Este es el comando gpg-agent que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
agente-gpg - Gestión de claves secretas para GnuPG
SINOPSIS
agente-gpg [--homedir dir] [--opciones presentar] [opciones]
agente-gpg [--homedir dir] [--opciones presentar] [opciones] --servidor
agente-gpg [--homedir dir] [--opciones presentar] [opciones] --demonio [línea de comando]
DESCRIPCIÓN
agente-gpg es un demonio para administrar claves secretas (privadas) independientemente de cualquier protocolo. Eso
se utiliza como backend para gpg y gpgsm así como para un par de otras utilidades.
El agente se inicia automáticamente a pedido por gpg, gpgsm, gpgconfo gpg-conectar-agente.
Por lo tanto, no hay razón para iniciarlo manualmente. En caso de que desee utilizar el Secure
Shell Agent puede iniciar el agente usando:
gpg-connect-agent / adiós
Siempre debe agregar las siguientes líneas a su .bashrc o cualquier archivo de inicialización
se utiliza para todas las invocaciones de shell:
GPG_TTY = $ (tty)
exportar GPG_TTY
Es importante que esta variable de entorno siempre refleje la salida de la tty
mando. Para los sistemas W32, esta opción no es necesaria.
Asegúrese de que se haya instalado un programa pinentry adecuado con el
nombre de archivo (que depende del sistema) o use la opción programa de entrada para especificar el
nombre completo de ese programa. A menudo es útil instalar un enlace simbólico desde el
pinentry usado (por ejemplo, '/ usr / bin / pinentry-gtk') al esperado (p. ej.
"/ usr / bin / pinentry').
COMANDOS
Los comandos no se distinguen de las opciones, excepto por el hecho de que solo un comando es
permitido.
--versión
Imprima la versión del programa y la información de licencia. Tenga en cuenta que no puede
abreviar este comando.
--ayuda
-h Imprima un mensaje de uso que resuma las opciones de línea de comandos más útiles. Tenga en cuenta que
no puede abreviar este comando.
--opciones de volcado
Imprima una lista de todas las opciones y comandos disponibles. Tenga en cuenta que no puede
abreviar este comando.
--servidor
Ejecute en modo servidor y espere los comandos en el stdin. El modo predeterminado es
cree un socket y escuche los comandos allí.
--demonio [comando línea]
Inicie gpg-agent como un demonio; es decir, sepárelo de la consola y ejecútelo en
el fondo.
Como alternativa, puede crear un nuevo proceso como hijo de gpg-agent: agente-gpg
--demonio / Bin / sh. De esta manera obtienes un nuevo shell con la configuración del entorno.
adecuadamente; después de salir de este shell, gpg-agent termina en unos pocos
segundos.
CAMPUS
--opciones presentar
Lee la configuración de presentar en lugar de la configuración predeterminada por usuario
expediente. El archivo de configuración predeterminado se llama 'gpg-agente.conf'y esperado en el
".gnupg'directorio directamente debajo del directorio de inicio del usuario.
--homedir dir
Establezca el nombre del directorio de inicio en dir. Si no se utiliza esta opción, el hogar
el directorio predeterminado es '~ / .gnupg'. Solo se reconoce cuando se da en el comando
línea. También anula cualquier directorio de inicio indicado a través de la variable de entorno.
"GNUPGHOME'o (en sistemas Windows) mediante la entrada del Registro
HKCU \ Software \ GNU \ GnuPG: HomeDir.
En los sistemas Windows es posible instalar GnuPG como una aplicación portátil. En
En este caso, solo se considera esta opción de línea de comando, todas las demás formas de configurar un hogar
directorio se ignoran.
Para instalar GnuPG como una aplicación portátil en Windows, cree un nombre de archivo vacío
"gpgconf.ctl'en el mismo directorio que la herramienta'gpgconf.exe'. La raíz de la
la instalación es que ese directorio; o si 'gpgconf.exe' ha sido instalado
directamente debajo de un directorio llamado 'papelera', su directorio padre. También necesitas
asegúrese de que existan los siguientes directorios y de que se puedan escribir: 'RAÍZ / hogar' para
la casa de GnuPG y 'ROOT / var / cache / gnupg2'para archivos de caché internos.
-v
--verboso
Emite información adicional mientras se ejecuta. Puede aumentar la verbosidad por
dando varios comandos detallados a gpgsm, como '-vv'.
-q
--tranquilo
Trate de estar lo más callado posible.
--lote
No invoques una entrada ni hagas ninguna otra cosa que requiera interacción humana.
--tiempo-del-sistema-falso época
Esta opción solo es útil para realizar pruebas; establece la hora del sistema hacia adelante o hacia atrás para
época que es el número de segundos transcurridos desde el año 1970.
--nivel de depuración nivel
Seleccione el nivel de depuración para investigar problemas. nivel puede ser un valor numérico o
una palabra clave:
ninguna Sin depuración en absoluto. Se puede usar un valor menor que 1 en lugar del
palabra clave.
básica Algunos mensajes de depuración básicos. Se puede usar un valor entre 1 y 2 en lugar de
la palabra clave.
avanzado
Mensajes de depuración más detallados. Se puede utilizar un valor entre 3 y 5 en lugar de
la palabra clave.
experto Mensajes aún más detallados. Se puede usar un valor entre 6 y 8 en lugar de
la palabra clave.
gurú Todos los mensajes de depuración que puede recibir. Se puede utilizar un valor superior a 8
en lugar de la palabra clave. La creación de archivos de seguimiento de hash solo está habilitada
si se utiliza la palabra clave.
No se especifica cómo se asignan estos mensajes a los indicadores de depuración reales y puede
cambiar con versiones más recientes de este programa. Sin embargo, se seleccionan cuidadosamente para
ayuda en la depuración.
--depurar banderas
Esta opción solo es útil para depurar y el comportamiento puede cambiar en cualquier momento
sin notificación. Las BANDERAS están codificadas en bits y se pueden dar en la sintaxis C habitual. los
los bits definidos actualmente son:
0 (1) Datos relacionados con el protocolo X.509 o OpenPGP
1 (2) valores de números enteros grandes
2 (4) operaciones de cifrado de bajo nivel
5 (32) asignación de memoria
6 (64) el almacenamiento en caché
7 (128)
mostrar estadísticas de memoria.
9 (512)
escribir datos hash en archivos llamados dbgmd-000 *
10 (1024)
Rastrear el protocolo de Assuan
12 (4096)
omitir toda la validación de certificados
--depurar-todo
Igual que --debug = 0xffffffff
--depurar-esperar n
Cuando se ejecuta en modo servidor, espere n segundos antes de ingresar al procesamiento real
bucle e imprima el pid. Esto da tiempo para adjuntar un depurador.
--depuración-rápida-aleatoria
Esta opción inhibe el uso del nivel de calidad aleatorio muy seguro (Libgcrypt's
GCRY_VERY_STRONG_RANDOM) y degrada todas las solicitudes a calidad aleatoria estándar.
Solo se usa para pruebas y no se debe usar para ninguna clave de calidad de producción.
Esta opción solo es efectiva cuando se da en la línea de comando.
--depuración-pinentry
Esta opción habilita información de depuración adicional relacionada con Pinentry. A partir de ahora
solo es útil cuando se usa junto con --depurar 1024.
--no separarse
No desconecte el proceso de la consola. Esto es principalmente útil para depurar.
-s
--sh
-c
--csh Formatee la salida de información en modo demonio para usarla con el shell Bourne estándar o el
C-shell respectivamente. El valor predeterminado es adivinarlo según la variable de entorno.
SHELL lo cual es correcto en casi todos los casos.
--no agarrar
Dile a la entrada que no agarre el teclado y el mouse. Esta opción debería en
general no se puede utilizar para evitar ataques de rastreo de X.
--archivo de registro presentar
Anexar todos los resultados de registro a presentar. Esto es muy útil para ver lo que el agente
realmente lo hace. Si no se ha configurado ni un archivo de registro ni un descriptor de archivo de registro en un
Plataforma Windows, la entrada del Registro HKCU \ Software \ GNU \ GnuPG: DefaultLogFile, Si
set, se utiliza para especificar la salida de registro.
--no-allow-mark-trust
No permita que los clientes marquen las claves como confiables, es decir, póngalas en el
"listadeconfianza.txt' expediente. Esto hace que sea más difícil para los usuarios aceptar inadvertidamente Root-
Claves CA.
--permitir-frase-de-contraseña-preestablecida
Esta opción permite el uso de gpg-preset-contraseña para sembrar el caché interno de
agente-gpg con frases de contraseña.
--permitir-loopback-pinentry
Permitir que los clientes utilicen las funciones de entrada de bucle invertido; ver la opcion modo de entrada
para obtener más detalles.
--no-permitir-caché externo
Dígale a Pinentry que no habilite funciones que utilicen un caché externo para frases de contraseña.
Algunos entornos de escritorio prefieren desbloquear todas las credenciales con una contraseña maestra
y puede haber instalado un Pinentry que emplea un caché externo adicional para
implementar tal política. Al usar esta opción, se recomienda a Pinentry no hacer
uso de dicha caché y, en su lugar, siempre pida al usuario la frase de contraseña solicitada.
--permitir-emacs-pinentry
Dígale a Pinentry que permita que las funciones desvíen la entrada de la frase de contraseña a un Emacs en ejecución
ejemplo. La forma en que esto se maneja exactamente depende de la versión del Pinentry utilizado.
--ignorar-caché-para-firmar
Esta opción permitirá agente-gpg omitir el caché de la frase de contraseña para todas las firmas
operación. Tenga en cuenta que también existe una opción por sesión para controlar este comportamiento
pero esta opción de línea de comando tiene prioridad.
--default-caché-ttl n
Establecer el tiempo que una entrada de caché es válida para n segundos. El valor predeterminado es 600 segundos.
Cada vez que se accede a una entrada de caché, se reinicia el temporizador de la entrada. Para configurar una entrada
vida útil máxima, uso max-cache-ttl.
--default-caché-ttl-ssh n
Establezca el tiempo que una entrada de caché utilizada para las claves SSH es válida para n segundos. El valor predeterminado es
1800 segundos. Cada vez que se accede a una entrada de caché, el temporizador de la entrada se reinicia. A
establecer la vida útil máxima de una entrada, utilizar max-cache-ttl-ssh.
--max-caché-ttl n
Establecer el tiempo máximo que una entrada de caché es válida para n segundos. Pasado este tiempo un caché
la entrada caducará incluso si se ha accedido recientemente o se ha configurado utilizando
gpg-preset-contraseña. El valor predeterminado es 2 horas (7200 segundos).
--max-caché-ttl-ssh n
Establezca el tiempo máximo que una entrada de caché utilizada para claves SSH es válida para n segundos. Después
esta vez, una entrada de caché expirará incluso si se ha accedido recientemente o
se ha configurado usando gpg-preset-contraseña. El valor predeterminado es 2 horas (7200 segundos).
--aplicar-contraseñas-restricciones
Haga cumplir las restricciones de la frase de contraseña al no permitir que el usuario las omita usando
el botón `` Tómalo de todos modos ''.
--frase-contraseña-min-len n
Establezca la longitud mínima de una frase de contraseña. Al ingresar una nueva contraseña más corta
que este valor se mostrará una advertencia. El valor predeterminado es 8.
--min-contraseña-nonalpha n
Establezca la cantidad mínima de dígitos o caracteres especiales necesarios en una frase de contraseña.
Al ingresar una nueva contraseña con menos de este número de dígitos o especial
caracteres se mostrará una advertencia. Por defecto es 1.
--check-contraseña-patrón presentar
Verifique la frase de contraseña con el patrón dado en presentar. Al ingresar a un nuevo
contraseña que coincida con uno de estos patrones, se mostrará una advertencia. presentar tienes
ser un nombre de archivo absoluto. El valor predeterminado es no utilizar ningún archivo de patrón.
Nota de seguridad: se sabe que comparar una frase de contraseña con una lista de patrones o
incluso contra un diccionario completo no es muy efectivo para hacer cumplir una buena
frases de contraseña. Los usuarios pronto encontrarán formas de eludir dicha política. Un mejor
La política es educar a los usuarios sobre el buen comportamiento de seguridad y, opcionalmente, ejecutar una
cracker de contraseñas regularmente en todas las contraseñas de los usuarios para captar lo muy simple
queridos.
--max-contraseña-días n
Pídale al usuario que cambie la frase de contraseña si n Han pasado días desde el último cambio.
Con --aplicar-contraseñas-restricciones establecido, el usuario no puede omitir esta verificación.
--enable-contraseña-historial
Esta opción no hace nada todavía.
--pinentry-invisible-char tanque
Esta opción le pide a Pinentry que use tanque para mostrar caracteres ocultos. tanque
debe ser una cadena UTF-8 de un carácter. Un Pinentry puede o no aceptar esta solicitud.
--pinentry-tiempo de espera n
Esta opción le pide a Pinentry que finalice el tiempo de espera después de n segundos sin intervención del usuario. los
el valor predeterminado de 0 no pide a la entrada de pines que se agote el tiempo de espera, sin embargo, una entrada de pines puede usar
su propio valor de tiempo de espera predeterminado en este caso. Un Pinentry puede o no honrar esto
solicitud.
--programa de entrada nombre de archivo
Usar programa nombre de archivo como la entrada del PIN. El valor predeterminado depende de la instalación.
Con la configuración predeterminada, el nombre de la entrada predeterminada es 'entrada de pines'; si
ese archivo no existe sino un 'pinentry-básico'existe este último se utiliza.
En una plataforma Windows, el valor predeterminado es utilizar el primer programa existente de este
lista: 'bin \ pinentry.exe','.. \ Gpg4win \ bin \ pinentry.exe','.. \ Gpg4win \ pinentry.exe»,
".. \ GNU \ GnuPG \ pinentry.exe','.. \ GNU \ bin \ pinentry.exe','bin \ pinentry-basic.exe'
donde los nombres de los archivos son relativos al directorio de instalación de GnuPG.
--pinentry-touch-archivo nombre de archivo
De forma predeterminada, se pasa el nombre de archivo del socket gpg-agent que está escuchando solicitudes
a Pinentry, para que pueda tocar ese archivo antes de salir (lo hace solo en
modo maldiciones). Esta opción cambia el archivo pasado a Pinentry a nombre de archivo.
nombre especial / dev / null se puede utilizar para desactivar completamente esta función. Tenga en cuenta que
Pinentry no creará ese archivo, solo cambiará la modificación y el acceso
en las transacciones.
--scdaemon-programa nombre de archivo
Usar programa nombre de archivo como el demonio de la tarjeta inteligente. El valor predeterminado es la instalación
dependiente y se puede mostrar con el gpgconf mando.
--disable-scdaemon
No utilice la herramienta scdaemon. Esta opción tiene el efecto de deshabilitar el
capacidad para realizar operaciones con tarjetas inteligentes. Tenga en cuenta que habilitar esta opción en tiempo de ejecución
no mata a un scdaemon ya bifurcado.
--disable-check-propio-socket
agente-gpg emplea una autocomprobación periódica para detectar un enchufe robado. Esto por lo general
significa una segunda instancia de agente-gpg se ha hecho cargo del enchufe y agente-gpg seguirá
luego terminarse. Esta opción se puede utilizar para deshabilitar esta autocomprobación para
fines de depuración.
--usar-zócalo-estándar
--sin-uso-enchufe-estándar
--usar-zócalo-estándar-p
Desde GnuPG 2.1, siempre se utiliza el conector estándar. Estas opciones no tienen más
efecto. El comando agente-gpg --usar-zócalo-estándar-p así siempre volverá
éxito.
--monitor cadena
--ttynombre cadena
--ttytipo cadena
--lc-ctipo cadena
--lc-mensajes cadena
--xautoridad cadena
Estas opciones se utilizan con el modo de servidor para pasar información de localización.
--mantener-tty
- mantener la pantalla
Ignore las solicitudes para cambiar el actual tty o el sistema de ventanas X DISPLAY variable
respectivamente. Esto es útil para bloquear la entrada de pines para que aparezca en el tty o mostrar
usted inició el agente.
--enchufe adicional nombre
También escuche las conexiones nativas de agente gpg en el socket dado. El uso previsto
para este socket adicional es configurar un reenvío de socket de dominio Unix desde un
máquina a este zócalo en la máquina local. A gpg ejecutándose en la máquina remota
luego puede conectarse al agente gpg local y usar sus claves privadas. Esto permite
descifrar o firmar datos en una máquina remota sin exponer las claves privadas al
máquina remota.
--habilitar-ssh-soporte
- habilitar-masilla-soporte
Habilite el protocolo del agente OpenSSH.
En este modo de operación, el agente no solo implementa el gpg-agent
protocolo, sino también el protocolo de agente utilizado por OpenSSH (a través de un conector separado).
En consecuencia, debería ser posible utilizar el agente gpg como reemplazo directo
para el conocido ssh-agent.
Las claves SSH, que se usarán a través del agente, deben agregarse al gpg-agent
inicialmente a través de la utilidad ssh-add. Cuando se agrega una clave, ssh-add pedirá
la contraseña del archivo de claves proporcionado y envíe el material de claves desprotegido al
agente; esto hace que el agente gpg solicite una frase de contraseña, que se utilizará para
cifrar la clave recién recibida y almacenarla en un directorio específico del agente gpg.
Una vez que se ha agregado una clave al agente gpg de esta manera, el agente gpg estará listo para
usa la llave.
Nota: en caso de que gpg-agent reciba una solicitud de firma, es posible que el usuario deba ser
se le solicita una frase de contraseña, que es necesaria para descifrar la clave almacenada. Ya que
el protocolo ssh-agent no contiene un mecanismo para decirle al agente en qué
pantalla / terminal que se está ejecutando, el soporte ssh de gpg-agent usará el TTY o X
muestra dónde se ha iniciado gpg-agent. Para cambiar esta pantalla a la actual
uno, se puede utilizar el siguiente comando:
gpg-connect-agent updatestartuptty / bye
Aunque todos los componentes de GnuPG intentan iniciar el agente gpg según sea necesario, esto no es posible
para el soporte de ssh porque ssh no lo sabe. Por tanto, si no hay ninguna herramienta GnuPG que
accede al agente se ha ejecutado, no hay garantía de que ssh pueda utilizar gpg-agent
para autenticación. Para solucionar este problema, puede iniciar gpg-agent si es necesario utilizando este sencillo
mando:
gpg-connect-agent / adiós
Añadiendo el --verboso muestra el progreso de iniciar el agente.
El - habilitar-masilla-soporte solo está disponible en Windows y permite el uso de gpg-agent
con la implementación de ssh masilla. Esto es similar al soporte regular de ssh-agent pero
hace uso de la cola de mensajes de Windows según lo requiera masilla.
Todas las opciones largas también se pueden dar en el archivo de configuración después de quitar el
dos guiones iniciales.
EJEMPLOS
Es importante configurar la variable de entorno GPG_TTY en su shell de inicio de sesión, por ejemplo
en el '~ / .bashrc'script de inicio:
exportar GPG_TTY = $ (tty)
Si habilitó el soporte del agente de Ssh, también debe informar a ssh agregando esto a
su script de inicio:
desarmado SSH_AGENT_PID
si ["$ {gnupg_SSH_AUTH_SOCK_by: -0}" -ne $$]; luego
exportar SSH_AUTH_SOCK = "$ {HOME} /. gnupg / S.gpg-agent.ssh"
fi
Use gpg-agent en línea usando los servicios de onworks.net
