Estender a data de expiração de uma chave GPG de forma não interativa

Suponha que você tenha sua chave [email protected]e sua senha para essa chave esteja armazenada no arquivo passphrase.txt, o seguinte comando alterará a data de expiração de forma não interativa:

printf "expire\n10w\nsave\n" | gpg --batch --pinentry-mode loopback --passphrase-fd 3 --command-fd 0 --status-fd=2 --edit-key [email protected] 3<passphrase.txt

(Se não funcionar devido à invocação de pinentry, consulte a NOTA abaixo.)

Breve explicação do comando:

• printf "expire\n10w\nsave\n"envia esses comandos para gpg. expirealtera a data de validade da chave, 10wé de 10 semanas, saveé óbvio.
• --batchdiz que não haverá entrada do usuário
• --pinentry-mode loopbackpermite canalizar arquivo de frase secreta para gpg (veja abaixo)
• --passphrase-fd 3diz que o descritor de arquivo 3é onde o gpg deve procurar a frase secreta (observe 3<passphrase.txtno final do comando.
• --command-fd 0diz que o descritor de arquivo 0(ou STDIN) é de onde o gpg deve originar os --batchcomandos ( printfparte no início do comando).
• --status-fd 2diz que o status vai para 2(ou STDOUT), você pode querer direcionar isso para log.
• --edit-key [email protected]é a chave que queremos editar

Esta resposta deve lhe dar uma boa ideia de como "automatizar" as coisas com o gpg. Para fazer isso completo, você provavelmente deseja alterar a expiração da subchave de criptografia, etc.

NOTA: As versões atuais do GnuPG não permitem canalizar senhas facilmente (elas são padronizadas para gpg-agent e o programa chamado pinentry). Por uma questão de simplicidade, habilitei a frase secreta adicionando allow-loopback-pinentryao meu arquivo gpg-agent.conf. Observe que isso não é seguro e você provavelmente deseja implementar o seu próprio pinentry(ou usar o existente que se adapte ao seu fluxo de trabalho não interativo) e, em seguida, defini-lo emgpg-agent.conf