LINUX.ORG.RU

gpg. перестала подходить пассфраза

 ,


0

1

ничего не понимаю. сгенерировал ключ rsa2048, установил длиннющую пассфразу, пользовался, пользовался. и вдруг она перестала подходить. вот ввел ее для расшифровки, все ок. дописал финальные штрихи в скриптике, пускаю снова - не подходит. что за ерунда, вводил многократно, фраза осмысленная и легкая. убил .gnupg, восстанавливаю секретный ключ из архива - ввожу пассфразу, снова неверно. думаю - может где-то не ту букву нажимал все время..) ну такого же не может быть. а что может?

$: gpg –version gpg (GnuPG) 2.2.20 libgcrypt 1.8.5 Copyright (C) 2020 Free Software


У меня с zip было похожее.

torvn77 ★★★★★
()

Может быть плавающая ошибка в памяти, которую мемтест например поймает после нескольких прогонов и только на разогретом компе. Я один раз так всю репу сломал, тоже архивы распаковывались через раз, пароли то подходили, то нет, бились сетевые пакеты... А потом я открыл какой то конфиг и увидел в нём буквы которые я явно не писал. Закрыл, не сохраняя, снова открыл, и их не увидел. И тут до меня дошло...

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

да ну наврядли. это смартфон вообще. asus, qualcomm. ничего не сбоит. вопрос не по аппаратной части. блин) даже не подумал что мне все сразу хьюниксами тыкать начнут

gstw
() автор топика
Ответ на: комментарий от gstw

да ну наврядли

Ох лол, да это основное.

anonymous
()

да, походу я брут напишу для нее быстрее чем…(

gstw
() автор топика

У меня такая же ситуация была с luks. Больше года использовал luks c одним паролем на системном разделе, а так же внешнем hdd. В один прекрасный момент пароль перестал подходить для обоих luks. Внешний hdd с luks пытался открыть на других компьютерах, но безуспешно. Восстановление заголовков luks не помогло. С шифрованными zip, rar была также проблема лет 10 назад. Пароль (он был один для всех) на часть архивов переставал подходить. Архивы были расположены в нескольких независимых местах, работа с ними была на нескольких компьютерах, поэтому сбои с железом можно исключить. Амнезия полностью исключена, так как все пароли были сохранены и распечатаны на всякий случай.

anonymous
()

Это ЦРУ балуется.

anonymous
()

Регулярно встречаю такое с паролями. Во всех случаях, когда удавалось починить, оказывалось либо повторявшаяся опечатка при слепом вводе, либо плохая память про место расположения не-(обычных-)?букв.

DonkeyHot ★★★★★
()
Ответ на: комментарий от DonkeyHot

Короче говоря, руки из жопы.

anonymous
()
Ответ на: комментарий от anonymous

Ага. Помнится страшно давно телемастером подрабатывал, и одна бабка меня выбесила просто. Жаловалась что у неё телевизор моргает, а я над ней издеваюсь и телемастер я фальшивый, потому что говорю что чинить нечего - а он моргает. Сидел с ней два часа, моргало сознание у старушки. Но убедить её в этом было невозможно.

Вообще мистических чудес в технике не бывает, у всего есть причина. Но бывает что причина в голове.

Jameson ★★★★★
()

Устанавливал сервак в филиале. Все настроил и уехал. На следующий день захожу на тот сервак по ssh а он меня нах...

И где проблема с паролем была угадайте? В постах выше, САМУЮ ГЛАВНУЮ причину неверного пароля так никто и не назвал.

Мне, в филиале, подсунули хреновую клаву, которая не печатала какой-то символ, вот его в пароле, введенном с рабочей клавы как раз и не хватало!

А вам, всем перед тем как винить ЦРУ/анб/злобных хакеров и свою память стоит попробовать сменить клавиатуру. Клава старая, какой-то символ с пароля не пропечятывает.

anonymous
()
Ответ на: комментарий от anonymous

Сертификат тоже можно украсть.

Ssh в том случае был сделан хорошо.

anonymous
()

всё-таки больше склоняюсь к проблемам с головой и памятью

Harald ★★★★★
()

и к бэкапу, восстановленному на другое устройство с другой ОС, тоже перестала?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

и к бэкапу, восстановленному на другое устройство с другой ОС, тоже перестала?

На другом устройстве, с другой клавиатурой пароль должен подойти. ;)

anonymous
()
Ответ на: комментарий от anonymous

достаточный чтобы исключить маразм типа битой памяти или заедающего винта.

а вот по линухам и особенно по гпг опыта не хватает. гуглил весь вечер, толком ничего не отыскал.

в общем заменил этот блок другим пока, но вопрос остается не решенным.

gstw
() автор топика

у меня такое же с openssl aes-256-cbc было, причём два или три раза с независимыми друг от друга данными. хранил зашифрованный архив на различных зеркалах и локально, время от времени обращался к нему вводя пассфразу, но однажды это просто перестало работать.

вот я теперь хз как шифрованию можно доверять. пусть локально, лежит «как есть». я пробовал различные дистрибутивы (в том числе «устаревшие»), различные версии openssl, везде одна ерунда — неверная пасс-фраза, либо подобная ошибка. вплоть до того, что вводил фразу в открытом терминале чтобы видеть каждый символ, а затем копипастил мышкой.

к счастью, дёрнул меня чёрт в один момент распаковать архив и держать все файлы отрыто, wallet.dat не потерялся. :)

я не знаю, что с архивом могло случиться, тем более если он НЕ модифицировался. я пробовал воссоздать точь в точь на том же окружении, где архив был создан. может дополнительно стоит сохранять md5-сумму к архиву для сверки? не знаю...

Spoofing ★★★★★
()
Последнее исправление: Spoofing (всего исправлений: 2)
Ответ на: комментарий от Spoofing

Все копии контейнера были недоступны? Может накопитель, на котором лежал контейнер умирал?

anonymous
()

Может быть, тебе глушат клавиатурный канал (даже виртуальный на смарте)? Символы добавляют, тильдочки всякие.

Попробуй набрать свой пассворд на белом текстбоксе без звездочек и СМС, проконтролируй визуально правильность набора, а потом скопируй его в поле, где пароль не отображается.

anonymous
()

Во всех вышеупомянутых историях, если исключить случаи с глюком в голове, скорее всего обновился какой-то софт, какая-то задействованная библиотека. И либо устранилась старая ошибка, либо добавилась новая. Надо вытаскивать из закромов полный комплект всего что можно старых версий.

vaddd ★☆
()
Ответ на: комментарий от vaddd

обновился какой-то софт, какая-то задействованная библиотека.

Плюсую. Некоторое время назад обновил Debian и gpg-файл с паролями перестал открываться. Сколько интересных эмоций было испытано в тот момент, ух.

Оказалось GnuPG по-умолчанию переехало с первой ветки на вторую и требовались небольшие манипуляции для восстановления работоспособности.

Jurik_Phys ★★★★★
()
Ответ на: комментарий от Jurik_Phys

Оказалось GnuPG по-умолчанию переехало с первой ветки на вторую и требовались небольшие манипуляции для восстановления работоспособности.

Поделитесь плиз деталями

vaddd ★☆
()
Ответ на: комментарий от vaddd

Деталей уже не помню, но копать надо примерно в сторону этого бага, смотреть хранилище ключей в каталоге ~/.gnupg на предмет файла ".gpg-v21-migrated" (его удаление будет запускать процесс миграции с v1 на v2 при попытки использовать GnuPG) и там разбираться, какие-то были нюансы.

После успешной миграции, закрытые ключи будут находиться в каталоге «private-keys-v1.d».

Ещё был момент с «gpg-agent», который во второй версии стал обязательным к использованию, возможно что-то здесь натолкнёт на мысль тыц.

Jurik_Phys ★★★★★
()
Ответ на: комментарий от peregrine

И у «плавающих ошибок» есть причина. В приведённом тобою примере это плохой дизайн программы. А в мистические глюки «без причины» я не верю. В чудо (однократное случайное событие) верю.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Тут вся сложность в том, что именно считать мистикой. Представь себе на секунду, что все в нашей вселенной по желанию могут пулять фаерболы из рук. Тогда это явление отнесли бы к физике или биологии и оно не было бы сраной магией, которая не существует по определению. С другой стороны, столь чудесная штука, как электричество существующая в нашей вселенной магией не является и исследуется при помощи физики, находя применение в быту.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Я несколько иное имел ввиду. Я не верю что набор битов мог измениться со временем «сам по себе», особенно в случае нескольких копий. Всегда есть некая материальная физическая причина произошедшего, например изменение состояния ячейки ssd и последующее тиражирование битого архива, и способ не допустить этого в следующий раз, или способ нейтрализовать последствия, использование избыточности, проверка контрольной суммы перед копированием и т.п.

А если у нас мистика - значит некое неоднократное событие есть, а причины ему нет, и сделать с этим тогда тоже ничего нельзя, кроме как сказать «иншалла» и поднять к небу глаза. Вот в это я не верю.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 2)
Ответ на: комментарий от Spoofing

у меня такое же с openssl aes-256-cbc было

У меня такое тоже было. Последний раз, причём, недавно. Пароли автогенирируемые и вводятся автоматически, так что проблема маразма и старческой деменции - исключена.

Зато оба раза когда у меня ломалось шифрование данных в OpenSSL - оно всегда «чинилось» когда я откатывался на старые версии. Проблема в итоге оказалась в параметрах по-умолчанию, которые разные версии openssl используют.

Ситуация усугубляется тем что мейнтейнеры дистрибутивов своими кривыми ручками иногда их ещё и изменяют. А указывать все параметры для шифрования вручную - тоже как оказалось, не всегда возможно, т.к некоторые параметры отсутствуют в старых версиях.

В общем, я в итоге пришёл к выводу, что утилита openssl просто не предназначена для надежного использования из командной стоки. И если нужно шифрование - его надо делать самому используя openssl как библиотеку.

DawnCaster ★★
()
Ответ на: комментарий от vaddd

скорее всего обновился какой-то софт, какая-то задействованная библиотека. И либо устранилась старая ошибка, либо добавилась новая.

Есть задокументирована и подтвержденная проблема с неверной реализацией хешфункции whirlpool в некоторых крыптографических библиотеках:

If you use the Whirlpool hash (as we have done), be aware that you will not be able to open the LUKS container using dev-libs/libgcrypt < v1.6.0, because of a bug in those earlier versions when writing data to the Whirlpool hash function in chunks.

https://wiki.gentoo.org/wiki/Sakaki's_EFI_Install_Guide/Preparing_the_LUKS-LV...

Change above seems to breaks all LUKS devices which used Whirlpool as hash before and upgraded to gcrypt 1.6.0 (cryptsetup cannot open them anymore).

https://www.saout.de/pipermail/dm-crypt/2014-January/003813.html

Могут херить как сами крыптоконтейнеры, так и софт которым они запаковываются и распаковываются.

Используйте подписанный файл Manifest с хешами файлов, контейнеров в архиве. Публичный ключ и возможно даже Manifest распечатывайте. Подписывайте публичные ключи и грузите на сервера ключей. С архивом держите LiveDVD ISO образ для его чтения, распаковки:

В чём принято держать базу содержимого съёмных накопителей? (комментарий)

В чём принято держать базу содержимого съёмных накопителей? (комментарий)

anonymous
()
Ответ на: комментарий от anonymous

Есть задокументирована и подтвержденная проблема с неверной реализацией хешфункции whirlpool в некоторых крыптографических библиотеках:

Ну и хорошо. Но вопрос еще в том, всегда ли даунгрейд на архивные версии поможет решить проблему или бывают «безвозвратные» ситуации? Неконтролируемое повреждение архива/контейнера, или например невозможность даунгрейда?

vaddd ★☆
()
Ответ на: комментарий от vaddd

Убедительно прошу создавать подписаный Manifest архива. Если архив включает LiveDVD для его чтения, то есть гарантия распаковки, чтения данных.

Подписаный Manifest даст только гарантию возможности проверки целосности архива. От повреждения архив защищает хранение двух копий в разных местах.

В упомянутом выше случае использование старой версии libcrypt решало проблему с контейнерами LUKS и «неподходящим паролем» в cryptsetup. Еще раз, для гарантии распаковки и чтения держите LiveDVD вместе с вашим архивом/бекапом.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.