배치에서 패스 프레이즈를 사용하는 가장 좋은 방법은 무엇입니까?

Question

저는 Windows 2003 서버에 있으며 GnuPG를 사용하여 암호 해독을 자동화하는 배치 파일을 작성해야합니다. 암호 해독 명령에 개인 키를 사용하려면 암호문이 필요합니다.

1. echo thisIsMyPassphrase|gpg.exe --passphrase-fd 0 --output %1 --decrypt %2 는 이러한 하드 코드 된 암호가 보안 접근 방식처럼 보이지 않는 : 여기

   완전히 저를 만족하지 않는 일부 가능한 옵션입니다! 또한 변경하기가 쉽지 않습니다 (.cmd 파일에 직접 포함되어 있음).

2. 암호문을 별개의 파일에 저장하고 암호 해독 프로세스를 실행하는 Windows 사용자 만 NTFS 보안 설정을 사용하여 액세스 할 수 있는지 확인하십시오.
   gpg.exe --passphrase-file X:\passphrase.txt --output %1 --decrypt %2
   내가 여기 많이 좋아하지 않는 이유는이 민감한 정보를 담고있는 알몸 파일이있는 것입니다. 홀수로 유지 하시겠습니까? 찾기 쉬운가요? ..
   내가 환경 변수에 암호를 저장하는 기분이 안

   이 좋은 소리

3. 가 (매우 노출 보인다)
..
echo %MY_PASSPHRASE%|gpg.exe --passphrase-fd 0 --output %1 --decrypt %2

음, 가장 좋은에 대한 당신의 의견거야 (또는 "가장 나쁜") 해결책은 이것을 달성하기 위하여?

Answer 1

두 번째 (암호 파일) 옵션은 대다수의 사용 사례에 대해 상당히 합리적인 방식 인 것으로 보입니다. 그리고 Windows 2003 암호화 된 파일 시스템을 사용하면 물리적 서버 도용에 대한 우려 수준을 완화 할 수 있습니다. 암호를 더 잘 모호하게하기 위해 농구를 뛰어 넘을 수도 있지만, 난독 화일뿐입니다. 진정한 보안은 NTFS 파일 시스템 보안에 있습니다.

거의 언급 할 가치가 없지만 "적절한"보안 구현이 솔루션 비용과 데이터 값 사이의 균형을 이루는 행동으로 데이터가 충분히 민감하고 하드웨어에 문제가있는 경우 약간의 현금을 기꺼이 사용한다면 일 수도 있고 일 수있는 보안 모듈 (nCipher)이 이러한 유형의 문제를 해결할 수 있습니다. 파일 이름이 실제로 다른 매개 변수가 될 수 있으며, 파일, 예를 들어 유지 될 수 Storing passwords for batch jobs