Comment changer la clé gpg de la banque de mots de passe

16

On peut utiliser passcomme gestionnaire de mots de passe pour stocker les mots de passe.

Une chose qui n'est pas claire dans le manuel est de savoir s'il est possible de changer facilement la clé gpg utilisée. On initialise le magasin de mots de passe avec une clé gpg, mais je me demande quoi faire si la clé par exemple devient obsolète.

Existe-t-il un moyen pratique de décrypter et rechiffrer tous les mots de passe stockés dans le gestionnaire de mots de passe avec une autre clé?

Willem Van Onsem
la source

Réponses:

21

Utilisez pass init [-p path] <gpg-id><gpg-id>spécifie la nouvelle clé gpg avec laquelle vous souhaitez crypter vos mots de passe. Selon la passpage de manuel ,

Si l'identifiant gpg spécifié est différent de la clé utilisée dans les fichiers existants, ces fichiers seront rechiffrés pour utiliser le nouvel identifiant.

Cela semble fonctionner au moins dans pass 1.6.5 . Veuillez noter que vous aurez besoin d'accéder à l'ancienne clé privée gpg pour décrypter puis rechiffrer vos mots de passe.

Avertissement 1

Si l'un de vos passrépertoires ne rechiffre pas avec la nouvelle clé, il se peut qu'il ait un .gpg-idfichier qui remplace tout gpg-id spécifié au niveau supérieur du password-storerépertoire. Je ne vais pas expliquer comment résoudre ce problème dans cette question car il serait probablement un peu trop tangentiel, mais je dirai que lepass page de manuel fait un très bon travail pour l'expliquer.

Mise en garde 2

Si votre ~/.password-storerépertoire est un dépôt git (c'est-à-dire que vous avez exécuté à un moment donné pass git init), veuillez noter que l'ancien cryptage restera dans l'historique de validation du dépôt git; si votre préoccupation concerne une clé gpg potentiellement compromise, vous devez prendre toutes les mesures nécessaires pour vous débarrasser de cet historique git.

Wayne Warren
la source