问题是，TLS 1.3 的 AES 256 GCM 实施是否对密码输出施加了任何限制？RFC 没有提及这一点。是否存在以 header 开头170303xxxx，但也包含170303密文一部分的 TLS 记录？

我的主目录中有一个使用 eCryptfs 加密的目录。不知何故，它被损坏了，我无法读取目录中的任何文件。我不想尝试修复它，因为我有最近的备份。

因此，我将备份复制到我的主目录中，例如：

mv directory directory.corrupted
cp /mnt/backup/directory /home/user/directory

现在，当我尝试在刚刚复制的未加密目录上使用 ecryptfs 时，它只会挂载它而不会出现错误消息，但文件变得不可读（并且当我卸载它时变得可读）。不知何故，我需要能够告诉 eCryptfs 我正在使用此目录名重新开始，并且需要重新加密。

我想，我可以只使用不同的目录名称进行加密，但我有使用它的脚本等，并且我不想编辑它们。

顺便说一句，我还有其他目录也使用 eCryptfs 加密，并且它们都可以正常安装和卸载。这仅限于我的加密目录之一。

我在 MSI 笔记本电脑上运行 Ubuntu 23.04，KDE Plasma 5.27.4。

uname -a

Linux mybox 6.2.0-26-generic #26-Ubuntu SMP PREEMPT_DYNAMIC Mon Jul 10 23:39:54 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux

我想在我没有物理访问权限的远程计算机上打开 BitLocker 加密。我害怕的是：

• 启用 BitLocker 后操作系统将无法启动（例如，将卡在某些屏幕上要求输入密码、密钥或类似内容，并且需要物理访问）
• 操作系统将加密所有驱动器，而不仅仅是我选择的几个驱动器
• 操作系统将自动加密未来插入的每个驱动器

这些恐惧有多合理？

假设我有一个未加密的文件容器；我在某个文件上运行了 mkfs.ext4。现在假设我已经将这个文件备份到 Dropbox，并且正在使用 rclone 在两台计算机上主动挂载包含这个文件容器的目录。

我可以安全地挂载这个文件容器并同时开始在这些计算机上写入文件吗？会发生什么？

现在，假设上面的操作是安全的，我可以用 tomb 或 luks 加密容器做同样的事情吗？我真的很想这样做，因为这听起来超级方便，但我闻到了危险的味道。