Смоленск 1.6 Подписывание файлов

kold2015

New member
Сообщения
24
#1
Здравствуйте. Пытаюсь подписать elf файл сначала импортирую ключ командой
Код:
root@astradevelop:~# /usr/bin/gpg --import --pinentry-mode=loopback --passphrase upctLAZJ /ZPS-KEY-ASTRA1.6/niitp_secret.gpg
gpg: ключ C849205120B30058: импортирован открытый ключ "АО "НИИ ТП" (key for signing) <Nikolay.Duyunov@niitp.ru>"
gpg: ключ C849205120B30058: импортирован секретный ключ
gpg: Всего обработано: 1
gpg:                  импортировано: 1
gpg:     прочитано секретных ключей: 1
gpg: импортировано секретных ключей: 1
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: глубина: 0  достоверных:   1  подписанных:   0  доверие: 0-, 0q, 0n, 0m, 0f, 1u
gpg: срок следующей проверки таблицы доверия 2022-12-27
Ключ успешно импортировался.Но когда я выполняю команду подписывания
Код:
root@astradevelop:/# bsign -N -s -E  --pgoptions="--batch --pinentry-mode=loopback  --passphrase=upctLAZJ --default-key=C849205120B30058" /ff
bsign: processing /ff
bsign: incorrect passphrase or gpg not installed
root@astradevelop:/#
В чем может быть проблема?
 
Последнее редактирование:

kold2015

New member
Сообщения
24
#2
При чем если я подписываю файл данный этим ключ через управление политикой безопасности то он все подписывает
 

oko

New member
Сообщения
1 257
#4
to kold2015
В pgoptions для bsign вы указываете параметры, передаваемые в gpg. И, если вы привели именно ту команду, которую пытаетесь исполнить, то указываете некорректно: для gpg у вас отрабатывала "--passphrase_ПРОБЕЛ_upctLAZJ", а вы пытаетесь "--passphrase_РАВНО_upctLAZJ"...
Ребята из Лаборатории50 пишут, что с bsign хватает заморочек, поэтому рекомендуют вот такой скрипт...
И да, по мануалам для gpg и bsign, а также по информации из wiki.astralinux.ru - рекомендуется читать ключевую фразу из файла, заданного через --passphrase-file, а не напрямую через --passphrase...
Впрочем, это все на правах imho, поскольку gpg в AstraLinux не проверял...
 

kold2015

New member
Сообщения
24
#5
to kold2015
В pgoptions для bsign вы указываете параметры, передаваемые в gpg. И, если вы привели именно ту команду, которую пытаетесь исполнить, то указываете некорректно: для gpg у вас отрабатывала "--passphrase_ПРОБЕЛ_upctLAZJ", а вы пытаетесь "--passphrase_РАВНО_upctLAZJ"...
Ребята из Лаборатории50 пишут, что с bsign хватает заморочек, поэтому рекомендуют вот такой скрипт...
И да, по мануалам для gpg и bsign, а также по информации из wiki.astralinux.ru - рекомендуется читать ключевую фразу из файла, заданного через --passphrase-file, а не напрямую через --passphrase...
Впрочем, это все на правах imho, поскольку gpg в AstraLinux не проверял...
Я попробую вместо знака = поставить пробел
 

kold2015

New member
Сообщения
24
#6
to kold2015
В pgoptions для bsign вы указываете параметры, передаваемые в gpg. И, если вы привели именно ту команду, которую пытаетесь исполнить, то указываете некорректно: для gpg у вас отрабатывала "--passphrase_ПРОБЕЛ_upctLAZJ", а вы пытаетесь "--passphrase_РАВНО_upctLAZJ"...
Ребята из Лаборатории50 пишут, что с bsign хватает заморочек, поэтому рекомендуют вот такой скрипт...
И да, по мануалам для gpg и bsign, а также по информации из wiki.astralinux.ru - рекомендуется читать ключевую фразу из файла, заданного через --passphrase-file, а не напрямую через --passphrase...
Впрочем, это все на правах imho, поскольку gpg в AstraLinux не проверял...
Вообщем вот сделал я такую команду
Код:
bsign -N -s -E  --pgoptions="--batch --pinentry-mode=loopback  --passphrase-file=/passwordfile --default-key=C849205120B30058" /ff
Запустил все нормально
Потом начал проверять указал путь к файлу пароля которого нет на диске он ругнулся у меня. Так и должно быть
Затем решил проверить указал правильный файл пароля но при этом ввел keyid которого не существует
Но он все равно мне в итоге подписал файл
Это что получается что если bsign использовать pgoptions с default-key то команда никак не реагирует на эту опцию
Получается. Это что баг что-ли bsign или как?
 
Сообщения
1
#8
Это что получается что если bsign использовать pgoptions с default-key то команда никак не реагирует на эту опцию
Получается. Это что баг что-ли bsign или как?
На wiki Астры ( "Подписание пакетов ПО") есть ссылка на документ Разбираемся в GnuPG — Expertus metuit (regolit.com) и в нём сказано, что gpg использует какие-то странные алгоритмы для определения того, каким именно криптоключом подписывать или шифровать - частенько выбирает что-то на своё усмотрение. В одном из примеров для того, чтобы точно указать криптоключ, используется восклицательный знак.