yo sueloaqbankingpara descargar mis extractos bancarios a través de HCBI. Normalmente, aqbanking solicitará las credenciales de inicio de sesión del banco durante la descarga, pero también puede almacenarlas dentro de un archivo PIN sin cifrar y pasar la ruta al archivo PIN a aqbanking en la línea de comando.
No quiero almacenar el archivo PIN sin cifrar en mi disco duro. Utilizo cifrado de disco completo, pero estoy un poco paranoico acerca de filtrar accidentalmente el archivo PIN en una copia de seguridad no cifrada.
Mi idea es cifrar el archivo pin usando GnuPG y luego descifrar el archivo pin sobre la marcha usando la sustitución de procesos en bash.
En lugar de correr:
aqbanking-cli -P /path/to/unencrypted-pin-file ...
Estoy corriendo:
aqbanking-cli -P <(gpg -q --decrypt /path/to/encrypted/pinfile) ...
Esto funciona, sin embargo, me preocupan las posibles implicaciones de seguridad.
Mi suposición es que el archivo solo se descifra en la memoria y se accede a su contenido como un archivo mapeado en memoria. Los contenidos no cifrados nunca se almacenan en el disco.¿Es eso cierto?
Estoy en macOS pero en Linux sospecho que el usuario root puede acceder a la salida del contenido mediante el procsistema de archivos.¿Es eso cierto?
¿Cuáles son otras implicaciones de seguridad de mi enfoque?
Nota: originalmente había preguntadoesta pregunta en Stack Overflowpero se cerró allí porque estaba fuera de tema y se sugirió publicarlo aquí.