次の動作を実装できるようにしたいと思います。
管理者は、運用環境で Rails サーバーを起動するときに、GPG 運用キーへのパスフレーズを求められる必要があります。
パスフレーズは RAM 以外の場所に保存しないでください
復号化機能は、rake タスクまたは Rails コンソールでは使用できません。
Railsサーバーが実行されている同じユーザーによって起動されたプロセスはコンテンツを復号化できるため、gpg-agentは問題外のようです。
パスフレーズを要求する GPGME クラスのパスフレーズ コールバックが最善の解決策のようです (ただし、stdin を取得する /etc/init.d/unicorn の start-stop-daemon ラッパーのため、実装が難しい)。
何か不足していますか?このようなセットアップにセキュリティホールはありますか? より良い解決策は何ですか?どうもありがとう。