From 8245022322b4e49ba45c0031b46ce001cb641189 Mon Sep 17 00:00:00 2001 From: Uyanide Date: Fri, 16 Jan 2026 07:35:32 +0100 Subject: [PATCH] add configs and memos about gpg --- config/scripts/.local/scripts/gpg-init | 14 + config/shell/.bash_profile | 14 +- config/shell/.config/fish/conf.d/10-sshs.fish | 11 +- memo/gpg-pgp.md | 241 ++++++++++++++++++ 4 files changed, 273 insertions(+), 7 deletions(-) create mode 100755 config/scripts/.local/scripts/gpg-init create mode 100644 memo/gpg-pgp.md diff --git a/config/scripts/.local/scripts/gpg-init b/config/scripts/.local/scripts/gpg-init new file mode 100755 index 0000000..19930e1 --- /dev/null +++ b/config/scripts/.local/scripts/gpg-init @@ -0,0 +1,14 @@ +#!/bin/sh + +# Description: +# Initialize gpg-agent for SSH support and set up environment variables. +# Designed to replace manual ssh-agent management. + +GPG_SSH_SOCKET=$(gpgconf --list-dirs agent-ssh-socket) + +if [ -z "$SSH_AUTH_SOCK" ] || [ "$SSH_AUTH_SOCK" != "$GPG_SSH_SOCKET" ]; then + echo "export SSH_AUTH_SOCK='$GPG_SSH_SOCKET';" +fi + +# Ensure gpg-agent is aware of the current tty (for passphrase prompts) +gpg-connect-agent updatestartuptty /bye > /dev/null 2>&1 diff --git a/config/shell/.bash_profile b/config/shell/.bash_profile index b048dfb..3d057d1 100644 --- a/config/shell/.bash_profile +++ b/config/shell/.bash_profile @@ -18,6 +18,9 @@ prepend_path() { esac } +# .profile is not included in the repo +[ -f "$HOME/.profile" ] && . "$HOME/.profile" + # Better than nothing export XDG_CONFIG_HOME="$HOME/.config" export XDG_DATA_HOME="$HOME/.local/share" @@ -43,14 +46,15 @@ if command -v fnm &>/dev/null; then eval $(fnm env --shell bash) fi -# SSH with cross-session ssh-agent -if [ -x "$HOME/.local/scripts/ssh-init" ]; then +# export ENABLE_GPG_AGENT_SSH=1 in .profile to enable GPG agent for SSH +if [ -x "$HOME/.local/scripts/gpg-init" ] && [ -n "$ENABLE_GPG_AGENT_SSH" ] && [ "$ENABLE_GPG_AGENT_SSH" != "0" ]; then + # GPG agent for SSH + eval "$($HOME/.local/scripts/gpg-init 2>/dev/null)" >/dev/null 2>&1 +elif [ -x "$HOME/.local/scripts/ssh-init" ]; then + # SSH with cross-session ssh-agent eval "$($HOME/.local/scripts/ssh-init 2>/dev/null)" >/dev/null 2>&1 fi -# .profile is not included in the repo -[ -f "$HOME/.profile" ] && . "$HOME/.profile" - # Triggered in SSH sessions if [[ $- == *i* ]]; then # Set EDITOR and VISUAL, mainly for sudoedit diff --git a/config/shell/.config/fish/conf.d/10-sshs.fish b/config/shell/.config/fish/conf.d/10-sshs.fish index e7349f5..bd966a1 100644 --- a/config/shell/.config/fish/conf.d/10-sshs.fish +++ b/config/shell/.config/fish/conf.d/10-sshs.fish @@ -1,6 +1,13 @@ # ssh with encrypted private keys -# $ssh_keys should be set in advance or left empty to use the default keys -if type -q ssh +# $ssh_key_hashes should be set in advance or left empty to use the default keys + +if set -q ENABLE_GPG_AGENT_SSH; and test $ENABLE_GPG_AGENT_SSH != "0";\ + and type -q gpg-init; and type -q gpgconf + # GPG agent for SSH + bass $(gpg-init) > /dev/null 2>&1 + +else if type -q ssh-init; and type -q ssh-add + # SSH with cross-session ssh-agent bass $(ssh-init) > /dev/null 2>&1 # avoid entering passphrase every time diff --git a/memo/gpg-pgp.md b/memo/gpg-pgp.md new file mode 100644 index 0000000..621b297 --- /dev/null +++ b/memo/gpg-pgp.md @@ -0,0 +1,241 @@ +> 虽说更多时候还是防自己, 但是整一套 GPG 密钥体系真的很酷, 多点安全感也绝不是坏事. + +> [!WARNING] +> +> 仅记录我的折腾过程, 并非指南, 并非推荐, 并非技术文档. + +## What? + +PGP (Pretty Good Privacy) 是一种数据加密和解密的程序, GnuPG (GNU Privacy Guard) 是 PGP 的一个开源实现. GPG, PGP, 真是好名字. + +## How? + +1. 生成密钥对: + + ```bash + gpg --full-generate-key + ``` + + 按照提示选择密钥类型、大小和有效期, 并输入用户信息 (如姓名和电子邮件地址) 和密码. + +2. 列出密钥: + + ```bash + gpg --list-secret-keys --keyid-format=long + ``` + + 从中找到你的密钥, 例如: + + ```plain + sec ed25519/ABCDEF1234567890 2026-01-01 [SC] + 1234567890ABCDEF1234567890ABCDEF12345678 + uid [ultimate] Uyanide + ssb cv25519/1234567890ABCDEF 2026-01-01 [E] + ``` + + 其中 `ABCDEF1234567890` 是主密钥 ID, 记下来. + +3. 生成撤销证书: + + ```bash + gpg --output revoke.asc --gen-revoke ABCDEF1234567890 + ``` + + 将 `ABCDEF1234567890` 替换为主密钥 ID. 撤销证书用于在密钥泄露或不再使用时撤销该密钥, 请**离线**妥善保管 `revoke.asc` 文件. + +> [!IMPORTANT] +> +> **离线** 指的是不连接互联网的环境. 最好将撤销证书存储在物理介质上, 如 USB 驱动器或打印出来, 并放在安全的地方. + +4. 生成子密钥 + + GPG 密钥有四种主要功能标志: + + - `C` (Certify): 用于签署其他密钥. + - `S` (Sign): 用于签署数据 (如电子邮件或 git 提交). + - `E` (Encrypt): 用于加密数据. + - `A` (Authenticate): 用于身份验证 (如 SSH). + + 主密钥通常只用于 `C` 功能, 默认也会有 `S` 功能. 但是在最佳实践中, 主密钥应只用于 `C` 功能, 其他三种功能由至少三个不同的子密钥承担, 日常使用也多使用子密钥而非主密钥. + + - 对于 `S` 和 `E` 功能, 可以通过以下命令添加子密钥: + + ```bash + gpg --edit-key ABCDEF1234567890 + ``` + + 进入交互式界面后, 使用以下命令: + + - `addkey`: 添加子密钥, 按照提示选择密钥类型和大小. + - `save`: 保存并退出. + + - 对于 `A` 功能, 可能需要启用 expert 模式: + + > 什么, 专家? 我? + + ```bash + gpg --expert --edit-key ABCDEF1234567890 + ``` + + 进入交互式界面后, 使用以下命令: + + 1. `addkey`: 添加子密钥 + 2. 选择 `(set your own capabilities)` 后缀的选项作为密钥类型. + 3. 通过交互式操作仅保留 `A` 功能. + 4. `Q` 完成密钥功能的设置, 并按照提示选择密钥类型和大小. + 5. `save`: 保存并退出. + +> [!NOTE] +> +> 和更换麻烦的主密钥相比, 子密钥建议设置为较短的有效期. + +> [!TIP] +> +> 即使日常使用不同的子密钥做不同的事, 但实际分享公钥或配置软件时使用的公钥以及密钥 ID 通常仍然是主密钥的公钥和密钥 ID, 而非具体所使用的子密钥的公钥和密钥 ID. + +5. 添加用户 ID + + 有些时候需要添加额外的用户 ID (如其他电子邮件地址). + + ```bash + gpg --edit-key ABCDEF1234567890 + ``` + + 进入交互式界面后, 使用以下命令: + + - `adduid`: 添加新的用户 ID, 按照提示输入姓名和电子邮件地址. + - `save`: 保存并退出. + +> [!NOTE] +> +> 很多平台要求密钥包含在平台经过验证的电子邮件地址, 否则无法使用该密钥进行加密通信. + +6. 导出公钥 + + ```bash + gpg --armor --export ABCDEF1234567890 > publickey.asc + ``` + + 将 `ABCDEF1234567890` 替换为主密钥 ID. 这会将公钥导出到 `publickey.asc` 文件中, 可以将其大大方方地分享给他人. + +> [!IMPORTANT] +> +> 每次完成对已有 GPG 密钥的修改(如添加用户 ID, 添加子密钥等)后, 都需要重新导出和更新公钥. + +7. 导出主密钥的私钥 + + 如果遵循最佳实践, 主密钥的私钥不应该长期保存在本地, 而只在需要时导入使用. + + 导出所有私钥到文件: + + ```bash + gpg --export-secret-keys --armor ABCDEF1234567890 > masterkey.asc + gpg --export-secret-subkeys --armor ABCDEF1234567890 > subkeys.asc + ``` + + 随后移除本地所有私钥: + + ```bash + gpg --delete-secret-keys ABCDEF1234567890 + ``` + + 再导入先前导出的子私钥: + + ```bash + gpg --import subkeys.asc + ``` + + 验证: + + ```bash + gpg --list-secret-keys --keyid-format=long + ``` + + 如果输出的第一行变为 `sec#` 开头, 则表示主密钥的私钥已从 keyring 中移除, 只剩下其 Stub. + + 请妥善**离线**保管 `masterkey.asc`, 它是恢复主密钥的唯一途径. + +> [!IMPORTANT] +> +> 与 SSH 密钥不同, GPG 密钥应在多设备间同步, 以便在任何设备上都能向别人验证自己的身份以及进行加密通信. + +8. 设置信任等级 + + 为了让 GPG 确认密钥是可信的, 有些情况下需要手动为其设置信任等级. + + ```bash + gpg --edit-key ABCDEF1234567890 + ``` + + 进入交互式界面后, 使用以下命令: + + - `trust`: 选择 `5 = I trust ultimately` 作为信任等级. + - `save`: 保存并退出. + +## Why? + +举个例子, 使用 GPG 密钥对 git 提交进行签名, 参见 Github 文档: [Adding a GPG key to your GitHub account](https://docs.github.com/en/authentication/managing-commit-signature-verification/adding-a-gpg-key-to-your-github-account) 和 [Telling Git about your signing key](https://docs.github.com/en/authentication/managing-commit-signature-verification/telling-git-about-your-signing-key) + +## One More Thing ... + +通过 gpg-agent, GPG 密钥可以作为 SSH 密钥使用, 这~~真的很酷~~统一了密钥管理的同时也增加了一些安全性. 论使用体验其实目前的 [ssh-init](config/scripts/.local/scripts/ssh-init) 方案已经足够满足我的要求了, ~~但它真的很酷~~. + +总之, 记录一下折腾过程吧. + +1. 添加认证子密钥 + + 参考上文, 添加一个仅带有 `A` (Authenticate) 功能的子密钥. + +2. 告诉 GPG 启用 SSH 支持 + + 编辑 `~/.gnupg/gpg-agent.conf`, 添加或修改以下行: + + ```plain + enable-ssh-support + ``` + + 可选地, 设置缓存有效期 (这对于拥有密码管理系统的桌面来说用处不大): + + ```plain + default-cache-ttl 600 + max-cache-ttl 7200 + ``` + +3. 绑定密钥 + + 首先, 获取认证子密钥的 Keygrip: + + ```bash + gpg --list-secret-keys --with-keygrip ABCDEF1234567890 + ``` + + 输出类似: + + ```plain + ssb ed25519 2026-01-16 [A] + Keygrip = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX + ``` + + 然后将其写入 `~/.gnupg/sshcontrol` 文件中: + + ```bash + echo "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" >> ~/.gnupg/sshcontrol + ``` + +4. 启动! + + 参见 [gpg-init](config/scripts/.local/scripts/gpg-init) 脚本. + + ```bash + eval $(gpg-init) + ``` + + 此时环境变量 `SSH_AUTH_SOCK` 已指向 gpg-agent 提供的 SSH 代理套接字, 可以像使用普通的 ssh-agent 一样使用 GPG 代理进行 SSH 认证. + +5. 获取公钥 + + 获取 SSH 公钥以添加到远程服务器或服务: + + ```bash + ssh-add -L + ```