Как заблокировать / разблокировать аппаратный токен gpg с помощью скрипта
Я хочу выполнить gpg --card-edit; проверить; выйти из в неинтерактивном режиме, чтобы разблокировать аппаратный токен GPG (например, смарт-карту или yubikey).
Мой вариант использования:
- Введите пароль, например через ssh
- Сохраните его в связке ключей ядра
- Передайте его аппаратному токену при необходимости
Одно из эффективных решений - expect , и я использовал autoexpect для создайте для этого сценарий, но он будет содержать пароль пользователя и будет довольно неуклюжим и зависит от вывода конкретной версии gpg.
scdaemon может быть вариантом, но я не уверен, стоит ли это передавать сырые команды. Я боюсь легко заблокировать токен.
Может быть, есть инструменты / сценарии, которые можно использовать для массовой персонализации смарт-карт?
Я открыт для предложений, что попробовать дальше. Спасибо!
Во время экспериментов я нашел решение, используя gpg-connect-agent 'SCD CHECKPIN' /bye. [11475]]. Написав собственную программу pinentry,Я мог бы ввести статический ключ, используя протокол Ассуана.
Мне придется изменить эту программу pinentry, чтобы теперь читать ключ из связки ключей ядра, используя keyctl .