如何在不访问 Java 中的物理密钥环的情况下使用公钥 OpenPGP（GPG）

Question

设置：

• Linux 与 GnuPG 或 Windows 与 GPG4Win(OpenPGP)
• 一个可以访问密钥环的特权用户创建了一个 2048 RSA 密钥对
• 已为 Java 应用程序创建了第二个低权限用户来运行
• 已授予此用户运行 GPG 命令的权限，但无法访问物理密钥环文件
• Java 应用程序知道密钥 ID，提取私钥的密码短语也是如此
• Java 应用程序已导入 Bouncycastle 库
• java 程序需要使用密钥对执行加密和解密

问题：

我已经使用 Bouncycastle 成功执行了加密和解密。但它涉及尝试从发布和保密文件中读取公钥和私钥。 为了安全起见，我宁愿不让 java 应用程序直接访问密钥环文件。

我有什么选择。 Bouncycastle 中是否有任何选项可以在不读取密钥环或将密钥导出到单独文件的情况下执行此操作？

注意：不需要使用充气城堡。

Answer 1

您的 Java 应用程序可以使用执行该应用程序的用户当前拥有的任何权限调用 gnupg。幸运的是，gnupg 支持大量command-line options，允许您提供所有必要的参数并读取/收集状态和结果，例如-batch、-options 或-status-fd。您可以从 Java 调用程序并使用 Java 的 ProcessBuilder 或更高级别的库（例如 Plexus Utils）读回它们的结果

另一方面，至少有一个java-based wrapper library 直接与 GnuPG 可执行文件对话。虽然依赖于平台，但与为每个事务生成进程相比，这可能具有速度优势；并且可能会为您节省大量执行工作来确定命令行选项。

请注意，以这种方式使用 GnuPG 会完全绕过 BouncyCastle - 您将自动调用 GnuPG，有效地将其用作您的“库”。

Answer 2

BouncyCastle 需要直接访问密钥文件，包括公钥和私钥。

不使用 BouncyCastle

如果您想阻止 Java 应用程序访问密钥文件，但仍将其用于加密和解密，您可能会成功使用 GnuPG 2.1，它将所有需要访问私有密钥环的操作卸载到 gpg-agent。一个可能有效的设置看起来有点像这样：

• 开始gpg-agent
• 限制对 Java 应用程序的访问，使其可以访问 gpg-agent 套接字，但不能访问私钥文件

在 Linux 中，您可以考虑对套接字和密钥环文件使用 chroot 或适当的权限。在 Windows 中，可能会有类似沙盒的解决方案。

构建您自己的 BouncyCastle 守护进程

类似于轻量级的gpg-agent，您可以编写自己的守护程序来处理所有密钥操作，同时不暴露密钥（因此您有一个小型守护程序，其关键的可能性要低得多错误；而大型、可能不安全且暴露的主应用程序可以向“代理”应用程序发送加密/解密请求）。