ich benutzeAbonnierenum meine Kontoauszüge über HCBI herunterzuladen. Normalerweise fragt aqbanking beim Download nach den Bankanmeldeinformationen, aber Sie können diese auch in einer unverschlüsselten Pin-Datei speichern und den Pfad zur Pin-Datei in der Befehlszeile an aqbanking übergeben.
Ich möchte die Pin-Datei nicht unverschlüsselt auf meiner Festplatte speichern. Ich verwende die vollständige Festplattenverschlüsselung, habe aber ein wenig Angst, dass die Pin-Datei versehentlich in einem unverschlüsselten Backup verloren geht.
Meine Idee ist, die Pin-Datei mit GnuPG zu verschlüsseln und sie dann im laufenden Betrieb mithilfe der Prozesssubstitution in Bash zu entschlüsseln.
Anstatt auszuführen:
aqbanking-cli -P /path/to/unencrypted-pin-file ...
Ich renne:
aqbanking-cli -P <(gpg -q --decrypt /path/to/encrypted/pinfile) ...
Das funktioniert, ich mache mir jedoch Sorgen über mögliche Auswirkungen auf die Sicherheit.
Ich gehe davon aus, dass die Datei nur im Speicher entschlüsselt wird und auf ihren Inhalt als speicherabgebildete Datei zugegriffen wird. Der unverschlüsselte Inhalt wird nie auf der Festplatte gespeichert.Ist das wahr?
Ich verwende macOS, aber unter Linux vermute ich, dass die Ausgabe des Inhalts für den Root-Benutzer über das procDateisystem zugänglich sein könnte.Ist das wahr?
Welche weiteren Sicherheitsimplikationen hat mein Ansatz?
Hinweis: Ich hatte ursprünglich gefragtdiese Frage auf Stack OverflowAber da es nicht zum Thema gehörte, wurde es dort geschlossen und es wurde vorgeschlagen, es hier zu posten.