И еще раз про аппаратные ключи GPG за копейки
Началось все с того что я почитав статью Аппаратный ключ шифрования за 3$ — возможно ли это? решил запилить такую штуку. В итоге stlink приехал со второго раза. Первый потерялся в недрах почты.
После приезда я выяснил что там стоит чип cks и по второй статье залил прошивку. В системе ключ определился
Но после этого начались проблемы.
Проблема с доступом к ключу
gpg не видел ключ. Точнее видел его, но только под root. Последовало долгое изучение проблемы и гугления. В итоге выяснилось
Первая проблема решается через добавление файла /etc/udev/rules.d/60-gnuk.rules
И перезагрузку udev
Это больше касается тех у кого не debian. В нем и его производных этой проблемы нет, но у меня fedora. После этого ключ увиделся.
Вторая проблема может быть решена двумя способами
Отключить сервис можно через его удаление или же банально остановив сервис
Второй вариант настраиваем сервис gnupg на использование pcscd
В этом случае родной scdaemon из gnupg ходит в ключ через pcscd.
Отлично карта доступна можно же залить ключ как описано и вперед! А вот и нет. Ну вообще да оно работает как описано в первой статье. Но есть нюанс.
Проблема с выбором ключей на самом ключе
Формулировка конечно великолепна, но поясню суть проблемы. Авторы предыдущих статей упускают следующий момент
На самом деле ключ содержит 3 ключа. Один для подписи, который как раз и грузили. Но тут есть момент. При таком вызове
Но тут опять есть два пути, но оба подразумевают добавление Authentication key
Но сначала стоит решить проблему с пустым Authentication key.
Мне помогла вот эта статья
Она рассказывает кстати где взять pem2openpgp он входит в состав monkeysphere, что отдельно прекрасно в Fedora пакет дропнули в 31 версии. Ладно из 30 версии пакет завелся.
Далее надо создать нормальный pgp ключ. Например так:
Пример честно сперт из официальной документации gnuk.
Далее сконвертировать ssh ключ и добавить его в gpg
А далее добавить этот ключ к ранее созданному ключу.
Для этого смотрим список ключей
Редактируем созданный ключ
Указываем в качестве добавляемого ключа импортированный ssh ключ. При добавлении выключаем подписывание и шифрование, а аутентификацию включаем. В итоге получаем ключ содержащий наш ssh ключ как пригодный для аутентификации.
Теперь осталось совсем немного. Перенести все это в аппаратный ключ. Снова запускаем редактирование ключа
Вызываем запись ключа
Замечу, что если просто писать ssh ключ как есть то пункта 3 не будет.
После записи выбираем ключ 1
При этом выделится ключ используемый для шифрования. Опять выполняем
Как видим выбор есть только как ключ шифрования. Если он вам не нужен, то пункт можно пропустить
Ну и наконец импортированный ssh ключ. Для начала убираем выделение с ключа 1
Далее если вы хотите сохранить ключи только на карте делаем
Иначе же, просто не сохраняем изменения.
В этом случае ключи не удалятся из локального хранилища и можно сделать бекап.
В итоге получим добавленные на ключ три ключа. И ssh ключ будет занесен не как ключ подписи, а как ключ аутентификации
Это конечно здорово, но как это все использовать? Тут есть два пути
Использование ключа через gpg-agent
В этом случае gpg-agent прикидывается ssh-agent и транслирует ключи аутентификации из gpg в ssh. Плюсы в том, что он не требует на каждый вход вводить pin, ну и более логично вписывается в ssh.
Для включения режима в
/.gnupg/gpg-agent.conf следующего содержания
Это включает кеширование и поддержку ssh.
Если хотим попробовать запускаем те же команды в локальном shell или просто открываем новый терминал/сессию. Если все сделали хорошо то
Покажет наличие ключа на карте.
Это говорит что ключ запрашивается с карты. Обратите внимание что пин будет запрашиваться не постоянно, а только когда истечет кеш в gpg-agent. Но если ключ вынут и вставлен по новой то кеш сбросится и при первом входе потребуется ввести его снова.
Использование ключа через pcks#11
Тут все просто. Первое проверяем что демон pcscd запущен
Далее делаем как и приводилось до этого
PIN при этом будет запрашиваться каждый раз, но зато один раз, а не два 🙂
И да на fedora команда меняется на такую
С моей точки зрения первый метод все же лучше, так-как предоставляет больше удобства и карта и так изменяется из gpg. Но если планируется так же организовать вход через токен, то надо использовать прослойку через pkcs.
GnuPG: Безопасная почта для Win, Mac и *nix
GnuPG (GNU Privacy Guard ) — открытая реализация PGP, совместимая со стандартами OpenPGP ( RFC 2440 ). GnuPG позволяет шифровать, расшифровывать, подписывать и верифицировать электронные сообщения при помощи пар ключей ( RSA по-умолчанию ). Наиболее частое применение GnuPG — в шифровании электронной почты и проверки подписи файлов, выложенных для скачивания. Но есть возможность использовать и в других протоколах: например, PSI (Jabber-клиент) поддерживает GnuPG и позволяет поточно шифровать переговоры.
Рассмотрим установку и первичную настройку GnuPG для трёх ОС: Windows, Mac OS X и Linux.
Подразумевается, что читатель имеет достаточные знания для того, чтобы выполнить несколько команд в консоли ОС (CMD/Terminal/xterm соответственно).
Скачивание
Windows: GPG4Win — готовая сборка GnuPG + GUI + Claws-Mail.
Mac OS X: Установить GPG Suite
Linux: В зависимости от вашего дистрибутива. Ключевое слово — gnupg2.
В связи с многообразием клиентов под *nix, расписывать установку для каждого — бесполезно.
Список клиентов, поддерживающих GNUPG — тут.
Установка
Windows: Стандартная установка. Не забываем поставить галочку около «Claws Mail».
Mac OS X: Устанавливаем GPG Suite.
Linux: В зависимости от дистрибутива и почтового клиента :)l.
Создание ключей
2048 должно хватить. Просто жмём Enter.
Через какое время ключ будет считаться недействительным? Жмите «Enter» 🙂 Пусть будет вечным.
Далее жмём «Y». И отвечаем на 3 вопроса.
Использование
Windows: Запускаем Claws-Mail. Подключаем аккаунт почты (тот, для которого создавали ключ! ).
Идём в настройки-модули, проверяем, что там есть модуль GPG.
Теперь, создаём сами себе сообщение и выбираем Параметры->Зашифровать.
Кстати, можем сразу создать новые ключи для другой учетной записи — Настройки-Настройки учетной записи-Модуль-GPG-Генерировать новую пару ключей
Mac OS X: Запускаем Mail, создаём новое сообщение, видим галочки «Signed» и «Encryped». Можем выбрать ключ для подписи/шифрования. Для 10.6 и Claws-mail аналогично Windows.
Linux:В зависимости от клиента. Для Claws-Mail аналогично Windows.
Переписка
Финал
Вот собственно, и всё. Удачного Вам шифрования )
Если хотите проверить — пишите мне (не забывайте прикладывать свой публичный ключ аттачем ).
Мой ключ — тут.
Удачи!
Подписываем коммиты GPG ключом
Чтобы проверить, что коммиты действительно получены из доверенного источника, в Git есть несколько способов подписать и проверить исходники, используя GPG.
GPG (также известный как GnuPG) создавался как свободная альтернатива несвободному PGP. GPG используется для шифрования информации и предоставляет различные алгоритмы (RSA, DSA, AES и др.) для решения этой задачи.
Нас же интересует использование GPG вместе с Git. Git является криптографически защищённой системой, но эти механизмы сложны в использовании.
Зачем подписывать коммиты?
Любой человек может подписаться любым именем и email в git. Никакой верификации при этом не происходит.
Таким образом любой человек может попробовать выдать свои коммиты за ваши, например, чтобы внедрить вредоносный код.
Чтобы проверить, что коммиты действительно получены из доверенного источника, в Git есть несколько способов подписать и проверить исходники, используя GPG.
Вот как это выглядит в GitHub
Подписанный коммит в GitHub
Настройка GPG
Если вы хотите подписать что-то, вам необходим настроенный GPG и персональный ключ.
Посмотреть список ключей можно следующей командой.
Создание нового ключа GPG
Вам необходимо будет ввести вашу почту, ФИО и пароль для защиты GPG.
Так же Необходимо получить много случайных чисел. Желательно, чтобы вы в процессе генерации выполняли какие-то другие действия (печать на клавиатуре, движения мыши, обращения к дискам); это даст генератору случайных чисел больше возможностей получить достаточное количество энтропии.
По умолчанию ключ GPG годен год.
Получить публичный ключ
Иногда необходимо получить ключ. Делается это следующей командой:
Публикация открытого ключа
Это не обязательно, но в некоторых случаях необходимо сделать ваш ключ доступным и узнаваемым в Интернете.
Выполните эту команду:
Не волнуйтесь, эта команда отправит только публичный ключ.
Добавление ключа в Git
Теперь Git будет использовать ваш ключ по умолчанию для подписи тегов и коммитов.
Персонально для репозитория можно указать другой GPG ключ. Например я так сделал для работы:
Ручное добавление
Для глобальной настройки:
Добавление ключа в GitHub
Чтобы получить галочку верифицированного комита, необходимо сообщить гитхабу о новом GPG ключе. Перед этим убедитесь, что email из GPG ключа добавлен в ваш аккаунт.
Чтобы добавить ваш ключ в GitHub перейдите в Settings > SSH and GPG keys. Вас интересует кнопка “New GPG key”
Теперь необходимо получить публичный ключ. Для этого выполните команду:
Скопируйте целиком полученное значение, вставьте его в поле и нажмите “Add GPG key”. Если все прошло успешно, то вы увидите ваш ключ в списке.
Подписание коммитов
Среда разработки IntelliJ IDEA автоматически подписывает все ваши коммиты, если вы установили глобальный ключ.
Заключение
Убедитесь, что вы понимаете GPG и преимущества подписания, прежде чем принимать это как часть стандартного рабочего процесса.
Шифрование и подпись сообщений с помощью GPG
GPG (GNU Privacy Guard) – это свободное средство для шифрования данных. GPG обеспечивает безопасную передачу информации и может подтвердить подлинность источника сообщения.
Это руководство расскажет, как работает и как реализовывается GPG.
Примечание: Хотя руководство предназначено для сервера Ubuntu 16.04, с небольшими поправками оно подойдет и для других дистрибутивов.
Как работает шифрование на открытых ключах
Проблема, с которой сталкиваются многие пользователи, – это настройка безопасного взаимодействия и подтверждение личности собеседника. Многие средства, которые пытаются решить эту проблему, рано или поздно требуют передачи пароля или других идентифицирующих учетных данных по незашифрованному соединению.
Ограничение доступа к сообщению
В некоторых случаях право на чтение сообщения должно быть только у получателя (особенно если сообщения содержат конфиденциальные данные).
GPG использует механизм безопасности, известный как шифрование на открытых ключах. Этот механизм позволяет разделить шифрование и дешифровку данных на две отдельные части.
Если обе стороны создают ключи и меняются открытыми ключами, они смогут шифровать сообщения. Для этого нужно иметь открытый ключ получателя (чтобы он расшифровал сообщение с помощью своего закрытого ключа) и свой закрытый ключ (чтобы расшифровать ответ, зашифрованный с помощью вашего открытого ключа). Таким образом, вы можете передавать зашифрованные данные с уверенностью в том, что расшифровать их сможет только пользователь, у которого есть закрытый ключ.
Подтверждение подлинности отправителя
Другим преимуществом GPG является возможность подписывать сообщения с помощью закрытого ключа. Открытый ключ, который есть у получателя, может подтвердить, что сообщение было отправлено указанным пользователем.
Настройка GPG-ключей
В большинстве дистрибутивов GPG устанавливается по умолчанию.
Если это не так, установите GPG самостоятельно. В Ubuntu и Debian введите:
sudo apt-get update
sudo apt-get install gnupg
В CentOS нужно ввести:
sudo yum install gnupg2
Чтобы шифровать данные с помощью GPG, создайте пару ключей. Для этого введите команду:
Команда задаст ряд вопросов.
Please select what kind of key you want: (1) RSA and RSA (по умолчанию)
What keysize do you want? 4096
Key is valid for? 1y (Срок действия истекает через 1 год. Для тестирования достаточно создать ключ с коротким сроком действия; для этого просто укажите число.)
Is this correct? y
Real name: имя
Email address: your_email@address.com
Comment: Дополнительный комментарий, который будет отображаться в подписи
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
Enter passphrase: Введите надежную парольную фразу (верхний и нижний регистр, цифры, символы).
После этого gpg сгенерирует ключи с помощью энтропии. Энтропия – это уровень непредсказуемости и неопределенности, которая существует в системе. GPG использует энтропию для создания безопасного набора ключей.
Этот процесс может занять много времени в зависимости от размера ключа и того, насколько активна система. Чтобы создать дополнительную энтропию, можно использовать инструмент под названием haveged. Откройте еще один терминал и подключитесь к серверу по SSH, чтобы настроить haveged.
Создание сертификата отзыва
Также нужно предусмотреть способ отзыва пары ключей (он пригодится в случае потери закрытого ключа). GPG позволяет быстро создать такой сертификат.
Это нужно сделать сразу после генерирования пары ключей. Сгенерируйте сертификат отзыва заранее и храните его в надежном месте (учтите, что компьютер может подвергнуться атаке или просто сломаться).
Чтобы сгенерировать сертификат отзыва, введите:
Программа предложит подтвердить создание сертификата отзыва, а затем спросит, по какой причине нужно отозвать ключи. Эта информация будет видна другим пользователям. Вы можете выбрать любой из доступных вариантов (но он не будет точным, поскольку это делается заранее).
Примечание: Многие рекомендуют создать сертификат отзыва для каждого из вероятных сценариев.
После этого будет предложено добавить комментарий и подтвердить действия. Чтобы создать сертификат отзыва, нужно ввести свою парольную фразу GPG. Сертификат отзыва будет записан в файл, указанный с помощью флага –output (в данном случае в revocation.crt).
Revocation certificate created.
Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable. But have some caution: The print system of
your machine might store the data and make it available to others!
Сразу ограничьте доступ к файлу сертификата:
chmod 600
Сертификат отзыва должен храниться в надежном месте, чтобы другие пользователи не могли отозвать ваш ключ. Создайте резервную копию сертификата и переместите ее на другую машину.
Импорт открытых ключей других пользователей
Теперь вы можете принимать открытые ключи от других пользователей, с которыми вы хотели бы общаться.
Импортировать открытый ключ пользователя можно несколькими способами. Если вы получили открытый ключ в текстовом файле, GPG может импортировать его с помощью следующей команды:
Также существует вероятность того, что пользователь, с которым вы хотите общаться, загрузил свой открытый ключ на специальный сервер. Такие серверы используются для размещения открытых ключей людей со всего мира.
Популярным сервером ключей является MIT. В браузере вы можете искать людей по их имени или адресу электронной почты:
Также поиск можно выполнять с помощью GPG.
Проверка и подпись ключа
Вы можете свободно распространять свой файл открытого ключа, и люди могут использовать его для безопасного общения с вами. Однако также важно иметь возможность при первой передаче открытого ключа убедиться в том, что ключ принадлежит именно тому пользователю, который вам нужен.
Подтверждение личности пользователей
Как понять, что человек, дающий вам открытый ключ, действительно является тем, за кого себя выдает? Если вы знакомы с человеком лично, это вообще не проблема: вы можете обменяться файлами при встрече.
Но есть много других обстоятельств и ситуаций, когда личный контакт невозможен. Вы можете не знать другого пользователя лично или жить на разных континентах. Если вы не хотите пользоваться незашифрованными каналами, проверка открытого ключа может вызвать ряд сложностей.
К счастью, GPG позволяет создать отпечаток ключа, с помощью которого обе стороны могут подтвердить подлинность ключей собеседника. Это дает уверенность в том, что оба открытых ключа верны.
Чтобы получить отпечаток ключа, введите:
Полученное значение можно сравнить с самим пользователем или же с кем-то, кто имеет доступ к его серверу.
Подпись ключа
Подпись ключа говорит программному обеспечению, что такому ключу можно доверять, и что он действительно принадлежит указанному пользователю.
Чтобы подписать импортированный ключ, наберите:
Подпись ключа подтверждает, что владелец полученного открытого ключа действительно тот, за кого себя выдает. Это также помогает другим пользователям решить, следует ли доверять ему: например, пользователь, который доверяет вам, увидев, что вы подписали ключ этого человека, сможет также доверять ему.
Чтобы позволить владельцу подписанного ключа пользоваться доверительным к нему отношением, отправьте ему назад подписанный ключ. Это можно сделать, набрав:
Теперь нужно снова ввести парольную фразу. После этого подписанный открытый ключ будет выведен на экране. Отправьте его владельцу, чтобы он мог использовать эту «печать одобрения» при общении с другими пользователями.
Получив новый подписанный ключ, пользователь может импортировать его в GPG и внести информацию о подписи. Это делается таким образом:
Доступность открытого ключа
Имея доступ к к открытому ключу, другие пользователи не могут навредить вашей системе.
Потому полезно сделать открытый ключ легко доступным. Тогда пользователи могут быстро найти необходимую информацию, чтобы сразу же отправить вам зашифрованное сообщение.
Чтобы отправить кому-либо открытый ключ, запросите его в GPG:
Затем можно скопировать и вставить его в текстовый файл или отправить его любым другим удобным способом.
Чтобы опубликовать ключ на сервере ключей, можно вручную заполнить формы, доступные на большинстве сайтов.
Также это можно сделать через интерфейс GPG. Чтобы узнать ID своего ключа, введите:
Выделенная часть в выводе – это ID ключа. Это короткий путь сослать ключ на внутреннее программное обеспечение.
pub 4096R/311B1F84 2013-10-04
uid Test User
sub 4096R/8822A56A 2013-10-04
Чтобы загрузить открытый ключ на сервер ключей, используйте следующий синтаксис:
Шифрование и дешифровка сообщений при помощи GPG
Обменявшись ключами с другим пользователем, можно легко шифровать и расшифровывать сообщения.
Шифрование сообщений
Для шифрования сообщений используется флаг –encrypt. Базовый синтаксис выглядит так:
Данные параметры шифруют сообщение, подписывают его вашим закрытым ключом (что подтверждает то, что сообщение написано вами), а также позволяют создать сообщение в текстовом формате.
То есть, если сообщение было зашифровано с помощью открытого ключа другого пользователя, у вас не будет возможности снова просмотреть сообщение, если только вы не получили его закрытый ключ. При указании отправителя вторым получателем программа шифрует сообщение дважды, отдельно для каждого получателя.
Дешифровка сообщений
Получив сообщение, просто вызовите GPG на файл сообщения:
В случае необходимости программа запросит пароль.
Если сообщение имеет вид чистого текста, то его можно скопировать и вставить, перед этим набрав gpg безо всяких аргументов. Можно нажать «CTRL-D», чтобы обозначить конец сообщения, и GPG расшифрует его.
Поддержка ключей
Существует ряд процедур, которые нужно выполнять для поддержки базы ключей.
Чтобы просмотреть список доступных GPG-ключей других пользователей, используйте команду:
Не стоит полностью полагаться на серверы открытых ключей, так как они могут содержать устаревшую информацию. Доверять отозванным (а значит — потенциально взломанным) ключам опасно.
Обновить информацию о ключах можно с помощью команды:
Эта команда извлекает новую информацию о ключах с серверов ключей.
Чтобы получить информацию с определенного сервера ключей, используйте команду:
Команда загрузит информацию о ключах с указанного сервера. Если команде не удалось обнаружить или извлечь какой-то ключ, она выведет сообщение об ошибке.
Заключение
Правильное использование GPG обезопасит переписку. Это очень полезно как при работе с конфиденциальной информацией, так и в обыденной переписке.
Поскольку определенные зашифрованные сообщения могут быть помечены программами мониторинга, рекомендуется использовать шифрование сообщений для любой, не только конфиденциальной, переписки.
Менеджер паролей с GPG шифрованием: настройка PASS на iOS + Git
Наверняка многим из вас знакомы работы Филиппа Циммерманна, а в частности, самая известная из них — PGP (Pretty Good Privacy — Почти Полная Конфиденциальность), опубликованная в далеком 1991 году. Изначально PGP как пакет программного обеспечения предназначался для шифрования электронной почты и до сегодняшнего момента алгоритм(ы) шифрования, заложенные в PGP еще не были взломаны.
В этом году PGP исполняется 30 лет и в связи с этой знаменательной датой я с вашего позволения напишу свой опыт взаимодействия с PGP в качестве основы для менеджера паролей.
Небольшая ремарка: PGP был отжат корпоратами и стал проприетарным, а альтернативная версия с открытым исходным кодом стала носить имя GnuPG (сокр. GPG). Далее в этой статье буду пользоваться аббревиатурой GPG.
Предисловие
Каждый из вас наверняка пользуется менеджером паролей, а если не пользуется, то точно слышал об этом.
Если у вас нет менеджера паролей, то вы наверняка:
▍У меня было несколько требований:
▍Что такое PASS
PASS — это небольшой bash-скрипт, созданный Джейсоном Доненфельдом, хранящий пароли в обычных текстовых файлах, зашифрованных с помощью GPG. Официальный сайт — www.passwordstore.org
Может хранить в зашифрованном виде не только логины/пароли, но и любую текстовую информацию.
Шифрование всей информации производится с помощью GPG, запросы паролей осуществляет gpg-agent, за контроль версий и поддержку удаленного репозитория отвечает Git, а сама утилита написана на языке bash. Таким образом, у вас есть возможности, за которые можно не беспокоиться. На самом деле, если вы хотите, вы можете получить доступ к репозиторию Git и файлам Gnupg напрямую, вообще не используя PASS.
▍Пререквизиты для GPG, PASS, Pass for iOS:
▍Пререквизиты для Gitea:
Документация Gitea — варианты установки
Привязку Gitea к собственному домену, установку SSL-сертификата в этой статье рассматривать не буду. Укажу лишь отличный бесплатный вариант, который я использовал:
Используемые данные Gitea в статье:
Gitea установлен на zil02.ml
login: gitlog
e-mail, указанный при создании gpg связки ключей: gitlog@zil02.ml
▍Настройка, установка GPG (GnuPG):
На странице со списком свободных OS можно выбрать приглянувшуюся —
www.gnu.org/distros/free-distros.html#for-pc я установил Dragora как основную Linux систему. У вас это может быть любая OS на ядре Linux. Самая распространенная Ubuntu, но это не значит, что самая безопасная. В Ubuntu на уровне ядра есть проприетарные компоненты, которые противоречат философии свободного программного обеспечения.
Итак, открываем терминал. Обновим репозитории и установим gpg и gnupg:
Смотрим версию установленного GPG:
У меня версия gpg (GnuPG) 2.2.12
Для того чтобы посмотреть публичный и приватный ключи:
Убеждаемся, что ключей нет
Теперь давайте их создадим. Делается это командой:
Выбираем — 1 (default)
Ставим максимальную длину — 4096
Не ограничиваем валидность ключа временем: ставим 0
Подтверждаем свой выбор.
Вводим Имя, Фамилию, e-mail. Подтверждаем выбор.
Далее Вас спросят придумать мастер-пароль
Это главный пароль для доступа в Вашей связке ключей! Делайте его максимально сложным и запомните, запишите в надежном месте.
Введя легкий пароль, вы увидите сообщение:
Ваш ключ создался!
▍Установим менеджер паролей PASS
Посмотрим, где у нас лежит PASS (в /usr/bin/pass):
Проинициализируем хранилище паролей, всю связку ключей, созданных ранее с e-mail: gitlog@zil02.ml:
Попробуем добавить любую информацию в наш менеджер паролей PASS из консоли, для лучшего понимания!
PASS использует для хранения каждого пароля к сервису отдельный файл. Это очень удобно!
Например, добавим пароль на email:
где Email — это папка, через ‘/’ gmail.com — текстовый файл с паролем.
Введем для примера пароль 1234
Создался зашифрованный бинарник gmail.com.gpg в директории /root/.password-store/Email
Для просмотра зашифрованного пароля вводим свой мастер-пароль от gpg ключа:
Проверим через редактор в WinCSP
Тогда зашифрованные данные примут человеческий вид
▍Настройка Gitea:
Теперь нам нужно настроить Git (Gitea) на локальной машине, берем user и email из настроек gitea выше:
На всякий случай указываем правильный путь до gpg:
вместо “gpg2” у вас может быть просто “gpg”
И тестируем, подписываются ли наши сообщения:
Если сообщения не подписываются, и возникает ошибка “gpg: signing failed: Inappropriate ioctl for device”
Справедливо для linux и osx.
Отлично! Продолжаем:
Добавляем первоначальный конфиг в /root/.gnupg/gpg.conf:
Теперь выбираем, каким ключом будут подписываться наши коммиты
проверяем:
Создадим git репозиторий
▍Настроим связку PASS-Gitea на локальной машине
Добавляем тот путь, который нам показал Gitea после установки Gitea (заменив дефолтный путь 127.0.0.1:22022 на имя домена):
Коммитим изменения. Для того чтобы закачать изменения, пользуемся стандартным методом.
Если все сделали правильно, должно получиться следующее:
Ура! Все изменения из нашего православного менеджера паролей PASS синхронизировались с нашим Gitea. (Все содержимое папки * /.password-store)
▍Установим Pass for iOS
Экспортнем public и secret ключ и перенесем на iPhone:
Пропишем настройки git репозитория:
Обновим табу Passwords и увидим нашу папку Email с файлом gmail.com 
Поздравляю Вас, мы справились на Отлично!
В этой пошаговой статье мы с Вами установили собственный git репозиторий, пакет GPG и менеджер паролей PASS на локальную систему (Linux) и на iPhone (Pass for iOS). Теперь мы можем создавать, изменять пароли с PC, айфона, синхронизировать изменения через git, использовать автозаполнение логинов-паролей на iPhone в браузерах для входа в различные онлайн сервисы.
Можем хранить любые данные помимо паролей.
Очень простой формат организации и хранения паролей дает нам достаточно широкие возможности:
В первую очередь этой статьей хотел вызвать интерес к открытому программному обеспечению и правильному хранению Вашей персональной информации! Хранить пароли в месте, защищенном от хитрого взора корпораций, считаю хорошей практикой!
