软暴力破解您自己的 GPG/PGP 密码的最佳方法是什么？

Question

我创建了一个很好的长密码，用了几次，然后就忘记了;) 问题是，我知道总体主题，可能还知道几乎所有角色。 我内心的完美主义者不想撤销密钥或类似的东西（而且我认为无论如何我都需要密码来撤销它，对吧？）。 我觉得我应该能够通过暴力强制我错误/输入错误的可能布局/字符来很好地解决这个问题。 我编写了一个 C 程序来生成这样的组合。 不幸的是，我手头没有代码（我现在会以“不相关”为借口；）。 我还在网上发现了一些使用 GPGME 来完成此操作的代码，作为概念验证。 它有评论“这很容易快 100 倍”。 问题是，分析代码显示瓶颈是 GPGME 调用本身。 这是预期的，还是 GPGME 的限制可以使用完整的库或专用实现来解决？

你会怎样做呢？ 显然，这种方法对于任何像样的未知密码都是不可行的，但我认为关键是我知道我输入的内容，但不知道如何的确切格式> 我输入了它 - 应该是可行的，不是吗？

Answer 1

（我想我无论如何都需要密码来撤销它，对吧？）

不，您需要撤销密钥。 您应该在创建密钥时生成并打印出来。 然后将其存储在安全的地方，而不是当您不希望有人可以使用它来撤销您的密钥的地方。

我曾尝试暴力破解我几乎记住的密码，但没有成功。 仍然有很多排列，并且需要很多规则来确定什么之后会发生什么，以将其缩小到合理的问题规模。 我从来没有在这方面尝试过太多，因为幸运的是我从来没有忘记我的 GPG 密码。 大多数情况下，当我忘记密码时，它是登录到大学的远程计算机，我从来不想用我的猜测来敲击 ssh 端口或网络邮件。

也许您调用的函数做了很多不依赖键的设置？ 因此，您可以通过将代码从库中复制出来并稍后将暴力循环放入其中来加快速度。

Answer 2

使用 exrex 使用正则表达式创建彩虹并将其存储在文件中

exrex -o rainbows.txt "$regEXP"

生成彩虹后，使用

gpg2 --quiet --no-verbose --no-symkey-cache \
         --local-user $gpg_key --sign \
         --batch --pinentry-mode loopback \
         --passphrase $passphrase >& /dev/null

循环遍历 Rainbow.txt 并将密码输入到上述命令中。

或者更好地使用这个： https://github.com/Narthorn/gpg-bruteforce