Seahorse — это приложение для управления PGP и SSH ключами.
Поддерживает интеграцию с редакторами Nautilus, gedit и почтовым клиентом  Evolution для защитного преобразования данных.
Также имеется поддержка работы с серверам ключей HKP и LDAP.

Программа основана на GnuPG и распространяется как свободное программное обеспечение под лицензией GNU GPL.

Графический менеджер паролей и ключей Seahorse

Установка пакета

На момент написания статьи пакет графического менеджера seahorse не включен в дистрибутив и репозиторий ОС ОН Орёл 2.12.
Для установки пакета требуется подключить репозиторий Debian, после чего пакет можно будет установить с помощью графического менеджера пакетов или из командной строки командой:

При написании статьи использовалась версия пакета 3.20.0

Запуск приложения

После установки пакет доступен для запуска из командной строки:

Основные приемы работы с пакетом

Главное окно программы устроено довольно просто:
хранимая информация распределена по четырём категориям:

• Пароли
• Сертификаты
• Безопасная оболочка
• Ключи PGP
• Секретный ключ

Выбор категорий и их содержимого можно осуществлять с помощью мышки, графический интерфейс прост и не требует особого описания.

Отключение запроса пароля к основной связке ключей

При запуске приложений после входа пользователя для того чтобы эти приложения (например, электронная почта, или система мгновенных сообщений) смогли получить доступ к нужным им паролям, от пользователя требуется ввести мастер пароль. Это не всегда удобно, и имеется возможность этот запрос пароля отключить.

Для отключения запрос пароля:

• Правой кнопкой мыши выбрать связку ключей "Основная" в категории "Пароли" (в зависимости от используемой системной локали связка может назваться "Login");
• В появившемся окне ввести пароль от этой связки ключей;
• В появившемся окне для ввода нового пароля оставить поля ввода пустыми, и нажать кнопку "Продолжить";
• Программа выдаст предупреждение о возможных последствиях. Еще раз нажать кнопку "Продолжить".

При необходимости возврат пароля для доступа к связке ключей осуществляется аналогичными действиями.

PAM-модуль pam-gnome-keyring

Модуль pam-gnome-keyring позволяет автоматически разблокировать связку ключей "login" паролем, который пользователь вводит при входе в систему, что исключает необходимость повторного ввода пароля при запуске приложений. Пароли от других связок ключей могут храниться в связке "login", тогда и другие связки разблокируются автоматически.

Установка пакета

На момент написания статьи пакет pam-gnome-keyring не включен в дистрибутив и репозиторий ОС ОН Орёл 2.12.
Для установки пакета требуется подключить репозиторий Debian, после чего пакет можно будет установить с помощью графического менеджера пакетов или из командной строки командой:

Работа пакета

Работа пакета подробно описана в документации разработчика.

Общий порядок работы:

• При аутентификации пользователя или при входе в сессию, модуль проверяет наличие переменной окружения GNOME_KEYRING_CONTROL.
  Если переменная отсутствует, предполагается, что gnome-keyring-daemon не запущен для этой сессии.

  • Если указана опция auto_start модель запускает gnome-keyring-daemon.

  • IЕсли указана опция only_if то опция auto_start отрабатывается только в том случае, если процесс есть в списке.
    Например, auto_start only_if=fly_dm запустит gnome-keyring-daemon только для fly_dm.

• При аутентификации пользователя модуль пытается разблокировать связку ключей 'login' паролем, который ввёл пользователь.
  • Если связка ключей 'login' не существует, она будет создана с паролем пользователя.
  • Если связка 'login' является перовой и единственной связкой ключей, то она становится используемой по умолчанию.

• При завершении этапа если gnome-keyring-daemon был запущен модулем, то демон будет остановлен.

• Когда пользователь меняет пароль, модуль также меняет пароль связки 'login'.

  • При необходимости, на это этапе также запускается gnome-keyring-daemon .

  • Если суперпользователь меняет пароль, или /etc/shadow редактируется напрямую, в силу отсутствия старого пароля связка 'login' не будет обновлена.
• Если связка существует 'login' и разблокирована, то при каждом последующем приглашении пользователю разблокировать иную связку ключей будет предоставляться возможность включить автоматическую разблокировку при следующем входе ("Automatically unlock this on login")
  • При согласии пользователя пароль связки будет добавлен в связку 'login'
  • Перед тем, ка запросить согласие пользователя на автоматическую разблокировку, модуль проверяет, нет ли уже пароля от этой связки в связке 'login'.

Настройка авторизации

В зависимости от задач возможно разное применение модуля.

Пример файла /etc/pam.d/gdm configures gdm service to use standard UNIX authentication, as well as start and unlock Gnome Keyring. Rest of configuration is inherited from login service configuration.

• 
  

  Информация
  auth required pam_unix.so auth optional pam_gnome_keyring.so account include login session include login session optional pam_gnome_keyring.so auto_start password include login

  
  

Пример файла /etc/pam.d/passwd для настройки обновления пароля связки при обновлении пароля пользователя:

Опции модуля pam_gnome_keyring:

Инструмент командной строки gpg (gpg2)

Для управления ключами пользователя в состав дистрибутивов ОС ОН Орёл 2.12 и ОС СН Смоленск 1.6 включен пакет gnupg.
Пакет устанавливается автоматически при установке системы.

Основные инструменты пакета gnupg:

• gpg - основной инструмент для работы с ключами. Подробная справка по работе с файлами доступна по ссылке или по команде man gpg, примеры .
  Примеры команд:

  • Получение ключей с сервера ключей по отпечатку ключа:

    Command
    gpg --keyserver keys.gnupg.net --receive-keys 6FB2A1C265FFB764

    
    

  • Вывод списка зарегистрированных открытых ключей (по умолчанию - для текущего пользователя):

    Command
    gpg --list-keys

    Пример вывода команды:

    Раскрыть

    $ gpg --list-keys /home/user/.gnupg/pubring.kbx --------------------------- pub   rsa2048 2011-03-10 [SC]       972FD88FA0BAFB578D0476DFE1F958385BFE2B6E uid         [ неизвестно ] X2go Debian/Ubuntu Packaging <debian@x2go.org> sub   rsa2048 2011-03-10 [E] pub   rsa4096 2012-05-08 [SC] [   годен до: 2019-05-07]       ED6D65271AACF0FF15D123036FB2A1C265FFB764 uid         [ неизвестно ] Wheezy Stable Release Key <debian-release@lists.debian.org>

    
    

  • Удаление открытого ключа:

    Command
    gpg --delete-keys debian-release@lists.debian.org

    Пример вывода команды:

    Раскрыть
    $ gpg --delete-keys debian-release@lists.debian.org gpg (GnuPG) 2.2.12; Copyright (C) 2018 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. pub  rsa4096/6FB2A1C265FFB764 2012-05-08 Wheezy Stable Release Key <debian-release@lists.debian.org> Удалить данный ключ из таблицы? (y/N) y

    
    

• gpg-zip - инструмент для защитного преобразования и подписания архивов. См. man gpg-zip;
• gpgconf - настройка параметров работы с ключами. См. man gpgconf