У меня есть два PGP ключа, которые я использую для подписания и расшифровки электронных писем в kmail. При этом мне нужно вводить пароль ключа (в данный момент он хранится в KeePass).

Можно ли сохранить пароли в моем kwallet таким образом, чтобы они автоматически разблокировали ключи по мере необходимости? Если да, то как это можно сделать?

Редактировать: Я нашел что-то похожее здесь, но для SSH ключей, а не PGP. Может быть, это можно адаптировать?

Разблокировка

Можно ли сохранить пароли в моем kwallet таким образом, чтобы они автоматически разблокировали ключи по мере необходимости? Если да, то как это можно сделать?

Насколько я знаю, это нельзя сделать в kWallet. Вместо этого используйте gpg-agent. Вы можете настроить его параметры так свободно, как хотите, сбалансировав между безопасностью и удобством доступа. В зависимости от используемого дистрибутива агент должен сразу работать. Возможно, он даже уже запущен в фоновом режиме?

Другие методы управления ключами

Я никогда не пользовался KeePass, поэтому не знаю его возможностей. Однако kGPG может оказаться полезным. Это графический интерфейс для системы GnuPG. В частности, он также позволяет настраивать параметры GPG на низком уровне, включая GPG агент.

Настройки GnuPG

Здесь вы можете настроить, какой бинарный файл gpg и какой конфигурационный файл и домашняя папка будут использоваться. Эти значения определяются автоматически при первом запуске и должны уже работать.

Использование GnuPG агента делает работу с GnuPG более удобной, так как вам не нужно вводить свой пароль для каждого действия. Он кэшируется в памяти на некоторое время, так что любая операция, которая требует пароля, может быть выполнена немедленно. Учтите, что это может позволить другим людям использовать ваши закрытые ключи, если вы оставите свою сессию доступной для них.

kMail

Вопрос также содержит тег kmail, поэтому я также объясню это. Вам может быть полезно прочитать раздел настроек PGP и FAQ kmail, раздел GnuPG. Если вы настроили ключи с помощью вышеупомянутого kGPG, вам не нужно сильно беспокоиться о всех предупреждениях в верхней части страницы. Просто будьте в курсе.

Интеграция

Интеграция на самом деле проходит имплицитно. kGPG просто говорит GnuPG, какие ключи создавать, изменять, открывать и выполнять другие действия. Он отображает в своем интерфейсе, какие ключи есть в системе и их уровень доверия и т. д. Но в фоновом режиме все хранится в директории ~/.gnupg в формате GnuPG. (Я не уверен, вызывает ли kGPG GPG или связан с библиотеками GPG, но эффект остается тем же)

kMail — это просто другой тип интерфейса. Он вызывает команду gpg, чтобы получить доступ к ключам, хранящимся в той же директории. Например, для подписания, шифрования и расшифровки.

gpg-agent работает на уровне сессии. Это означает, что если вы разблокируете закрытый ключ в kGPG, он также будет разблокирован для kMail и наоборот.

Редактировать

Я только что нашел kwalletcli, который предоставляет привязки kwallet для pinentry. Мой дистрибутив не предлагает пакет, поэтому на данный момент я не могу это попробовать.

Возможно, вам придется вручную установить пакет, если ваш дистрибутив также этого не поддерживает.

Еще раз вики arch приходит на помощь:

Совет: Для использования /usr/bin/pinentry-kwallet вам нужно установить пакет kwalletcli.

~/.gnupg/gpg-agent.conf:
#pinentry интерфейс с kdewallet
pinentry-program /usr/bin/pinentry-kwallet

Альтернатива

Если вы не хотите или не можете установить kwalletcli, возможно, вы сможете сделать некоторые сценарии, используя команду kwallet-query. Вам нужно знать, какой кошелек открыть, чтобы получить пароль. Смотрите man kwallet-query для получения дополнительной информации.

Однако gpg не позволяет вводить пароль из STDIN по умолчанию, поэтому вам нужно будет настроить gpg для этого.

Примечание о ssh-agent

Если вы заставите gpg-agent работать правильно, вы также можете использовать его как ssh-agent.

пример на Kubuntu 22.04 (Jellyfish), как использовать PGP ключи Keybase с Git (аутентификация и подпись)

# настройка Keybase, где вы храните PGP ключи в облаке
https://keybase.io/docs/the_app/install_linux

# Импортируйте открытый ключ
keybase pgp export | gpg --import

# Импортируйте закрытый ключ
keybase pgp export -s | gpg --allow-secret-key-import --import

# покажите все ключи
gpg --list-keys --with-keygrip
gpg --list-secret-keys --with-keygrip

# Должно быть 3 ключа: один главный [SC]==PUBKEY_USAGE_SIG&PUBKEY_USAGE_CERT и два подключа [A]==PUBKEY_USAGE_AUTH и [E]==PUBKEY_USAGE_ENC

# Теперь вам нужно отредактировать главный из них ([SC] ID), чтобы "доверять" ему
gpg --edit-key PUT_[SC]_ID_HERE

key 0
trust
5
y
key 1
trust
5
y
key 2
trust
5
y
quit

echo 'enable-ssh-support' >> ~/.gnupg/gpg-agent.conf
echo 'pinentry-program /usr/bin/pinentry-kwallet' >> ~/.gnupg/gpg-agent.conf

gpg -K --with-keygrip
echo 'PUT_[A]_keygrip_ID_HERE' >> ~/.gnupg/sshcontrol

echo 'export SSH_AUTH_SOCK=$(gpgconf --list-dirs agent-ssh-socket)' >> ~/.bashrc
echo 'gpgconf --launch gpg-agent' >> ~/.bashrc

# настройка конфигураций git и установка вашего любимого редактора
echo 'export VISUAL="vim"' >> ~/.bashrc
git config --global commit.gpgsign true
gpg --list-secret-keys --keyid-format=long
git config --global user.signingkey [SC]_sec_id
git config --global user.name "stackexchange"
git config --global user.email [email protected]


# перезагрузите среду терминала и gpg-agent и проверьте, чтобы все работало
source ~/.bashrc
gpgconf --kill gpg-agent
ssh-add -L
ssh -T [email protected]

Вдохновленный kwalletcli, предложенным в ответе @Tim, я написал небольшой сценарий на python, чтобы искать пароли в kwallet, доступный на github. Его единственная зависимость — это модуль keyring для python.

Просто скажите gpg-agent, чтобы использовать его вместо вашего текущего pinentry, и он сделает свое волшебство. Он также будет запускать настоящий процесс pinentry в фоновом режиме для всего, что не требует паролей.