Aviso : a mesma vulnerabilidade foi discutida nesta pergunta , mas a configuração diferente do problema (no meu caso, não preciso armazenar a senha) permite uma solução diferente ( ou seja, usando descritores de arquivo em vez de salvar a senha em um arquivo, veja a resposta de ilkkachu ).
Suponha que eu tenha um arquivo criptografado simetricamente my_file(com gpg 1.x), no qual armazeno alguns dados confidenciais e quero editá-lo usando o seguinte script:
read -e -s -p "Enter passphrase: " my_passphrase
gpg --passphrase $my_passphrase --decrypt $my_file | stream_editing_command | gpg --yes --output $my_file --passphrase $my_passphrase --symmetric
unset my_passphrase
Onde stream_editing_commandsubstitui/anexa algo ao fluxo.
Minha pergunta : isso é seguro? A variável $my_passphrasee/ou a saída descriptografada serão visíveis/acessíveis de alguma forma? Se não for seguro, como devo modificar o script?