Статья Пароли под защитой GPG

[Admin]

Пароли под защитой GPG​

Предисловие
Хранить пароли в гугл-хроме очень удобно. Можно залогиниться с любого устройства под своим аккаунтом и получить доступ ко всем сайтам и паролям. Круто? Круто.
До тех пор, пока вы не поймаете стилер.

Проприетарные менеджеры так же удобны. Но концепция хранения моих паролей где-то там, на каких-то серверах меня не впечатляет.
А мы сегодня будем использовать связку gpg + pass + browserpass.

Установка и настройка

Устанавливаем пакеты:

sudo apt install gpg
sudo apt install pass
sudo apt install qtpass

gpg чаще всего уже предустановлен.
pass будет надёжно хранить наши пароли.
qtpass предоставит нам удобный графический интерфейс.

Для начала нам нужно сгенерировать новый gpg ключ.

gpg --full-generate-key

На создании ключа я не буду долго останавливаться, всё делается по методу далее-далее. Мыло и идентификатор никто проверять не будет.

После этого необходимо инициализировать pass
Для начала смотрим id нашего саб-ключа

gpg -k --keyid-format long

На выходе получим что-то типо

/home/user/.gnupg/pubring.kbx
-----------------------------
pub   rsa3072/074059C5D078BB05 2019-12-27 [SC]
58C3A7D48E1EF82933986FD6074059C5D078BB05
uid                 [ultimate] testt
sub   rsa3072/CE4F8F8052CFF9AA 2019-12-27 [E]

Где CE4F8F8052CFF9AA - идетификатор саб-ключа. У вас он будет другим.
Инициализируем им pass

pass init CE4F8F8052CFF9AA

Управление паролями
Теперь добавим новый пароль. Это можно сделать 2-я способами.
1. Через командную строку, используя pass insert [сайт.ру]. Можно использовать параметр -m для мультистрочного ввода.
Пример:

pass insert -m test.com
Enter contents of test.com and press Ctrl+D when finished:

login:user
password:pass

Что бы посмотреть пароль, используем

pass show test.ru

2. Через qtpass. Первый раз при запуске он ругднётся, нам нужно бщует выбрать "Use pass". При создании пароля в качестве имени файла надо указать домен сайта, например "mail.ru". Советую сразу задать шаблон в настройках.

Вы скажите... YMainErr, это же жуткий гемор так просматривать пароли. Да, но зато всё секьюно

Экспорт-импорт-бекап
Зашифрованные файлы с паролями будут храниться тут:
/home/user/.password-store/

Экспорт открытого и приватного ключей, а так же импорт:

gpg --export-secret-keys CE4F8F8052CFF9AA --armor --output key-private.txt
gpg --armor --export CE4F8F8052CFF9AA  --output key-public.txt
gpg --import key.txt

Приватный ключь нужен будет для расшифровки наших паролей, а публичный - для шифрования.

Браузер
Ладно, действительно копировать ручками не удобно. Поэтому поставим расширение для браузера и gui для ввода пароля от ключа.

sudo apt install webext-browserpass
sudo apt install pinentry-gtk2

Перезапускаем браузер, если расширение не появилось - ищем его в магазине под названием browserpass

Добавляем пароли, переходим на сайт и жмакаем Ctrl+Shift+F

Must die
Можно ли экспортировать пароли под винду? Да, конечно.
Устанавливаем: Gpg4win - Secure email and file encryption with GnuPG for Windows
Экспортируем закрытый ключ (или оба, если планируем добавлять пароли из под форточек). Импортируем под виндой в клеопатру.
Копируем файлы *.gpg из /home/user/.password-store/ в куда-нибудь.
Устанавливаем последний *.msi отсюда: browserpass/browserpass-native
Устанавливаем плагин для браузера - Browserpass

Как всё это синхронизировать - решайте сами.

Tor browser
При использовании тор-браузера вас ожидают некоторые подводные камни. Например в линукс нужно будет сделать:

cp /home/user/.gnupg/pubring.kbx /home/user/.local/share/torbrowser/tbb/x86_64/tor-browser_en-US/Browser/.gnupg/

А под виндой вам нужно будет положить файлики с паролями (*.gpg) в папку "пользователь/.password-store/"
Т.к. настройки плагина вам не даст поменять NoScript