gpg-agent – ​​Online in der Cloud

PROGRAMM:

NAME/FUNKTION

GPG-Agent - Geheime Schlüsselverwaltung für GnuPG

ZUSAMMENFASSUNG

GPG-Agent [--homedir dir] [--Optionen Datei] [Optionen]
GPG-Agent [--homedir dir] [--Optionen Datei] [Optionen] --Server
GPG-Agent [--homedir dir] [--Optionen Datei] [Optionen] --dämon [Befehlszeile]

BESCHREIBUNG

GPG-Agent ist ein Daemon zur Verwaltung geheimer (privater) Schlüssel unabhängig von jedem Protokoll. Es
wird als Backend für verwendet gpg und gpgsm sowie für ein paar andere Dienstprogramme.

Der Agent wird bei Bedarf automatisch gestartet gpg, gpgsm, gpgconf, oder gpg-connect-agent.
Daher gibt es keinen Grund, es manuell zu starten. Falls Sie das mitgelieferte Secure nutzen möchten
Shell Agent können Sie den Agenten starten mit:

gpg-connect-agent /bye

Sie sollten immer die folgenden Zeilen zu Ihrem hinzufügen .bashrc oder welche Initialisierungsdatei auch immer
wird für alle Shell-Aufrufe verwendet:

GPG_TTY=$(tty)
GPG_TTY exportieren

Es ist wichtig, dass diese Umgebungsvariable immer die Ausgabe von widerspiegelt tty
Befehl. Für W32-Systeme ist diese Option nicht erforderlich.

Bitte stellen Sie sicher, dass unter der Standardeinstellung ein ordnungsgemäßes Pinentry-Programm installiert ist
Dateinamen (systemabhängig) oder verwenden Sie die Option pinentry-programm um die
Vollständiger Name dieses Programms. Es ist oft sinnvoll, einen symbolischen Link vom tatsächlichen zu installieren
Verwendeter Pineintrag (z. B. '/usr/bin/pinentry-gtk') zum erwarteten (z. B
'/usr/bin/pinentry‚).

BEFEHLE

Befehle werden nicht von Optionen unterschieden, außer dass nur ein Befehl vorhanden ist
erlaubt.

--Version
Drucken Sie die Programmversion und die Lizenzinformationen aus. Beachten Sie, dass Sie nicht
kürzen Sie diesen Befehl ab.

--help

-h Drucken Sie eine Nutzungsmeldung mit einer Zusammenfassung der nützlichsten Befehlszeilenoptionen. Beachten Sie, dass
Sie können diesen Befehl nicht abkürzen.

--dump-optionen
Drucken Sie eine Liste aller verfügbaren Optionen und Befehle. Beachten Sie, dass Sie nicht
kürzen Sie diesen Befehl ab.

--Server
Im Servermodus ausführen und auf Befehle auf dem warten Standard. Der Standardmodus ist „to“.
Erstellen Sie einen Socket und hören Sie dort auf Befehle.

--dämon [Befehl Linie]
Starten Sie den gpg-agent als Daemon; Das heißt, trennen Sie es von der Konsole und führen Sie es aus
der Hintergrund.

Alternativ können Sie einen neuen Prozess als Kind von gpg-agent erstellen: GPG-Agent
--dämon / Bin / sh. Auf diese Weise erhalten Sie eine neue Shell mit der Umgebungseinrichtung
richtig; Nachdem Sie diese Shell verlassen haben, wird gpg-agent innerhalb weniger Minuten beendet
Sekunden.

OPTIONAL

--Optionen Datei
Liest Konfiguration aus Datei anstelle der Standardkonfiguration pro Benutzer
Datei. Die Standardkonfigurationsdatei heißt 'gpg-agent.conf' und erwartet in der
'.gnupg'-Verzeichnis direkt unter dem Home-Verzeichnis des Benutzers.

--homedir dir
Setzen Sie den Namen des Home-Verzeichnisses auf dir. Wenn diese Option nicht verwendet wird, wird das Zuhause
Verzeichnis standardmäßig auf '~/.gnupg'. Es wird nur erkannt, wenn es auf den Befehl gegeben wird
Leitung. Es überschreibt auch jedes Home-Verzeichnis, das durch die Umgebungsvariable angegeben wird
'GNUPGHOME' oder (auf Windows-Systemen) über den Registry-Eintrag
HKCU\Software\GNU\GnuPG:HomeDir.

Auf Windows-Systemen ist es möglich, GnuPG als portable Anwendung zu installieren. In
In diesem Fall wird nur diese Befehlszeilenoption berücksichtigt, alle anderen Möglichkeiten, ein Zuhause zu setzen
Verzeichnis werden ignoriert.

Um GnuPG als portable Anwendung unter Windows zu installieren, erstellen Sie einen leeren Dateinamen
'gpgconf.ctl' im selben Verzeichnis wie das Tool 'gpgconf.exe'. Die Wurzel der
Installation ist als dieses Verzeichnis; oder wenn 'gpgconf.exe' wurde installiert
direkt unter einem Verzeichnis namens 'Kasten', sein übergeordnetes Verzeichnis. Du musst auch
Stellen Sie sicher, dass die folgenden Verzeichnisse vorhanden und beschreibbar sind: 'WURZEL/Heimat' zum
die GnuPG-Startseite und 'ROOT/var/cache/gnupg2' für interne Cache-Dateien.

-v

- ausführlich
Gibt während der Ausführung zusätzliche Informationen aus. Sie können die Ausführlichkeit erhöhen um
Geben Sie mehrere ausführliche Befehle an gpgsm, wie '-vv'.

-q

--ruhig
Versuchen Sie, so leise wie möglich zu sein.

--Charge
Rufen Sie keinen Pin-Eintrag auf und führen Sie keine anderen Dinge aus, die eine menschliche Interaktion erfordern.

--fakes-system-time Epoche
Diese Option ist nur zum Testen nützlich; es setzt die Systemzeit zurück oder zurück auf
Epoche Das ist die Anzahl der Sekunden, die seit dem Jahr 1970 vergangen sind.

--Debug-Ebene Grad des
Wählen Sie die Debug-Ebene für die Untersuchung von Problemen aus. Grad des kann ein numerischer Wert sein oder
ein Stichwort:

keine Kein Debuggen. Anstelle von kann ein Wert von weniger als 1 verwendet werden
Stichwort.

basic Einige grundlegende Debugmeldungen. Anstelle von kann ein Wert zwischen 1 und 2 verwendet werden
das Stichwort.

advanced
Ausführlichere Debug-Meldungen. Anstelle von kann ein Wert zwischen 3 und 5 verwendet werden
das Stichwort.

Experte Noch detailliertere Meldungen. Anstelle von kann ein Wert zwischen 6 und 8 verwendet werden
das Stichwort.

Guru Alle Debug-Meldungen, die Sie erhalten können. Ein Wert größer als 8 kann verwendet werden
statt des Stichworts. Die Erstellung von Hash-Tracing-Dateien ist nur aktiviert
wenn das Schlüsselwort verwendet wird.

Wie diese Meldungen den tatsächlichen Debugging-Flags zugeordnet werden, ist nicht angegeben und kann
mit neueren Versionen dieses Programms ändern. Sie werden jedoch sorgfältig ausgewählt, um am besten zu sein
beim Debuggen helfen.

--debuggen Fahnen
Diese Option ist nur zum Debuggen nützlich und das Verhalten kann sich jederzeit ändern
ohne vorherige Ankündigung. FLAGS sind bitcodiert und können in üblicher C-Syntax angegeben werden. Die
derzeit definierte Bits sind:

0 (1) X.509- oder OpenPGP-Protokoll-bezogene Daten

1 (2) Werte von großen ganzen Zahlen

2 (4) Krypto-Operationen auf niedriger Ebene

5 (32) Speicherzuweisung

6 (64) Caching

7 (128)
Speicherstatistiken anzeigen.

9 (512)
gehashte Daten in Dateien mit dem Namen schreiben dbgmd-000*

10 (1024)
Verfolgen Sie das Assuan-Protokoll

12 (4096)
Umgehen Sie alle Zertifikatsvalidierungen

--debug-all
Das gleiche wie --debug=0xffffffff

--debug-wait n
Wenn Sie im Servermodus ausgeführt werden, warten Sie n Sekunden vor Eintritt in die eigentliche Bearbeitung
Schleife und drucke die pid. Dies gibt Zeit zum Anhängen eines Debuggers.

--debug-quick-random
Diese Option verhindert die Verwendung der sehr sicheren Zufallsqualitätsstufe (Libgcrypt).
GCRY_VERY_STRONG_RANDOM) und stuft alle Anfragen auf die standardmäßige Zufallsqualität herab.
Es dient nur zu Testzwecken und darf nicht für Schlüssel in Produktionsqualität verwendet werden.
Diese Option ist nur wirksam, wenn sie in der Befehlszeile angegeben wird.

--debug-pinentry
Diese Option aktiviert zusätzliche Debug-Informationen zum Pinentry. Ab jetzt
es ist nur dann sinnvoll, wenn es zusammen mit verwendet wird --debuggen 1024.

--no-detach
Trennen Sie den Prozess nicht von der Konsole. Dies ist hauptsächlich zum Debuggen nützlich.

-s

--Sch

-c

--csh Formatieren Sie die Informationsausgabe im Daemon-Modus für die Verwendung mit der Standard-Bourne-Shell oder dem
C-Schale bzw. Standardmäßig wird es anhand der Umgebungsvariablen erraten
SHELL was in fast allen Fällen richtig ist.

--no-grab
Weisen Sie den Benutzer an, nicht nach Tastatur und Maus zu greifen. Diese Option sollte vorhanden sein
Im Allgemeinen nicht zur Vermeidung von X-Sniffing-Angriffen verwendet werden.

--Logdatei Datei
Alle Logging-Ausgaben anhängen an Datei. Dies ist sehr hilfreich, um zu sehen, was der Agent
tatsächlich. Wenn weder eine Protokolldatei noch ein Protokolldateideskriptor auf a festgelegt wurde
Windows-Plattform, der Registrierungseintrag HKCU\Software\GNU\GnuPG:DefaultLogFileWenn
set, wird verwendet, um die Protokollierungsausgabe anzugeben.

--no-allow-mark-trusted
Erlauben Sie Clients nicht, Schlüssel als vertrauenswürdig zu markieren, d. h. sie in den Schlüssel zu stecken
'trustlist.txt' Datei. Dadurch wird es für Benutzer schwieriger, Root-Rechte versehentlich zu akzeptieren.
CA-Schlüssel.

--allow-preset-passphrase
Diese Option ermöglicht die Verwendung von gpg-voreingestellte Passphrase um den internen Cache von zu setzen
GPG-Agent mit Passphrasen.

--allow-loopback-pinentry
Erlauben Sie Clients, die Loopback-Pinentry-Funktionen zu verwenden. siehe die Option pinentry-modus
für weitere Einzelheiten.

--no-allow-external-cache
Weisen Sie Pinentry an, keine Funktionen zu aktivieren, die einen externen Cache für Passphrasen verwenden.

Einige Desktop-Umgebungen ziehen es vor, alle Anmeldeinformationen mit einem Master-Passwort freizuschalten
und möglicherweise einen Pinentry installiert haben, der einen zusätzlichen externen Cache verwendet
eine solche Politik umsetzen. Von der Verwendung dieser Option wird abgeraten, den Pineintrag vorzunehmen
Verwenden Sie einen solchen Cache nicht und fragen Sie den Benutzer stattdessen immer nach der angeforderten Passphrase.

--allow-emacs-pinentry
Weisen Sie Pinentry an, Funktionen zu erlauben, den Passphrase-Eintrag an einen laufenden Emacs umzuleiten
Beispiel. Wie dies genau gehandhabt wird, hängt von der Version des verwendeten Pinentrys ab.

--ignore-cache-for-signing
Diese Option wird es ermöglichen GPG-Agent Umgehen Sie den Passphrase-Cache für alle Signaturen
Betrieb. Beachten Sie, dass es auch eine Option pro Sitzung gibt, um dieses Verhalten zu steuern
aber diese Befehlszeilenoption hat Vorrang.

--default-cache-ttl n
Legen Sie die Zeit fest, bis zu der ein Cache-Eintrag gültig ist n Sekunden. Der Standardwert beträgt 600 Sekunden.
Bei jedem Zugriff auf einen Cache-Eintrag wird der Timer des Eintrags zurückgesetzt. Um einen Eintrag festzulegen
maximale Lebensdauer, Nutzung max-cache-ttl.

--default-cache-ttl-ssh n
Legen Sie die Gültigkeitsdauer eines für SSH-Schlüssel verwendeten Cache-Eintrags fest n Sekunden. Die Standardeinstellung ist
1800 Sekunden. Bei jedem Zugriff auf einen Cache-Eintrag wird der Timer des Eintrags zurückgesetzt. Zu
Legen Sie die maximale Lebensdauer eines Eintrags fest max-cache-ttl-ssh.

--max-cache-ttl n
Legen Sie die maximale Gültigkeitsdauer eines Cache-Eintrags fest n Sekunden. Nach dieser Zeit ein Cache
Der Eintrag verfällt auch dann, wenn kürzlich auf ihn zugegriffen wurde oder er mit festgelegt wurde
gpg-voreingestellte Passphrase. Der Standardwert beträgt 2 Stunden (7200 Sekunden).

--max-cache-ttl-ssh n
Legen Sie die maximale Gültigkeitsdauer eines für SSH-Schlüssel verwendeten Cache-Eintrags fest n Sekunden. Nach
Diesmal ist ein Cache-Eintrag abgelaufen, auch wenn kürzlich auf ihn zugegriffen wurde oder
wurde mit eingestellt gpg-voreingestellte Passphrase. Der Standardwert beträgt 2 Stunden (7200 Sekunden).

--enforce-passphrase-constraints
Erzwingen Sie die Passphrase-Einschränkungen, indem Sie dem Benutzer nicht erlauben, sie zu umgehen
die Schaltfläche „Nimm es trotzdem“.

--min-passphrase-len n
Legen Sie die Mindestlänge einer Passphrase fest. Bei der Eingabe einer neuen Passphrase kürzer
Unterschreitet dieser Wert, wird eine Warnung angezeigt. Standardmäßig ist 8.

--min-passphrase-nonalpha n
Legen Sie die Mindestanzahl an Ziffern oder Sonderzeichen fest, die in einer Passphrase erforderlich sind.
Bei der Eingabe einer neuen Passphrase mit weniger als dieser Anzahl von Ziffern oder Sonderzeichen
Zeichen wird eine Warnung angezeigt. Der Standardwert ist 1.

--check-passphrase-pattern Datei
Überprüfen Sie die Passphrase anhand des angegebenen Musters Datei. Bei der Eingabe eines neuen
Wenn die Passphrase mit einem dieser Muster übereinstimmt, wird eine Warnung angezeigt. Datei sollte
ein absoluter Dateiname sein. Standardmäßig wird keine Musterdatei verwendet.

Sicherheitshinweis: Es ist bekannt, dass die Prüfung einer Passphrase anhand einer Liste von Mustern oder
Selbst gegen ein vollständiges Wörterbuch lässt sich das Gute nicht sehr effektiv durchsetzen
Passphrasen. Benutzer werden bald Möglichkeiten finden, eine solche Richtlinie zu umgehen. Ein besseres
Die Richtlinie besteht darin, Benutzer über gutes Sicherheitsverhalten aufzuklären und optional eine auszuführen
Passphrase-Cracker regelmäßig auf die Passphrasen aller Benutzer zugreifen, um das ganz einfache zu fangen
diejenigen.

--max-passphrase-days n
Bitten Sie den Benutzer, die Passphrase zu ändern, wenn n Seit der letzten Änderung sind Tage vergangen.
Mit der --enforce-passphrase-constraints Legen Sie fest, dass der Benutzer diese Prüfung nicht umgehen darf.

--enable-passphrase-history
Diese Option bewirkt noch nichts.

--pinentry-invisible-char verkohlen
Diese Option fordert den Pinentry zur Verwendung auf verkohlen zum Anzeigen versteckter Zeichen. verkohlen
muss eine einstellige UTF-8-Zeichenfolge sein. Ein Pin-Eintrag kann dieser Bitte nachkommen oder auch nicht.

--pinentry-timeout n
Diese Option fordert den Pinentry zu einer Zeitüberschreitung auf n Sekunden ohne Benutzereingabe. Der
Der Standardwert 0 fordert den Pinentry nicht zu einer Zeitüberschreitung auf, ein Pinentry kann ihn jedoch verwenden
in diesem Fall seinen eigenen Standard-Timeout-Wert. Ein Pin-Eintrag kann dies berücksichtigen oder auch nicht
anfordern.

--pinentry-programm Dateinamen
Programm verwenden Dateinamen als PIN-Eingabe. Die Standardeinstellung ist von der Installation abhängig.
Bei der Standardkonfiguration lautet der Name des Standard-Pineintrags „Pinnwand'; Wenn
Diese Datei existiert nicht, sondern eine 'pinentry-basic' existieren, letzteres wird verwendet.

Auf einer Windows-Plattform wird standardmäßig das erste vorhandene Programm verwendet
Liste: 'bin\pinentry.exe','..\Gpg4win\bin\pinentry.exe','..\Gpg4win\pinentry.exe'
'..\GNU\GnuPG\pinentry.exe','..\GNU\bin\pinentry.exe','bin\pinentry-basic.exe'
wobei die Dateinamen relativ zum GnuPG-Installationsverzeichnis sind.

--pinentry-touch-file Dateinamen
Standardmäßig wird der Dateiname des Sockets übergeben, den der GPG-Agent auf Anfragen wartet
zu Pinentry, damit es diese Datei vor dem Beenden berühren kann (dies geschieht nur in
Fluchmodus). Diese Option ändert die an Pinentry übergebene Datei in Dateinamendem „Vermischten Geschmack“. Seine
spezieller Name / dev / null kann verwendet werden, um diese Funktion vollständig zu deaktivieren. Beachten Sie, dass
Pinentry erstellt diese Datei nicht, sondern ändert lediglich die Änderung und den Zugriff
Zeit.

--scdaemon-Programm Dateinamen
Programm verwenden Dateinamen als Smartcard-Daemon. Die Standardeinstellung ist Installation
abhängig und kann mit dem angezeigt werden gpgconf Befehl.

--disable-scdaemon
Benutzen Sie nicht das scdaemon-Tool. Diese Option bewirkt die Deaktivierung von
Fähigkeit, Smartcard-Operationen durchzuführen. Beachten Sie, dass die Aktivierung dieser Option zur Laufzeit erfolgt
tötet einen bereits geforkten scdaemon nicht.

--disable-check-own-socket
GPG-Agent verwendet einen regelmäßigen Selbsttest, um eine gestohlene Steckdose zu erkennen. Dies normalerweise
bedeutet eine zweite Instanz von GPG-Agent hat die Steckdose übernommen und GPG-Agent werden wir
dann beendet es sich selbst. Mit dieser Option kann dieser Selbsttest deaktiviert werden
Debugging-Zwecke.

--use-standard-socket

--no-use-standard-socket

--use-standard-socket-p
Seit GnuPG 2.1 wird immer der Standard-Socket verwendet. Diese Optionen gibt es nicht mehr
Wirkung. Der Befehl GPG-Agent --use-standard-socket-p wird also immer wiederkommen
Erfolg.

--Anzeige Schnur

--ttyname Schnur

--ttytype Schnur

--lc-ctype Schnur

--lc-Nachrichten Schnur

--xauthority Schnur
Diese Optionen werden im Servermodus verwendet, um Lokalisierungsinformationen zu übergeben.

--keep-tty

--keep-display
Ignorieren Sie Anfragen zur Änderung des Stroms tty oder X-Window-Systeme DISPLAY Variable
jeweils. Dies ist nützlich, um den Pin-Eintrag so zu sperren, dass er am angezeigt wird tty oder anzeigen
Sie haben den Agenten gestartet.

--extra-socket Name
Hören Sie auch auf native GPG-Agent-Verbindungen am angegebenen Socket. Der Verwendungszweck
Für diesen zusätzlichen Socket dient die Einrichtung einer Unix-Domänen-Socket-Weiterleitung von einem Remotestandort aus
Maschine mit diesem Socket auf der lokalen Maschine verbinden. A gpg läuft auf dem Remote-Rechner
kann sich dann mit dem lokalen GPG-Agenten verbinden und dessen private Schlüssel verwenden. Dies ermöglicht
Entschlüsseln oder signieren Sie Daten auf einem Remote-Computer, ohne die privaten Schlüssel dem Computer preiszugeben
entfernte Maschine.

--enable-ssh-support

--enable-putty-support

Aktivieren Sie das OpenSSH-Agent-Protokoll.

In dieser Betriebsart implementiert der Agent nicht nur den GPG-Agenten
Protokoll, sondern auch das von OpenSSH verwendete Agentenprotokoll (über einen separaten Socket).
Folglich sollte es möglich sein, den GPG-Agent als Drop-in-Ersatz zu verwenden
für den bekannten SSH-Agenten.

SSH-Schlüssel, die über den Agenten verwendet werden sollen, müssen dem gpg-agent hinzugefügt werden
zunächst über das Dienstprogramm ssh-add. Wenn ein Schlüssel hinzugefügt wird, fragt ssh-add danach
Geben Sie das Passwort der bereitgestellten Schlüsseldatei ein und senden Sie das ungeschützte Schlüsselmaterial an die
Agent; Dies führt dazu, dass der GPG-Agent nach einer Passphrase fragt, die verwendet werden soll
Verschlüsseln des neu empfangenen Schlüssels und Speichern in einem GPG-Agent-spezifischen Verzeichnis.

Sobald auf diese Weise ein Schlüssel zum GPG-Agenten hinzugefügt wurde, ist der GPG-Agent dazu bereit
Benutze den Schlüssel.

Hinweis: Falls der GPG-Agent eine Signaturanforderung erhält, muss der Benutzer dies möglicherweise tun
Sie werden zur Eingabe einer Passphrase aufgefordert, die zum Entschlüsseln des gespeicherten Schlüssels erforderlich ist. Seit
Das SSH-Agent-Protokoll enthält keinen Mechanismus, um dem Agenten mitzuteilen, auf welchem
Display/Terminal, auf dem es ausgeführt wird, verwendet der SSH-Support des GPG-Agenten TTY oder X
Zeigt an, wo der gpg-agent gestartet wurde. Um diese Anzeige auf die aktuelle umzuschalten
Erstens kann der folgende Befehl verwendet werden:

gpg-connect-agent updatestartuptty /bye

Obwohl alle GnuPG-Komponenten versuchen, den GPG-Agenten bei Bedarf zu starten, ist dies nicht möglich
für die SSH-Unterstützung, da SSH nichts davon weiß. Also wenn kein GnuPG-Tool welches
auf den Agenten zugreift, gibt es keine Garantie dafür, dass SSH den GPG-Agenten verwenden kann
zur Authentifizierung. Um dies zu beheben, können Sie gpg-agent bei Bedarf mit diesem einfachen Befehl starten
Befehl:

gpg-connect-agent /bye

Hinzufügen der - ausführlich Zeigt den Fortschritt beim Starten des Agenten an.

Das --enable-putty-support ist nur unter Windows verfügbar und ermöglicht die Verwendung von gpg-agent
mit der SSH-Implementierung Kitt. Dies ähnelt jedoch der regulären SSH-Agent-Unterstützung
nutzt die Windows-Nachrichtenwarteschlange nach Bedarf Kitt.

Alle langen Optionen können auch in der Konfigurationsdatei angegeben werden, nachdem die entfernt wurden
zwei führende Bindestriche.

Beispiele:

Es ist wichtig, beispielsweise die Umgebungsvariable GPG_TTY in Ihrer Login-Shell festzulegen
in dem '~ / .bashrc'Init-Skript:

export GPG_TTY=$(tty)

Wenn Sie die SSH-Agent-Unterstützung aktiviert haben, müssen Sie SSH auch darüber informieren, indem Sie dies hinzufügen
Dein Init-Skript:

Deaktivieren Sie SSH_AGENT_PID
if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$ ]; Dann
export SSH_AUTH_SOCK="${HOME}/.gnupg/S.gpg-agent.ssh"
fi

Verwenden Sie gpg-agent online über die Dienste von onworks.net