Hallo Mathias,

Man könnte die Passphrase wenigstens außerhalb des Webroots ablegen...

Das wäre durchaus nochmal eine zusätzliche Sicherheitsschicht, wenngleich diese nicht sonderlich groß ist. (sie schützt nur vor der Möglichkeit, falls der Webserver PHP-Dateien aus versehen irgendwann im Quelltext ausliefern sollte)

Zwischen PHP-Script, der Datei mit der Passphrase und letztlich dem Secret Key sollten die größtmöglichen Barrieren liegen, wobei es mit Dateirechten schlecht lösbar ist, schließlich muss der httpd gnupg asführen können und hat somit auch Zugriff auf den secret key, stimmt das?

Ja, exakt das ist das Problem. Allerdings gibt es dafür keine Lösung außer hoffen, dass niemand jemaks in die Lage sein wird, beliebigen PHP-Code auszuführen.

Viele Grüße,
Christian