Nehmen wir an ich erzeuge mit einem Shell-Befehl ein Geheimnis, das ich nur verschlüsselt speichern möchte.
Dazu benutze ich folgenden Ansatz:
./generate-secret.sh | openssl aes-256-cbc -salt -pass file:/secrets/password > secret.aes
Angenommen /secrets/password hat die Dateiberechtigungen 600 (o.ä.) nur für den User, der den obigen Prozess ausführt.
Kann ich davon ausgehen, dass es relativ unwahrscheinlich ist, das dass Geheimnis abgefangen werden kann?
Ich ziele auf so Dinge ab wie die Prozessliste oder ob der gepipte Plaintext irgendwie "abgefangen" werden kann, bevor er in die AES-Pipe geht.
Klar der User selbst oder halt ein privilegierter User, könnten mithilfe des AES-Passwortes die Datei wieder entschlüsseln, aber das lässt sich ja nicht echt verhindern, oder? (Vielleicht über das Environment)