logo标签列表

PHP中使用GnuPG无法加密

phpubuntunginxencryptiongnupg
3

我的程序应该使用GnuPG加密文件,但我无法使其正常工作。我已经尝试在服务器上直接使用命令对文件进行加密,这是有效的。但是当我运行我的PHP代码时,文件没有被加密。我也尝试过加密单个字符串,但仍然失败了。请问能否帮忙解决?

<? php
   
   putenv("GNUPGHOME=/home/admin/.gnupg");

   $gpg=new gnupg();
   $gpg->addencryptkey("CB416DC6B06BF75D1C8DA888A552533206"); //fingerprint
   $enc=$gpg->encrypt("hi");
   echo $enc;

 ?>

我运行了geterror命令,它返回了“没有加密密钥集”。请问我是否正确设置了主目录,并且GnuPG主目录的确切权限是什么?
谢谢您提前!
您有一个未终止的字符串字面量:$gpg->encrypt("hi); - esqew
@esqew 也许问题中有一个打字错误? - Martin
1
你想加密一个文件,但是你试图将数据输出到屏幕(echo),这似乎不对。你实际上想做什么? - Martin
1
@Martin,很有可能就是这样;这告诉我它并不完全符合我们创建 [mre] 的指导方针(因为它表明 OP 可能没有运行此代码片段以确保准确重现他们的问题,也似乎他们没有充分代表他们的使用案例)。 - esqew
@esqew 你好,是的,这实际上是一个打字错误。抱歉! - amieya het
@Martin 我想先尝试加密一个字符串。一旦成功,我就会加密整个文件。echo 命令应该显示字符串的加密版本。 - amieya het
1个回答
4

确保您的语法正确,并且您正在使用的指纹实际上是可用的。

检查您是否拥有该密钥。

$ gpg --list-keys 
/home/jaroslav/.gnupg/pubring.kbx
---------------------------------
pub   rsa3072 2021-10-20 [SC] [expires: 2023-10-20]
      C1CFDC84CA8A42DBF03371E75B9ED4CB2025188B
uid           [ultimate] Jaroslav Rakhmatoullin <jazzoslav@gmail.com>
sub   rsa3072 2021-10-20 [E] [expires: 2023-10-20]

运行例子

$ php gpg.php 
-----BEGIN PGP MESSAGE-----

hQGMAxqCDajFlhqQAQv8DwOnlRKYLBmlS5ItBcPPhz9lV7sBqHRdkzmpNF1fC0NE
uH/6A160IYJ24nA8e5CbnsFReEoohiC03wM4hfGmPQJ0K73aE8jsJU9UyoL8CK+b
l9WubvMK2a4/gHoD837y8U6L72mXvyKvvxW35h7CXLUHOb5R9iNkUBS4YyFbO05p
OETjMwN1nb9s2h/Z/IdKx8YOPieub+RoVs6WijE9BnsAeHRgG7QyrQ97a+xn3/lG
a0g/h65jFGYj0ocQgKANORwlfUEurZ+8tad5c0d+M5y+JZTDsYecKS1lNAQAu0tE
FTp+hbef3Tsec4mG7oJt4tXGxunr+D1hu31lqmo/nhzqIBPiPdVJuMX2vEwBZnYX
GP1c7k8tyhoRWdvKuU9aBoADiPSPY90EppXUBma9Y+X6bOPjsdHM3wxDLQIw7Xir
WByNb6/pxB8efe8nETSwIxcqyr+Lut4eBIk5lk0pnWf3goCawnENrLhsWOGhtN/x
S9wqI+9kC2LO+y3qcQkF0j0Bgq/5hQUWyQwN7mLmDvn3hUuSFs744UmrG+Uz0LqY
S3R3cQmKWgnVWonjV/X9vJ+aLB3VbubIDd0VW9I5
=HGmP
-----END PGP MESSAGE-----

修复语法错误(<? php非常不正确)

$ cat gpg.php 
<?php
putenv("GNUPGHOME=/home/jaroslav/.gnupg");

$gpg=new gnupg();
$gpg->addencryptkey("C1CFDC84CA8A42DBF03371E75B9ED4CB2025188B"); //fingerprint

if ($enc = $gpg->encrypt("hi")) {
    echo $enc;
} else {
    echo $gpg->geterror() . PHP_EOL ;
}

如果你正在浏览器/服务器中运行此代码,请确保运行Web服务器的用户可以读取.gnupg文件夹中的文件。

好的。对于我的用户:

$ namei -l /home/jaroslav/.gnupg/trustdb.gpg 
f: /home/jaroslav/.gnupg/trustdb.gpg
drwxr-xr-x root     root     /
drwxr-xr-x root     root     home
drwxr-xr-x jaroslav jaroslav jaroslav
drwx------ jaroslav jaroslav .gnupg
-rw------- jaroslav jaroslav trustdb.gpg

对于 Apache 用户来说不太好(你可能会有一个名为 www-data 的用户)

$ sudo -u apache namei -l /home/jaroslav/.gnupg/trustdb.gpg 
f: /home/jaroslav/.gnupg/trustdb.gpg
drwxr-xr-x root     root     /
drwxr-xr-x root     root     home
drwxr-xr-x jaroslav jaroslav jaroslav
drwx------ jaroslav jaroslav .gnupg
                             trustdb.gpg - Permission denied

如果我以 apache 用户身份运行 php 脚本,我会得到与您相同的错误。
$ sudo -u apache php gpg.php 
no key for encryption set

您可以通过允许www-data用户(或实际运行Web服务器或php-fpm进程的用户)访问.gnupg文件夹来解决此问题。

setfacl -R -m u:www-data:rwx /home/admin/.gnupg
setfacl -R -m u:apache:rwx /home/admin/.gnupg

您只需要其中一个命令,不需要两个。

这个命令将允许www-data用户读取.gnupg文件夹中所有的内容。这是危险的,有可能有人会窃取您的私钥。

如果我是您,我会为www-data用户创建一个新的.gnupg目录,而不是使用管理员的目录,但这取决于您。在生产环境中要小心,特别是如果您计划进行一些非平凡或涉及资金的操作。

这非常有帮助!我应该在哪里为www-data创建.gnupg目录?是在/var/www/文件夹中吗? - amieya het
我会使用/home/www-data/.gnupg,这样更容易记住或者说更加标准化。你可以根据自己的需要选择最方便的位置。请注意,您可能不希望将该文件夹作为静态文件从DocumentRoot提供服务。 - Ярослав Рахматуллин
如果您认为这个解决方案符合您的需求,@amieyahet,请随意将答案标记为“已接受”。 - Ярослав Рахматуллин
成功了。我现在可以加密整个文件了。非常感谢您的指导! - amieya het
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接