私が使うアクバンキングHCBI 経由で銀行取引明細書をダウンロードします。通常、aqbanking はダウンロード中に銀行のログイン認証情報を要求しますが、暗号化されていない PIN ファイル内に認証情報を保存し、コマンド ラインで PIN ファイルへのパスを aqbanking に渡すこともできます。
ピンファイルを暗号化せずにハードディスクに保存したくありません。フルディスク暗号化を使用していますが、暗号化されていないバックアップでピンファイルを誤って漏洩してしまうのではないかと少し心配です。
私のアイデアは、GnuPG を使用してピンファイルを暗号化し、次に bash のプロセス置換を使用してピンファイルをオンザフライで復号化することです。
実行する代わりに:
aqbanking-cli -P /path/to/unencrypted-pin-file ...
私は実行しています:
aqbanking-cli -P <(gpg -q --decrypt /path/to/encrypted/pinfile) ...
これは機能しますが、潜在的なセキュリティへの影響が懸念されます。
私の想定では、ファイルはメモリ内でのみ復号化され、その内容はメモリマップされたファイルとしてアクセスされます。暗号化されていない内容はディスクに保存されることはありません。本当?
私は macOS を使用していますが、Linux では、コンテンツの出力はprocファイルシステムを使用する root ユーザーがアクセスできる可能性があると思われます。本当?
私のアプローチによるセキュリティ上のその他の影響は何ですか?
注: 当初私はStack Overflowのこの質問しかし、トピック外としてそこでは閉じられたので、ここに投稿することが提案されました。