We detected you are likely not from a Russian-speaking region. Would you like to switch to the international version of the site?

  Назад к списку статей
Termux

Секретное хранение и управление GPG‑ключами в Termux

06 фев 2026 в 23:01 Усачёв Денис Евгеньевич

Termux предоставляет полноценную Linux‑среду на Android‑устройствах, позволяя использовать такие инструменты, как gpg, для шифрования и подписи данных. Однако мобильные устройства требуют особого подхода к защите секретных материалов. В этой статье мы рассмотрим, как установить GPG, сгенерировать ключи и хранить их в безопасном виде, используя возможности Android Keystore и встроенные средства Termux.

Установка GPG в Termux

pkg update && pkg upgrade -y
pkg install gnupg gnupg-agent termux-crypto -y

Пакет gnupg-agent отвечает за кэширование паролей, а termux-crypto предоставляет утилиты для работы с Android Keystore.

Создание и настройка GPG‑ключей

Для генерации новой пары ключей используем стандартную команду:

gpg --full-generate-key

В процессе генерации рекомендуется установить защищённый пароль (passphrase) и выбрать RSA‑ключ размером не менее 4096 бит для максимальной стойкости.

Настройка gpg‑agent с поддержкой Android Keystore

По умолчанию gpg-agent хранит кеш пароля в памяти процесса, что не является оптимальным для мобильных устройств. Мы можем перенаправить хранение пароля в Android Keystore с помощью termux-crypto:

# Создаём зашифрованный файл‑контейнер для пароля
termux-crypto encrypt -i ~/.gnupg/passphrase.txt -o ~/.gnupg/passphrase.enc

# Добавляем в ~/.gnupg/gpg-agent.conf строку для автоматической расшифровки
cat <> ~/.gnupg/gpg-agent.conf
allow-loopback-pinentry
pinentry-program /data/data/com.termux/files/usr/bin/pinentry-tty
EOF

# Перезапускаем агент
gpgconf --kill gpg-agent
gpg-agent --daemon

Теперь при запросе пароля gpg будет использовать pinentry-tty, а пароль будет автоматически подгружаться из зашифрованного контейнера.

Хранение ключевого хранилища в зашифрованном каталоге

Для дополнительного уровня защиты переместим каталог .gnupg в скрытую зашифрованную директорию, используя termux-crypto:

# Создаём зашифрованный контейнер размером 100M
termux-crypto create -s 100M -p "MySecurePass" -o $HOME/.gnupg.enc

# Монтируем контейнер
mkdir -p $HOME/.gnupg-secure
termux-crypto mount -i $HOME/.gnupg.enc -o $HOME/.gnupg-secure

# Переносим текущие ключи
mv $HOME/.gnupg/* $HOME/.gnupg-secure/
ln -s $HOME/.gnupg-secure $HOME/.gnupg

Контейнер будет автоматически размонтирован при завершении сессии Termux, а доступ к ключам будет возможен только после ввода пароля.

Экспорт и импорт ключей

Для резервного копирования используйте экспорт в зашифрованный архив:

# Экспорт публичного ключа
gpg --export -a "Your Name" > public.key

# Экспорт закрытого ключа (зашифрованный паролем GPG)
gpg --export-secret-keys -a "Your Name" > private.asc

# Шифруем архив паролем Android Keystore
tar -czf keys.tar.gz public.key private.asc
termux-crypto encrypt -i keys.tar.gz -o keys.tar.gz.enc

Для восстановления разшифруйте архив и импортируйте:

termux-crypto decrypt -i keys.tar.gz.enc -o keys.tar.gz
tar -xzf keys.tar.gz
gpg --import public.key
gpg --import private.asc

Автоматическое обновление кеша пароля

Чтобы не вводить пароль каждый раз, настроим gpg-agent на кэширование на 12 часов:

echo "default-cache-ttl 43200" >> ~/.gnupg/gpg-agent.conf
echo "max-cache-ttl 43200" >> ~/.gnupg/gpg-agent.conf
gpgconf --kill gpg-agent && gpg-agent --daemon

Кеш будет храниться в памяти процесса, а после перезагрузки устройства потребуется повторный ввод пароля, что повышает безопасность.

Лучшие практики безопасности

  • Регулярно обновляйте Termux и пакеты gnupg и termux-crypto.
  • Используйте сложный пароль для Android Keystore и храните его отдельно от устройства.
  • Ограничьте доступ к каталогу .gnupg командой chmod 700 ~/.gnupg.
  • Периодически проверяйте целостность ключей с помощью gpg --list-keys и gpg --check-sigs.
  • Не оставляйте открытые терминалы с активным gpg-agent в фоновом режиме, когда устройство не используется.

Заключение

Termux предоставляет мощный набор инструментов для работы с GPG, однако безопасность ключей на мобильных устройствах требует особого подхода. Используя termux-crypto для шифрования контейнеров, правильно настраивая gpg-agent и следуя рекомендациям по резервному копированию, вы можете обеспечить надёжную защиту своих криптографических материалов.

Если вам нужна профессиональная настройка безопасного окружения в Termux, аудит криптографических процессов или разработка мобильных решений с интеграцией GPG, обратитесь в RybinskLab. Наши эксперты помогут внедрить лучшие практики безопасности и оптимизировать ваш рабочий процесс на Android‑устройствах.

* Текст статьи подготовлен и структурирован с использованием технологий искусственного интеллекта. Проверен экспертом RybinskLab.

Поделиться знанием:

Нужна профессиональная помощь?

Меня зовут Усачёв Денис Евгеньевич. Я оказываю IT-услуги в Рыбинске и Ярославской области: настройка серверов, безопасность, автоматизация бизнеса.

Связаться со мной