Este es el comando gpg2 que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
gpg2 - Herramienta de firma y cifrado OpenPGP
SINOPSIS
gpg2 [--homedir dir] [--opciones presentar] [opciones] comando [args]
DESCRIPCIÓN
gpg2 es la parte OpenPGP de GNU Privacy Guard (GnuPG). Es una herramienta para proporcionar digital
servicios de cifrado y firma utilizando el estándar OpenPGP. gpg2 características llave completa
gestión y todas las campanas y silbidos que puede esperar de una implementación decente de OpenPGP.
A diferencia del comando independiente gpg de GnuPG 1.x, que podría ser más adecuado
para servidores y plataformas integradas, la versión 2.x se instala comúnmente con el nombre
gpg2 y dirigido al escritorio, ya que requiere la instalación de varios otros módulos.
DEVOLUCION VALOR
El programa devuelve 0 si todo estaba bien, 1 si al menos una firma estaba mal y otra
códigos de error para errores fatales.
ADVERTENCIAS
Utilice una * buena * contraseña para su cuenta de usuario y una * buena * frase de contraseña para proteger su secreto
llave. Esta frase de contraseña es la parte más débil de todo el sistema. Programas para hacer diccionario
Los ataques a su llavero secreto son muy fáciles de escribir, por lo que debe proteger su
"~ / .gnupg /"directorio muy bien.
Tenga en cuenta que, si este programa se utiliza en una red (telnet), es * muy * fácil de
espía tu contraseña!
Si va a verificar firmas separadas, asegúrese de que el programa lo sepa;
proporcione ambos nombres de archivo en la línea de comando o use '-' para especificar STDIN.
INTEROPERABILIDAD
GnuPG intenta ser una implementación muy flexible del estándar OpenPGP. En particular,
GnuPG implementa muchas de las partes opcionales del estándar, como el hash SHA-512 y
los algoritmos de compresión ZLIB y BZIP2. Es importante tener en cuenta que no todos
Los programas OpenPGP implementan estos algoritmos opcionales y que al forzar su uso a través del
--cifrar-algo, --digest-algo, --cert-digest-algoo --comprimir-algo opciones en GnuPG,
Es posible crear un mensaje OpenPGP perfectamente válido, pero uno que no pueda ser leído por
el destinatario previsto.
Hay docenas de variaciones de programas OpenPGP disponibles, y cada uno admite un ligero
subconjunto diferente de estos algoritmos opcionales. Por ejemplo, hasta hace poco, no (sin hackear)
La versión de PGP admitía el algoritmo de cifrado BLOWFISH. Un mensaje usando BLOWFISH simplemente
no puede ser leído por un usuario de PGP. De forma predeterminada, GnuPG usa las preferencias estándar de OpenPGP
sistema que siempre hará lo correcto y creará mensajes que sean utilizables por todos
destinatarios, independientemente del programa OpenPGP que utilicen. Solo anule este valor predeterminado seguro
si realmente sabe lo que está haciendo.
Si absolutamente debe anular el valor predeterminado seguro, o si las preferencias de una clave determinada son
inválido por alguna razón, es mucho mejor usar el --pgp6, --pgp7o --pgp8
opciones. Estas opciones son seguras ya que no fuerzan ningún algoritmo particular en
violación de OpenPGP, sino reducir los algoritmos disponibles a una lista "PGP-safe".
COMANDOS
Los comandos no se distinguen de las opciones, excepto por el hecho de que solo un comando es
permitido.
gpg2 puede ejecutarse sin comandos, en cuyo caso realizará una acción razonable
dependiendo del tipo de archivo que se da como entrada (un mensaje cifrado se descifra, un
se verifica la firma, se lista un archivo que contiene las claves).
Recuerde que la opción, así como el análisis de comandos, se detiene tan pronto como una no opción es
encontrado, puede detener explícitamente el análisis utilizando la opción especial --.
Comandos no soluciones y a las función
--versión
Imprima la versión del programa y la información de licencia. Tenga en cuenta que no puede
abreviar este comando.
--ayuda
-h Imprima un mensaje de uso que resuma las opciones de línea de comando más útiles. Tenga en cuenta que
no puede abreviar este comando.
--garantía
Imprima la información de la garantía.
--opciones de volcado
Imprima una lista de todas las opciones y comandos disponibles. Tenga en cuenta que no puede
abreviar este comando.
Comandos a selecciona las tipo of Inteligente
--firmar
-s Haz una firma. Este comando se puede combinar con --encriptar (para un firmado y
mensaje cifrado), --simétrico (para un mensaje firmado y cifrado simétricamente),
or --encriptar y --simétrico juntos (para un mensaje firmado que puede ser descifrado
mediante una clave secreta o una frase de contraseña). La clave que se utilizará para firmar la elige
predeterminado o se puede configurar con el --usuario-local y --clave predeterminada .
--señal clara
Haz una firma de texto clara. El contenido en una firma de texto claro es legible
sin ningún software especial. El software OpenPGP solo es necesario para verificar la
firma. Las firmas de texto claro pueden modificar los espacios en blanco al final de la línea para la plataforma
independencia y no pretenden ser reversibles. La clave que se utilizará para firmar
se elige de forma predeterminada o se puede configurar con el --usuario-local y --clave predeterminada .
- signo de separación
-b Haz una firma separada.
--encriptar
-e Cifre los datos. Esta opción se puede combinar con --firmar (para un firmado y encriptado
mensaje), --simétrico (para un mensaje que puede ser descifrado mediante una clave secreta o un
frase de contraseña), o --firmar y --simétrico juntos (para un mensaje firmado que puede ser
descifrado mediante una clave secreta o una frase de contraseña).
--simétrico
-c Cifre con un cifrado simétrico usando una frase de contraseña. El cifrado simétrico predeterminado
utilizado es AES-128, pero se puede elegir con el --cifrar-algo opción. Esta opción puede
ser combinado con --firmar (para un mensaje firmado y cifrado simétricamente),
--encriptar (para un mensaje que se puede descifrar mediante una clave secreta o una frase de contraseña),
or --firmar y --encriptar juntos (para un mensaje firmado que puede ser descifrado a través de un
clave secreta o una frase de contraseña).
--Tienda
Almacenar solo (hacer un paquete de datos literal simple).
--descriptar
-d Descifre el archivo dado en la línea de comando (o STDIN si no se especifica ningún archivo) y
escribirlo en STDOUT (o el archivo especificado con --producción). Si el archivo descifrado es
firmado, también se verifica la firma. Este comando difiere del predeterminado
operación, ya que nunca escribe en el nombre de archivo que se incluye en el archivo y
rechaza archivos que no comienzan con un mensaje cifrado.
--verificar
Suponga que el primer argumento es un archivo firmado y verifíquelo sin generar
cualquier salida. Sin argumentos, el paquete de firmas se lee desde STDIN. Si solo un
se da un argumento, se espera que sea una firma completa.
Con más de un argumento, el primero debe ser una firma separada y el
los archivos restantes componen los datos firmados. Para leer los datos firmados de STDIN, use
'-' como segundo nombre de archivo. Por razones de seguridad, una firma separada no puede leer
el material firmado de STDIN sin denotarlo de la forma anterior.
Nota: si la opción --lote no se usa, gpg2 puede asumir que un solo argumento es
un archivo con una firma separada e intentará encontrar un archivo de datos coincidente
quitando ciertos sufijos. Usando esta característica histórica para verificar un desvío
se desaconseja enérgicamente la firma; siempre especifique el archivo de datos también.
Nota: al verificar una firma de texto sin cifrar, gpg verifica solo lo que constituye el
datos firmados en texto sin cifrar y no datos adicionales fuera de la firma en texto sin cifrar o
líneas de encabezado siguiendo directamente la línea de marcador de guión. La opción --producción puede ser
utilizado para escribir los datos reales firmados; pero hay otras trampas con esto
formato también. Se sugiere evitar las firmas de texto sin cifrar en favor de
firmas
--multiarchivo
Esto modifica algunos otros comandos para aceptar varios archivos para su procesamiento en el
línea de comando o leer desde STDIN con cada nombre de archivo en una línea separada. Esto permite
para que se procesen muchos archivos a la vez. --multiarchivo actualmente se puede utilizar junto con
--verificar, --encriptary --descriptar. Tenga en cuenta que --multiarchivo --verificar puede no ser
utilizado con firmas separadas.
--verificar archivos
Idéntico a --multiarchivo --verificar.
--encriptar-archivos
Idéntico a --multiarchivo --encriptar.
--descifrar archivos
Idéntico a --multiarchivo --descriptar.
--lista-claves
-k
--lista-claves-públicas
Enumere todas las claves de los llaveros públicos, o solo las claves dadas en la línea de comando.
Evite utilizar la salida de este comando en scripts u otros programas, ya que es probable
para cambiar a medida que cambia GnuPG. Ver --con dos puntos para una lista de claves analizable por máquina
comando que sea apropiado para su uso en scripts y otros programas.
- lista-claves-secretas
-K Enumere todas las claves de los anillos de claves secretos, o solo las que se proporcionan en la línea de comandos.
A # después de las letras AMF significa que la clave secreta no se puede utilizar (por ejemplo, si
fue creado a través de --exportar subclaves secretas).
--list-sigs
Igual que --lista-claves, pero también se enumeran las firmas. Este comando tiene el mismo
efecto como usar --lista-claves --con-sig-list.
Para cada firma enumerada, hay varios indicadores entre la etiqueta "sig" y
keyid. Estas banderas brindan información adicional sobre cada firma. De izquierda a
a la derecha, son los números 1-3 para el nivel de verificación del certificado (ver --preguntar-certificado-nivel),
"L" para una firma local o no exportable (ver - clave de signo), "R" para
Firma no revocable (ver la --editar clave comando "nrsign"), "P" para una firma
que contiene una URL de política (consulte --cert-policy-url), "N" para una firma que
contiene una notación (ver - notación de concierto), "X" para una firma expirada (ver --pedir-
caducidad del certificado) y los números del 1 al 9 o "T" para el 10 y más para indicar confianza
niveles de firma (ver el --editar clave comando "tsign").
--check-sigs
Igual que --list-sigs, pero las firmas están verificadas. Tenga en cuenta que para el rendimiento
motivos por los que no se muestra el estado de revocación de una clave de firma. Este comando tiene la
mismo efecto que usar --lista-claves --con-sig-check.
El estado de la verificación se indica mediante una bandera que sigue directamente a la "sig".
etiqueta (y por lo tanto antes de las banderas descritas anteriormente para --list-sigs). A "!" indica
que la firma se ha verificado correctamente, un "-" indica una firma incorrecta
y se utiliza un "%" si se produjo un error al verificar la firma (por ejemplo, un
algoritmo compatible).
--localizar-claves
Busque las claves dadas como argumentos. Este comando básicamente usa el mismo algoritmo
como se usa al localizar claves para cifrado o firma y, por lo tanto, puede usarse para ver
que llaves gpg2 Puede usar. En particular, los métodos externos definidos por --auto-clave-
localizar se puede utilizar para localizar una llave. Solo se enumeran las claves públicas.
--huella dactilar
Enumere todas las claves (o las especificadas) junto con sus huellas digitales. Este es el
misma salida que --lista-claves pero con la salida adicional de una línea con el
huella dactilar. También se puede combinar con --list-sigs or --check-sigs. Si esto
El comando se da dos veces, las huellas digitales de todas las claves secundarias también se enumeran.
- lista de paquetes
Enumere solo la secuencia de paquetes. Esto es principalmente útil para depurar. Cuando se utiliza
con opcion --verboso se descargan los valores reales de MPI y no solo sus longitudes.
--tarjeta-editar
Presentar un menú para trabajar con una tarjeta inteligente. El subcomando "ayuda" proporciona una descripción general
en los comandos disponibles. Para obtener una descripción detallada, consulte el CÓMO de la tarjeta en
https://gnupg.org/documentation/howtos.html#GnuPG-cardHOWTO .
--tarjeta-estado
Muestre el contenido de la tarjeta inteligente.
--cambiar PIN
Presentar un menú para permitir cambiar el PIN de una tarjeta inteligente. Esta funcionalidad también es
disponible como el subcomando "passwd" con el --tarjeta-editar mando.
- borrar-claves nombre
- borrar-claves nombre
Quite la clave del anillo de claves públicas. En modo por lotes ya sea --sí es requerido o el
La clave debe especificarse mediante huella digital. Esta es una salvaguarda contra accidentes
eliminación de varias claves.
- eliminar-claves-secretas nombre
Retire la clave del llavero secreto. En el modo por lotes, la clave debe especificarse mediante
huella dactilar.
--eliminar-clave-secreta-y-pública nombre
Igual que --eliminar-clave, pero si existe una clave secreta, primero se eliminará. En
modo por lotes la clave debe ser especificada por huella dactilar.
--exportar
Exporte todas las claves de todos los llaveros (llaveros predeterminados y los registrados a través de
opción --llavero), o si se da al menos un nombre, los del nombre de pila. los
las claves exportadas se escriben en STDOUT o en el archivo dado con la opción --producción. Utilizar
Junto con --armadura para enviar esas llaves.
- enviar-claves clave Tarjetas de Identificación (ID)
Similar a --exportar pero envía las claves a un servidor de claves. Se pueden usar huellas dactilares
en lugar de ID de clave. Opción --servidor de llaves debe usarse para dar el nombre de este
servidor de claves. No envíe su llavero completo a un servidor de llaves --- seleccione solo aquellos
claves nuevas o modificadas por usted. Si no se proporcionan ID de clave, gpg no hace nada.
--exportar-claves-secretas
--exportar subclaves secretas
Igual que --exportar, pero exporta las claves secretas. Las claves exportadas son
escrito en STDOUT o en el archivo dado con la opción --producción. Este comando es a menudo
usado junto con la opción --armadura para permitir una fácil impresión de la clave para papel
respaldo; sin embargo, la herramienta externa llave de papel hace un mejor trabajo para crear copias de seguridad
en papel. Tenga en cuenta que exportar una clave secreta puede suponer un riesgo de seguridad si
las claves se envían a través de un canal inseguro.
La segunda forma del comando tiene la propiedad especial de representar la parte secreta
de la clave primaria inútil; esta es una extensión GNU para OpenPGP y otros
No se puede esperar que las implementaciones importen con éxito dicha clave. Su
El uso previsto es generar una clave completa con una subclave de firma adicional en un
máquina dedicada y luego usar este comando para exportar la clave sin la
clave de la máquina principal.
GnuPG puede pedirle que ingrese la frase de contraseña para la clave. Esto es necesario porque
el método de protección interna de la clave secreta es diferente al
especificado por el protocolo OpenPGP.
--export-ssh-clave
Este comando se utiliza para exportar una clave en el formato de clave pública OpenSSH. Requiere
la especificación de una clave por los medios habituales y exporta la última subclave válida
que tiene una capacidad de autenticación para STDOUT o para el archivo dado con la opción
--producción. Esa salida se puede agregar directamente a ssh's 'clave_autorizada' archivo.
Especificando la clave para exportar usando un ID de clave o una huella dactilar con un sufijo
signo de exclamación (!), se puede exportar una subclave específica o la clave principal. Esta
ni siquiera requiere que la clave tenga activada la bandera de capacidad de autenticación.
--importar
- importación rápida
Importar / fusionar claves. Esto agrega las claves dadas al llavero. La versión rápida es
actualmente solo un sinónimo.
Hay algunas otras opciones que controlan cómo funciona este comando. Más notable
aquí es la - opciones de importación solo fusionar opción que no inserta nuevas claves pero
realiza solo la fusión de nuevas firmas, ID de usuario y subclaves.
--recv-claves clave Tarjetas de Identificación (ID)
Importe las claves con los ID de clave dados desde un servidor de claves. Opción --servidor de llaves debe ser
utilizado para dar el nombre de este servidor de claves.
--actualizar-claves
Solicite actualizaciones de un servidor de claves para las claves que ya existen en el anillo de claves local.
Esto es útil para actualizar una clave con las últimas firmas, ID de usuario, etc.
Llamar a esto sin argumentos actualizará todo el conjunto de claves. Opción --servidor de llaves
debe usarse para dar el nombre del servidor de claves para todas las claves que no tienen
conjunto de servidores de claves preferidos (ver --opciones del servidor de claves URL del servidor de claves de honor).
--búsqueda-claves nombres
Busque en el servidor de claves los nombres de pila. Se unirán varios nombres dados aquí
juntos para crear la cadena de búsqueda para el servidor de claves. Opción --servidor de llaves debe ser
utilizado para dar el nombre de este servidor de claves. Servidores de claves que admiten diferentes búsquedas
Los métodos permiten usar la sintaxis especificada en "Cómo especificar una ID de usuario" a continuación. Nota
que los diferentes tipos de servidores de claves admiten diferentes métodos de búsqueda. Actualmente solo
LDAP los admite a todos.
--buscar-claves URI
Recupere las claves ubicadas en los URI especificados. Tenga en cuenta que diferentes instalaciones de
GnuPG puede admitir diferentes protocolos (HTTP, FTP, LDAP, etc.)
--actualización-trustdb
Confíe en el mantenimiento de la base de datos. Este comando itera sobre todas las claves y construye el
Web de confianza. Este es un comando interactivo porque es posible que deba solicitar el
valores de "confianza del propietario" para las claves. El usuario tiene que dar una estimación de qué tan lejos
confía en el propietario de la clave mostrada para certificar correctamente (firmar) otras claves. GnuPG
solo solicita el valor de confianza del propietario si aún no se ha asignado a una clave. Utilizando
las --editar clave menú, el valor asignado se puede cambiar en cualquier momento.
--check-trustdb
Confíe en el mantenimiento de la base de datos sin interacción del usuario. De vez en cuando la confianza
La base de datos debe actualizarse para que las claves o firmas caducadas y el resultado
Los cambios en Web of Trust se pueden rastrear. Normalmente, GnuPG calculará cuándo
esto es necesario y hágalo automáticamente a menos que --no-auto-check-trustdb se establece.
Este comando se puede utilizar para forzar una comprobación de la base de datos de confianza en cualquier momento. los
el procesamiento es idéntico al de --actualización-trustdb pero se salta las teclas con un no
aún definido "confianza propia".
Para usar con trabajos cron, este comando se puede usar junto con --lote en el cual
caso de que la verificación de la base de datos de confianza se realice solo si se necesita una verificación. Para forzar una carrera
incluso en modo por lotes agregue la opción --sí.
--confianza del propietario de la exportación
Envíe los valores de confianza del propietario a STDOUT. Esto es útil para realizar copias de seguridad, ya que estos
Los valores son los únicos que no se pueden volver a crear a partir de un archivo trustdb.
Ejemplo:
gpg2 --export-ownertrust> otrust.txt
--confianza del propietario de la importación
Actualice el trustdb con los valores de confianza del propietario almacenados en archivos (o STDIN si no
dado); se sobrescribirán los valores existentes. En caso de un trustdb gravemente dañado
y si tiene una copia de seguridad reciente de los valores de confianza del propietario (por ejemplo, en el archivo
"confianza.txt', puede volver a crear el trustdb usando estos comandos:
cd ~ / .gnupg
rm trustdb.gpg
gpg2 --import-ownertrust <otrust.txt
--reconstruir-keydb-cachés
Al actualizar de la versión 1.0.6 a 1.0.7, este comando debe usarse para crear
cachés de firmas en el llavero. También puede resultar útil en otras situaciones.
--imprimir-md Algo
--imprimir-mds
Imprime el resumen del mensaje del algoritmo ALGO para todos los archivos dados o STDIN. Con el
Los resúmenes de segunda forma (o un "*" obsoleto como algo) para todos los algoritmos disponibles son
impreso.
--gen-aleatorio 0 | 1 | 2 contar
Emitir contar bytes aleatorios del nivel de calidad dado 0, 1 o 2. Si contar no se da
o cero, se emitirá una secuencia interminable de bytes aleatorios. Si se usa con --armadura
la salida estará codificada en base64. POR FAVOR, no use este comando a menos que sepa
qué estás haciendo; ¡Puede eliminar la preciosa entropía del sistema!
--gen-prime modo los bits
Usa la fuente, Luke :-). El formato de salida aún está sujeto a cambios.
- armadura
--querido
Empaqueta o descomprime una entrada arbitraria en / desde una armadura OpenPGP ASCII. Esto es un
Extensión de GnuPG a OpenPGP y en general no es muy útil.
--tofu-set-política auto | bueno | desconocido | malo | preguntar clave...
Establezca la política TOFU para todos los enlaces asociados con las claves especificadas. Para
más información sobre el significado de las políticas, consulte: [trust-model-tofu]. los
las claves se pueden especificar por su huella digital (preferido) o su keyid.
Cómo a gestionan su proveedor claves
Esta sección explica los comandos principales para la administración de claves.
- tecla de generación rápida ID de usuario
Este es un comando simple para generar una clave estándar con una identificación de usuario. A diferencia de
a --gen-clave la clave se genera directamente sin la necesidad de responder un montón de
indicaciones. A menos que la opción --sí se da, la creación de la clave se cancelará si
la identificación de usuario dada ya existe en el llavero de claves.
Si se invoca directamente en la consola sin opciones especiales, una respuesta a un
Se requiere el mensaje de confirmación de estilo `` ¿Continuar? ''. En caso de que la identificación de usuario ya
existe en el llavero un segundo mensaje para forzar la creación de la clave mostrará
arriba.
Si este comando se usa con --lote, --modo de clavija se ha establecido en loopbacky
una de las opciones de frase de contraseña (--frase de contraseña, - frase de contraseña-fdo archivo de frase de contraseña)
se utiliza, la frase de contraseña proporcionada se utiliza para la nueva clave y el agente no pregunta
para ello. Para crear una clave sin ninguna protección. --frase de contraseña '' puede ser usado.
--gen-clave
Genere un nuevo par de claves utilizando los parámetros predeterminados actuales. Este es el estándar
comando para crear una nueva clave. Además de la clave, se incluye un certificado de revocación.
creado y almacenado en el 'openpgp-revocs.d'directorio debajo de la página de inicio de GnuPG
directorio.
--full-gen-clave
Genere un nuevo par de claves con cuadros de diálogo para todas las opciones. Esta es una versión extendida
of --gen-clave.
También hay una función que le permite crear claves en modo por lotes. Ver el
sección del manual `` Generación de claves desatendida '' sobre cómo usar esto.
--gen-revocar nombre
Genere un certificado de revocación para la clave completa. Para revocar solo una subclave o
una firma de clave, utilice la --editar mando.
Este comando simplemente crea el certificado de revocación para que pueda usarse para
revocar la clave si alguna vez es necesaria. Para revocar realmente una clave creada
El certificado de revocación debe fusionarse con la clave para revocar. Esto es hecho por
importar el certificado de revocación utilizando el --importar mando. Entonces el revocado
la clave debe publicarse, lo que se hace mejor enviando la clave a un servidor de claves
(mando --tecla Enviar) y exportando (--exportar) a un archivo que luego se envía a
compañeros de comunicación frecuentes.
--desig-revocar nombre
Genere un certificado de revocación designado para una clave. Esto permite a un usuario (con
el permiso del titular de la clave) para revocar la clave de otra persona.
--editar clave
Presente un menú que le permita realizar la mayoría de las tareas relacionadas con la administración de claves.
Espera la especificación de una clave en la línea de comando.
UID n Alternar la selección de identificación de usuario o identificación de usuario fotográfica con índice n. Utilizar * a
seleccionar todo y 0 para anular la selección de todo.
clave n Alternar selección de subclave con índice n o ID de clave n. Utilizar * para seleccionar todo
y 0 para anular la selección de todo.
firmar Hacer una firma en la clave del usuario nombre Si la clave aún no está firmada por el
usuario predeterminado (o los usuarios dados con -u), el programa muestra el
información de la clave de nuevo, junto con su huella dactilar y pregunta si
debe estar firmado. Esta pregunta se repite para todos los usuarios especificados con
en.
firmar Igual que "firmar", pero la firma está marcada como no exportable y
por lo tanto, nunca lo utilicen otros. Esto se puede usar para hacer que las claves sean válidas solo
en el entorno local.
nrsign Igual que "firmar", pero la firma está marcada como no revocable y puede
por lo tanto, nunca se revoque.
tsign Haz una firma de confianza. Esta es una firma que combina las nociones de
certificación (como una firma regular) y confianza (como la "confianza"
mando). Por lo general, solo es útil en distintas comunidades o grupos.
Tenga en cuenta que "l" (para local / no exportable), "nr" (para no revocable y "t" (para
confianza) se pueden mezclar libremente y agregar el prefijo "firmar" para crear una firma de cualquier tipo
deseado.
Si la opcion - identificadores-de-texto-solo-signo se especifica, luego cualquier ID de usuario no basado en texto (p. ej.,
identificaciones con foto) no se seleccionarán para firmar.
Delsig Eliminar una firma. Tenga en cuenta que no es posible retirar una firma,
una vez que se ha enviado al público (es decir, a un servidor de claves). En ese caso tu
mejor uso revisión.
revisión Revocar una firma. Por cada firma que haya sido generada por uno de
las claves secretas, GnuPG pregunta si un certificado de revocación debe ser
generado.
comprobar Verifique las firmas en todos los ID de usuario seleccionados. Con la opción extra
autosig solo se muestran las autofirmas.
aduido Cree una identificación de usuario adicional.
añadir foto
Cree una identificación de usuario fotográfica. Esto le solicitará un archivo JPEG que será
incrustado en el ID de usuario. Tenga en cuenta que un archivo JPEG muy grande
llave grande. También tenga en cuenta que algunos programas mostrarán su JPEG sin cambios
(GnuPG) y algunos programas lo escalarán para que quepa en un cuadro de diálogo (PGP).
mostrar foto
Muestra el ID de usuario fotográfico seleccionado.
deluido Elimine una identificación de usuario o una identificación de usuario fotográfica. Tenga en cuenta que no es posible
retirar una identificación de usuario, una vez que se ha enviado al público (es decir, a un
servidor de claves). En ese caso es mejor que uses revivir.
revivir Revocar una identificación de usuario o una identificación de usuario fotográfica.
primario
Marcar la identificación de usuario actual como la principal, elimina la identificación de usuario principal
marca de todos los demás ID de usuario y establece la marca de tiempo de todos los
firmas un segundo antes. Tenga en cuenta que configurar una identificación de usuario con foto como principal
lo hace principal sobre otras identificaciones de usuario con foto, y establece una identificación de usuario normal como
primario lo hace primario sobre otros ID de usuario regulares.
servidor de llaves
Establezca un servidor de claves preferido para los ID de usuario especificados. Esto permite que otros
para que los usuarios sepan de dónde prefieren que obtengan su clave. Ver --servidor de llaves-
opciones URL del servidor de claves de honor para obtener más información sobre cómo funciona esto. Establecer un valor de
"none" elimina un servidor de claves preferido existente.
notación
Establezca una notación de nombre = valor para los ID de usuario especificados. Ver - notación de concierto
para obtener más información sobre cómo funciona esto. Establecer un valor de "ninguno" elimina todas las notaciones,
establecer una notación precedida por un signo menos (-) elimina esa notación, y
establecer un nombre de notación (sin el valor =) prefijado con un signo menos
elimina todas las notaciones con ese nombre.
preferencia Enumere las preferencias del ID de usuario seleccionado. Esto muestra el real
preferencias, sin incluir preferencias implícitas.
mostrar preferencia
Lista de preferencias más detallada para el ID de usuario seleccionado. Esto muestra el
preferencias vigentes al incluir las preferencias implícitas de 3DES (cifrado),
SHA-1 (resumen) y sin comprimir (compresión) si aún no lo están
incluido en la lista de preferencias. Además, el servidor de claves preferido y
Se muestran las anotaciones de firma (si las hay).
establecer preferencia cadena
Establezca la lista de preferencias de ID de usuario en cadena para todos (o solo los seleccionados)
ID de usuario. Llamar a setpref sin argumentos establece la lista de preferencias en el
predeterminado (ya sea integrado o configurado a través de - lista-de-preferencias-predeterminada), y llamando
setpref con "none" ya que el argumento establece una lista de preferencias vacía. Usar gpg2
--versión para obtener una lista de los algoritmos disponibles. Tenga en cuenta que si bien puede
cambiar las preferencias en una ID de usuario de atributo (también conocida como "ID con foto"), GnuPG lo hace
no seleccionar claves a través de ID de usuario de atributo, por lo que estas preferencias no se utilizarán
por GnuPG.
Al configurar las preferencias, debe enumerar los algoritmos en el orden en que
le gustaría que alguien más los usara al encriptar un mensaje para
tu llave. Si no incluye 3DES, se agregará automáticamente al
fin. Tenga en cuenta que hay muchos factores que influyen en la elección de un algoritmo.
(por ejemplo, es posible que su clave no sea el único destinatario), por lo que el control remoto
La aplicación OpenPGP que se utiliza para enviarle puede o no seguir su
orden exacto elegido para un mensaje dado. Sin embargo, solo elegirá un
algoritmo que está presente en la lista de preferencias de cada clave de destinatario.
Consulte también la sección INTEROPERABILIDAD CON OTROS PROGRAMAS OPENPGP a continuación.
añadir clave Agregue una subclave a esta clave.
añadirtarjetaclave
Genere una subclave en una tarjeta y agréguela a esta clave.
llave de la tarjeta
Transfiera la subclave secreta seleccionada (o la clave principal si no se ha
seleccionado) a una tarjeta inteligente. La clave secreta en el llavero será
reemplazado por un talón si la clave se pudo almacenar correctamente en la tarjeta y
utiliza el comando guardar más tarde. Solo ciertos tipos de claves se pueden transferir a
la tarjeta. Un submenú le permite seleccionar en qué tarjeta almacenar la clave.
Tenga en cuenta que no es posible recuperar esa clave de la tarjeta, si el
la tarjeta se rompe, su clave secreta se perderá a menos que tenga una copia de seguridad
en algún lugar.
bkuptocard presentar
Restaura el archivo dado a una tarjeta. Este comando se puede utilizar para restaurar un
clave de respaldo (como se generó durante la inicialización de la tarjeta) en una nueva tarjeta. En
casi todos los casos será la clave de cifrado. Deberías usar esto
comando solo con la clave pública correspondiente y asegúrese de que el archivo
dado como argumento es de hecho la copia de seguridad a restaurar. A continuación, debe seleccionar 2
para restaurar como clave de cifrado. Primero se le pedirá que ingrese el
contraseña de la clave de respaldo y luego el PIN de administrador de la tarjeta.
Delkey Eliminar una subclave (clave secundaria). Tenga en cuenta que no es posible retraer
subclave, una vez que se ha enviado al público (es decir, a un servidor de claves). En eso
caso es mejor que uses clave rev.
clave rev Revocar una subclave.
caducar Cambie el tiempo de caducidad de la clave o subclave. Si se selecciona una subclave, la
Se cambiará el tiempo de vencimiento de esta subclave. Sin selección, la clave
se cambia la caducidad de la clave principal.
confianza Cambie el valor de confianza del propietario para la clave. Esto actualiza el trust-db
inmediatamente y no es necesario guardar.
inhabilitar
habilitar Deshabilite o habilite una clave completa. Normalmente, una llave inhabilitada no se puede utilizar para
Encriptación.
addrevoker
Agregue un revocador designado a la clave. Esto toma un argumento opcional:
"sensible". Si un revocador designado está marcado como sensible, no será
exportado por defecto (ver opciones de exportación).
passwd Cambie la frase de contraseña de la clave secreta.
palanca Este es un comando ficticio que existe solo para compatibilidad con versiones anteriores.
limpia Compactar (eliminando todas las firmas excepto la autofirma) cualquier ID de usuario que sea
ya no se puede utilizar (por ejemplo, revocado o caducado). Luego, elimine las firmas
que no son utilizables por los cálculos de confianza. Específicamente, esto elimina
cualquier firma que no valide, cualquier firma que sea reemplazada por una
firma posterior, firmas revocadas y firmas emitidas por claves que son
no presente en el llavero.
minimizar
Haz la llave lo más pequeña posible. Esto elimina todas las firmas de cada
ID de usuario a excepción de la autofirma más reciente.
certificar cruzado
Agregue firmas de certificación cruzada a las subclaves de firma que actualmente no
tenerlos. Las firmas de certificación cruzada protegen contra un ataque sutil
contra la firma de subclaves. Ver --requiere-certificación cruzada. Todas las llaves nuevas
generados tienen esta firma por defecto, por lo que esta opción solo es útil para
actualizar las claves antiguas.
ahorrar Guarde todos los cambios en los llaveros de claves y salga.
renuncia Salga del programa sin actualizar los llaveros de claves.
La lista muestra la clave con sus claves secundarias y todos los identificadores de usuario. los
La identificación de usuario principal se indica con un punto y las claves seleccionadas o las identificaciones de usuario se indican
por un asterisco. El valor de confianza se muestra con la clave primaria: la primera es
el fideicomiso del propietario asignado y el segundo es el valor de fideicomiso calculado. Las letras son
utilizado para los valores:
- No hay confianza del propietario asignado / aún no calculado.
e El cálculo de la confianza ha fallado; probablemente debido a una clave caducada.
q No hay suficiente información para el cálculo.
n Nunca confíes en esta clave.
m Confiado marginalmente.
f Totalmente de confianza.
u En última instancia, de confianza.
- clave de firma nombre
Firma una clave pública con su clave secreta. Esta es una versión de acceso directo del
subcomando "firmar" de --editar.
- clave de signo nombre
Firma una clave pública con su clave secreta pero la marca como no exportable. Esto es un
versión de acceso directo del subcomando "lsign" de --editar clave.
--tecla-de-signo-rápido FPR [nombres]
--tecla-de-signo-rápido FPR [nombres]
Firme directamente una clave de la frase de contraseña sin más interacción del usuario. los
FPR debe ser la huella digital primaria verificada de una clave en el anillo de claves local. Si no
nombres se dan, todos los identificadores de usuario útiles están firmados; con dado [nombres] solo útil
Los identificadores de usuario que coinciden con uno de estos nombres están firmados. El comando --tecla-de-signo-rápido
marca las firmas como no exportables. Si tal firma no exportable ya
existe el --tecla-de-signo-rápido lo convierte en una firma exportable.
Este comando utiliza valores predeterminados razonables y, por lo tanto, no proporciona el
flexibilidad del subcomando "sign" de --editar clave. Su uso previsto es ayudar
Firma de claves desatendida mediante el uso de una lista de huellas dactilares verificadas.
--aduido rápido ID de usuario ID de nuevo usuario
Este comando agrega una nueva identificación de usuario a una clave existente. En contraste con el interactivo
subcomando aduido of --editar clave las ID de nuevo usuario se agrega textualmente con solo
Se eliminan los espacios en blanco iniciales y finales, se espera que esté codificado en UTF-8 y
no se aplican controles en su forma.
--contraseña user_id
Cambie la frase de contraseña de la clave secreta que pertenece al certificado especificado como
user_id. Este es un atajo para el subcomando passwd del menú de la tecla de edición.
CAMPUS
gpg2 presenta un montón de opciones para controlar el comportamiento exacto y cambiar el predeterminado
configuración.
Las opciones largas se pueden poner en un archivo de opciones (predeterminado "~ / .gnupg / gpg.conf"). Opción corta
los nombres no funcionarán; por ejemplo, "armadura" es una opción válida para el archivo de opciones, mientras que
"a" no lo es. No escriba los 2 guiones, sino simplemente el nombre de la opción y los requeridos.
argumentos. Las líneas con un hash ('#') como primer carácter que no sea un espacio en blanco se ignoran.
Los comandos también se pueden colocar en este archivo, pero eso generalmente no es útil ya que el comando
ejecutar automáticamente con cada ejecución de gpg.
Recuerde que el análisis de opciones se detiene tan pronto como se encuentra una opción que no es, puede
dejar de analizar explícitamente mediante la opción especial --.
Cómo a el cambio las configuración
Estas opciones se utilizan para cambiar la configuración y generalmente se encuentran en la opción
archivo.
--clave predeterminada nombre
Uso nombre como la clave predeterminada para firmar. Si no se utiliza esta opción, el valor predeterminado
key es la primera clave que se encuentra en el llavero secreto. Tenga en cuenta que -u or --usuario-local
anula esta opción. Esta opción se puede dar varias veces. En este caso, el
Se utiliza la última clave para la que hay una clave secreta disponible. Si no hay una clave secreta
disponible para cualquiera de los valores especificados, GnuPG no emitirá un mensaje de error pero
continúe como si esta opción no se hubiera dado.
--receptor-predeterminado nombre
Uso nombre como destinatario predeterminado si la opción --recipiente no se usa y no preguntes si
este es uno válido. nombre no debe estar vacío.
--receptor-por defecto-yo
Utilice la clave predeterminada como destinatario predeterminado si la opción --recipiente no se usa y
no preguntes si es válido. La clave predeterminada es la primera del secreto
llavero o el que tiene --clave predeterminada.
--no-destinatario-predeterminado
Reanudar --receptor-predeterminado y --receptor-por defecto-yo.
-v, --verboso
Brinde más información durante el procesamiento. Si se usa dos veces, los datos de entrada se enumeran en
detalle.
--no verboso
Restablece el nivel detallado a 0.
-q, --tranquilo
Trate de estar lo más callado posible.
--lote
- sin lote
Utilice el modo por lotes. Nunca pregunte, no permita comandos interactivos. - sin lote desactiva
esta opción. Tenga en cuenta que incluso con un nombre de archivo dado en la línea de comando, gpg podría
todavía es necesario leer de STDIN (en particular si gpg calcula que la entrada es un
firma separada y no se ha especificado ningún archivo de datos). Así que si no quieres
para alimentar datos a través de STDIN, debe conectar STDIN a '/ dev / null".
--no-tty
Asegúrese de que el TTY (terminal) nunca se utilice para ninguna salida. Esta opcion es
necesario en algunos casos porque GnuPG a veces imprime advertencias al TTY incluso si
--lote se utiliza.
--sí Asuma "sí" en la mayoría de las preguntas.
--No Asuma "no" en la mayoría de las preguntas.
--lista-opciones parámetros
Se trata de una cadena delimitada por espacios o comas que ofrece las opciones que se utilizan al enumerar las claves.
y firmas (es decir, --lista-claves, --list-sigs, --lista-claves-públicas, --lista-
claves-secretas, y la --editar clave funciones). Las opciones se pueden anteponer con un nO-
(después de los dos guiones) para dar el significado opuesto. Las opciones son:
mostrar fotos
Causas --lista-claves, --list-sigs, --lista-claves-públicasy - lista-claves-secretas
para mostrar cualquier identificación con foto adjunta a la llave. Por defecto es no. Ver también
- visor de fotografías. No funciona con --con dos puntos: ver --atributo-fd para
la forma adecuada de obtener datos fotográficos para guiones y otras interfaces.
mostrar uso
Muestra información de uso de claves y subclaves en la lista de claves estándar.
Esta es una lista de letras que indican el uso permitido de una clave.
(E= cifrado, S= firma, C= certificación, A= autenticación). Predeterminado a
sí.
mostrar-política-urls
Muestre las URL de la política en el --list-sigs or --check-sigs listados. Predeterminado a
No.
mostrar-notaciones
mostrar notaciones estándar
mostrar notaciones de usuario
Mostrar todas las notaciones de firma definidas por el usuario o estándar IETF en el --lista-
sigs or --check-sigs listados. Por defecto es no.
mostrar-keyserver-urls
Muestre cualquier URL de servidor de claves preferido en el --list-sigs or --check-sigs
listados. Por defecto es no.
mostrar-uid-validez
Muestra la validez calculada de los ID de usuario durante los listados clave. Defaults
a sí.
mostrar-fluidos-inutilizables
Muestra ID de usuario revocados y caducados en listados clave. Por defecto es no.
mostrar subclaves inutilizables
Muestra las subclaves revocadas y caducadas en los listados de claves. Por defecto es no.
mostrar-llavero
Muestre el nombre del llavero al principio de la lista de claves para mostrar qué llavero
la clave dada reside en. Por defecto es no.
mostrar-sig-caducar
Muestre las fechas de vencimiento de las firmas (si las hubiera) durante --list-sigs or --check-sigs
listados. Por defecto es no.
mostrar-sig-subpaquetes
Incluya subpaquetes de firmas en la lista de claves. Esta opción puede tomar un
lista de argumentos opcional de los subpaquetes a listar. Si no se pasa ningún argumento,
enumerar todos los subpaquetes. Por defecto es no. Esta opción solo es significativa cuando
usando --con dos puntos para cada año fiscal junto con la --list-sigs or --check-sigs.
--verificar-opciones parámetros
Se trata de una cadena delimitada por espacios o comas que proporciona las opciones que se utilizan al verificar
firmas. Las opciones se pueden anteponer con un 'no-' para dar el significado opuesto. los
las opciones son:
mostrar fotos
Muestre cualquier identificación con foto presente en la llave que emitió la firma.
Por defecto es no. Ver también - visor de fotografías.
mostrar-política-urls
Muestre las URL de la política en la firma que se está verificando. El valor predeterminado es sí.
mostrar-notaciones
mostrar notaciones estándar
mostrar notaciones de usuario
Mostrar todas las notaciones de firma definidas por el usuario o estándar IETF en el
se verifica la firma. Predeterminado al estándar IETF.
mostrar-keyserver-urls
Muestre cualquier URL de servidor de claves preferido en la firma que se está verificando. Defaults
a sí.
mostrar-uid-validez
Muestre la validez calculada de los ID de usuario en la clave que emitió el
firma. El valor predeterminado es sí.
mostrar-fluidos-inutilizables
Muestre las ID de usuario revocadas y vencidas durante la verificación de la firma. Defaults
al no.
show-primary-uid-solo
Muestra solo el ID de usuario principal durante la verificación de la firma. Eso es todo
las líneas AKA, así como las identificaciones de las fotos no se muestran con la firma
Estado de verificación.
búsquedas pka
Habilite las búsquedas de PKA para verificar las direcciones de los remitentes. Tenga en cuenta que PKA se basa en
DNS, por lo que habilitar esta opción puede revelar información sobre cuándo y qué
se verifican las firmas oa quién se cifran los datos. Esto es similar al
"error web" descrito para la función de recuperación automática de claves.
pka-confianza-aumento
Aumente la confianza en una firma al máximo si la firma pasa la PKA
validación. Esta opción solo es significativa si se establece pka-lookups.
--habilitar-grande-rsa
--disable-rsa-grande
Con --gen-key y --batch, habilite la creación de claves secretas RSA más grandes que las
generalmente recomendado (hasta 8192 bits). Estas llaves grandes son más caras de
uso, y sus firmas y certificaciones también son mayores.
--habilitar-dsa2
--disable-dsa2
Habilite el truncamiento de hash para todas las claves DSA, incluso para las claves DSA antiguas de hasta 1024 bits. Esta
también es el predeterminado con --openpgp. Tenga en cuenta que las versiones anteriores de GnuPG también
requería esta bandera para permitir la generación de DSA mayores de 1024 bits.
- visor de fotografías cadena
Esta es la línea de comando que debe ejecutarse para ver una identificación con foto. "%seré
expandido a un nombre de archivo que contiene la foto. "% I" hace lo mismo, excepto el archivo
no se eliminará una vez que el visor salga. Otros indicadores son "% k" para el ID de clave,
"% K" para el ID de clave largo, "% f" para la huella digital de la clave, "% t" para la extensión de
el tipo de imagen (p. ej., "jpg"), "% T" para el tipo MIME de la imagen (p. ej.
"image / jpeg"), "% v" para la validez calculada de un solo carácter de la imagen que se
visto (por ejemplo, "f"), "% V" para la validez calculada como una cadena (por ejemplo, "completo"),
"% U" para un hash codificado en base32 del ID de usuario y "%%" para un signo de porcentaje real.
Si no están presentes% i ni% I, la foto se entregará al espectador el
entrada estándar.
El visor predeterminado es "xloadimage -fork -quiet -title 'KeyID 0x% k' STDIN". Nota
que si su programa visor de imágenes no es seguro, ejecutarlo desde GnuPG no
no lo asegure.
--exec-ruta cadena
Establece una lista de directorios para buscar visores de fotos y ayudantes de servidor de claves. Si
no se proporciona, los ayudantes del servidor de claves utilizan el directorio predeterminado compilado y la foto
los espectadores utilizan la variable de entorno $ PATH. Tenga en cuenta que en el sistema W32 este valor es
ignorado al buscar ayudantes de servidor de claves.
--llavero presentar
Añada presentar a la lista actual de llaveros. Si presentar comienza con una tilde y una barra,
estos son reemplazados por el directorio $ HOME. Si el nombre del archivo no contiene un
barra, se supone que está en el directorio de inicio de GnuPG ("~ / .gnupg" Si --homedir or
$ GNUPGHOME no se utiliza).
Tenga en cuenta que esto agrega un llavero a la lista actual. Si la intención es utilizar el
llavero especificado solo, use --llavero para cada año fiscal junto con la --sin-llavero-predeterminado.
- llavero secreto presentar
Esta es una opción obsoleta e ignorada. Todas las claves secretas se almacenan en el
"claves-privadas-v1.d'debajo del directorio de inicio de GnuPG.
- llavero primario presentar
Designado presentar como llavero público principal. Esto significa que las claves recién importadas
(a través de --importar o servidor de llaves --recv-de) irá a este llavero.
--trustdb-nombre presentar
Uso presentar en lugar del trustdb predeterminado. Si presentar comienza con una tilde y una barra,
estos son reemplazados por el directorio $ HOME. Si el nombre del archivo no contiene un
barra, se supone que está en el directorio de inicio de GnuPG ('~ / .gnupg' si --homedir or
$ GNUPGHOME no se utiliza).
--homedir dir
Establezca el nombre del directorio de inicio en dir. Si no se utiliza esta opción, el hogar
el directorio predeterminado es '~ / .gnupg'. Solo se reconoce cuando se da en el comando
línea. También anula cualquier directorio de inicio indicado a través de la variable de entorno.
"GNUPGHOME'o (en sistemas Windows) mediante la entrada del Registro
HKCU \ Software \ GNU \ GnuPG: HomeDir.
En los sistemas Windows es posible instalar GnuPG como una aplicación portátil. En
En este caso, solo se considera esta opción de línea de comando, todas las demás formas de configurar un hogar
directorio se ignoran.
Para instalar GnuPG como una aplicación portátil en Windows, cree un nombre de archivo vacío
"gpgconf.ctl'en el mismo directorio que la herramienta'gpgconf.exe'. La raíz de la
la instalación es que ese directorio; o si 'gpgconf.exe' ha sido instalado
directamente debajo de un directorio llamado 'papelera', su directorio padre. También necesitas
asegúrese de que existan los siguientes directorios y de que se puedan escribir: 'RAÍZ / hogar' para
la casa de GnuPG y 'ROOT / var / cache / gnupg2'para archivos de caché internos.
--display-juego de caracteres nombre
Establezca el nombre del juego de caracteres nativo. Esto se usa para convertir algunos
cadenas de información, como ID de usuario, con la codificación UTF-8 adecuada. Tenga en cuenta que esto
no tiene nada que ver con el conjunto de caracteres de los datos que se van a cifrar o firmar; GnuPG
no recodifica los datos proporcionados por el usuario. Si no se utiliza esta opción, el valor predeterminado
El juego de caracteres se determina a partir de la configuración regional actual. Un nivel de verbosidad de 3 espectáculos
el conjunto elegido. Valores válidos para nombre son:
iso-8859-1
Este es el conjunto Latin 1.
iso-8859-2
El conjunto Latin 2.
iso-8859-15
Este es actualmente un alias para el conjunto Latin 1.
koi8-r El conjunto ruso habitual (rfc1489).
UTF-8 Omita todas las traducciones y asuma que el sistema operativo utiliza codificación UTF-8 nativa.
--utf8-cuerdas
--no-utf8-cadenas
Suponga que los argumentos de la línea de comandos se dan como cadenas UTF8. El valor por defecto (--No-
utf8-cuerdas) es asumir que los argumentos están codificados en el juego de caracteres como
especificado por --display-juego de caracteres. Estas opciones afectan a todos los siguientes argumentos. Ambos
las opciones se pueden utilizar varias veces.
--opciones presentar
Leer opciones de presentar y no intente leerlos desde el archivo de opciones predeterminado en
el homedir (ver --homedir). Esta opción se ignora si se usa en un archivo de opciones.
--sin opciones
Atajo para --opciones / dev / null. Esta opción se detecta antes de un intento de abrir
un archivo de opciones. El uso de esta opción también evitará la creación de un '~ / .gnupg'
homedir.
-z n
- nivel de compresión n
--bzip2-nivel-de-compresión n
Establecer el nivel de compresión en n para los algoritmos de compresión ZIP y ZLIB. El valor por defecto
es utilizar el nivel de compresión predeterminado de zlib (normalmente 6). --bzip2-comprimir-
nivel establece el nivel de compresión para el algoritmo de compresión BZIP2 (predeterminado en
6 también). Esta es una opción diferente a - nivel de compresión ya que BZIP2 usa un
cantidad significativa de memoria para cada nivel de compresión adicional. -z establece ambos.
Un valor de 0 para n desactiva la compresión.
--bzip2-descomprimir-lowmem
Utilice un método de descompresión diferente para archivos comprimidos BZIP2. Este alterno
El método utiliza un poco más de la mitad de la memoria, pero también se ejecuta a la mitad de la velocidad. Esta
es útil en circunstancias de memoria extremadamente baja cuando el archivo se
comprimido en un alto --bzip2-nivel-de-compresión.
--mangle-dos-nombres de archivo
--no-mangle-dos-nombres de archivo
La versión anterior de Windows no puede manejar nombres de archivo con más de un punto. --mutilar-
dos-nombres de archivo hace que GnuPG reemplace (en lugar de agregar) la extensión de un
nombre de archivo de salida para evitar este problema. Esta opción está desactivada de forma predeterminada y no tiene
efecto en plataformas que no son de Windows.
--preguntar-certificado-nivel
--sin-preguntar-nivel-de-certificado
Al hacer una firma de clave, solicite un nivel de certificación. Si esta opcion es
no especificado, el nivel de certificación utilizado se establece mediante - nivel de certificado predeterminado. Vea
- nivel de certificado predeterminado para obtener información sobre los niveles específicos y cómo se utilizan.
--sin-preguntar-nivel-de-certificado desactiva esta opción. Esta opción tiene el valor predeterminado de no.
- nivel de certificado predeterminado n
El valor predeterminado que se usa para el nivel de verificación al firmar una clave.
0 significa que no hace ningún reclamo en particular sobre el cuidado con el que verificó la clave.
1 significa que cree que la clave es propiedad de la persona que afirma ser suya, pero usted
no pudo, o no verificó la clave en absoluto. Esto es útil para una "persona".
verificación, donde firma la clave de un usuario seudónimo.
2 significa que realizó una verificación casual de la clave. Por ejemplo, esto podría significar que
Verificó la huella digital de la clave y comparó la identificación de usuario de la clave con una foto.
ID.
3 significa que realizó una verificación exhaustiva de la clave. Por ejemplo, esto podría significar
que verificó la huella digital de la clave con el propietario de la clave en persona, y que
comprobó, por medio de un documento difícil de falsificar con una identificación con foto (como una
pasaporte) que el nombre del propietario de la clave coincide con el nombre en la identificación de usuario en el
clave, y finalmente que verificó (mediante intercambio de correo electrónico) que la dirección de correo electrónico en
la clave pertenece al propietario de la clave.
Tenga en cuenta que los ejemplos dados anteriormente para los niveles 2 y 3 son solo eso: ejemplos. En
Al final, depende de usted decidir qué significa para usted "casual" y "extenso".
Esta opción tiene un valor predeterminado de 0 (sin reclamo en particular).
--min-cert-nivel
Al crear la base de datos de confianza, trate las firmas con un nivel de certificación
debajo de esto como inválido. El valor predeterminado es 2, que ignora las firmas de nivel 1. Nota
que las firmas de nivel 0 "sin reclamo en particular" siempre se aceptan.
--clave de confianza Corto clave ID
Suponga que la clave especificada (que debe proporcionarse como una ID de clave completa de 8 bytes) es la
confiable como una de sus propias claves secretas. Esta opción es útil si no desea
para mantener sus claves secretas (o una de ellas) en línea, pero aún desea poder verificar
la validez de la clave de un destinatario o firmante determinado.
--modelo de confianza pgp | clásico | tofu | tofu + pgp | directo | siempre | automático
Establezca qué modelo de confianza debe seguir GnuPG. Los modelos son:
pgp Esta es la Web de confianza combinada con firmas de confianza como se usa en PGP 5.x
y después. Este es el modelo de confianza predeterminado al crear una nueva confianza
base de datos.
clásico
Esta es la Web of Trust estándar introducida por PGP 2.
el queso de soja
TOFU son las siglas de Trust On First Use. En este modelo de confianza, la primera vez que un
se ve la tecla, se memoriza. Si más tarde se ve otra clave con una identificación de usuario
con la misma dirección de correo electrónico, se muestra una advertencia que indica que hay
un conflicto y que la clave podría ser una falsificación y un intento de
el ataque medio.
Porque un atacante potencial puede controlar la dirección de correo electrónico y
evite así el algoritmo de detección de conflictos mediante el uso de un correo electrónico
dirección que es similar en apariencia a una dirección de correo electrónico confiable, siempre que un
mensaje es verificado, estadísticas sobre el número de mensajes firmados con el
se muestran las teclas. De esta forma, un usuario puede identificar fácilmente los ataques utilizando falsos
claves para corresponsales habituales.
En comparación con Web of Trust, TOFU ofrece significativamente más débiles
garantías de seguridad. En particular, TOFU solo ayuda a garantizar la coherencia
(es decir, que el vínculo entre una clave y una dirección de correo electrónico no cambia).
Una de las principales ventajas de TOFU es que requiere poco mantenimiento para su uso.
correctamente. Para utilizar correctamente la web de confianza, debe firmar claves de forma activa
y marcar a los usuarios como presentadores de confianza. Este es un proceso que requiere mucho tiempo y
La evidencia anecdótica sugiere que incluso los usuarios preocupados por la seguridad rara vez toman
tiempo para hacer esto a fondo y, en cambio, confiar en un proceso TOFU ad-hoc.
En el modelo TOFU, las políticas están asociadas con enlaces entre claves y
direcciones de correo electrónico (que se extraen de los identificadores de usuario y se normalizan). Allí
Hay cinco políticas, que se pueden configurar manualmente mediante el --política de tofu .
La política predeterminada se puede configurar mediante el --tofu-política-defectuosa .
Las políticas de TOFU son: auto, candidato, desconocido, malos y contacta. auto la política es
utilizado de forma predeterminada (a menos que sea anulado por --tofu-política-defectuosa) y marca un
vinculante como marginalmente confiable. los candidato, desconocido y malos las políticas marcan un
vinculante como de plena confianza, como si tuviera una confianza desconocida o como si nunca tuviera confianza,
respectivamente. los desconocido La política es útil solo para usar TOFU para detectar
conflictos, pero nunca asignar una confianza positiva a un enlace. El final
política, contacta solicita al usuario que indique la confianza del enlace. Si el modo por lotes
está habilitado (o la entrada es inapropiada en el contexto), entonces el usuario no es
solicitado y el indefinido se devuelve el nivel de confianza.
tofu + pgp
Este modelo de confianza combina TOFU con Web of Trust. Esto es hecho por
calcular el nivel de confianza para cada modelo y luego tomar la confianza máxima
nivel donde los niveles de confianza se ordenan de la siguiente manera: desconocido < indefinido <
marginal < completamente < superior < expirado < nunca.
Configurando --tofu-default-policy = desconocido, este modelo se puede utilizar para
implementar la red de confianza con el algoritmo de detección de conflictos de TOFU, pero
sin su asignación de valores de confianza positivos, que algunas seguridades
a los usuarios conscientes no les gusta.
de reservas La validez de la clave la establece directamente el usuario y no se calcula a través de la Web de
Confía.
hacerlo Omita la validación de claves y asuma que las claves utilizadas son siempre completamente válidas. usted
generalmente no usará esto a menos que esté usando alguna validación externa
esquema. Esta opción también suprime la etiqueta "[incierta]" impresa con
comprobaciones de firma cuando no hay evidencia de que el ID de usuario esté vinculado al
llave. Tenga en cuenta que este modelo de confianza todavía no permite el uso de caducados,
llaves revocadas o inhabilitadas.
auto Seleccione el modelo de confianza en función de la base de datos de confianza interna
dice. Este es el modelo predeterminado si ya existe dicha base de datos.
- localización de clave automática parámetros
--no-auto-key-localización
GnuPG puede ubicar y recuperar claves automáticamente según sea necesario usando esta opción. Esta
ocurre cuando se encripta a una dirección de correo electrónico (en el "[email protected]"formulario), y
no existen [email protected] claves en el llavero local. Esta opción toma cualquier
número de los siguientes mecanismos, en el orden en que se van a probar:
cert Busque una clave utilizando DNS CERT, como se especifica en rfc4398.
pka Busque una clave utilizando DNS PKA.
datos Busque una clave usando DANE, como se especifica en draft-ietf-dane-openpgpkey-05.txt.
ldap Con el servicio DNS Service Discovery, compruebe si el dominio en cuestión tiene LDAP
servidores de claves a utilizar. Si esto falla, intente ubicar la clave usando el PGP
Método universal de comprobación de 'ldap: // claves. (El dominio)'.
servidor de llaves
Localice una clave usando cualquier servidor de claves definido usando el --servidor de llaves
.
URL del servidor de claves
Además, una URL de servidor de claves como se utiliza en el --servidor de llaves se puede utilizar la opción
aquí para consultar ese servidor de claves en particular.
local Busque la clave utilizando los llaveros locales. Este mecanismo permite seleccionar
el orden en que se realiza una búsqueda de clave local. Por lo tanto, usando '--auto-key-Locate local'
es idéntico a --no-auto-key-localización.
ningún valor predeterminado
Esta bandera deshabilita la búsqueda de clave local estándar, realizada antes de cualquiera de las
mecanismos definidos por el - localización de clave automática se prueban. La posición de este
El mecanismo en la lista no importa. No es necesario si local También es
usado.
limpiar Borrar todos los mecanismos definidos. Esto es útil para anular los mecanismos dados
en un archivo de configuración.
--keyid-formato corto | 0xshort | largo | 0xlong
Seleccione cómo mostrar las ID de las teclas. "corto" es el ID de clave tradicional de 8 caracteres.
"largo" es el ID de clave de 16 caracteres más preciso (pero menos conveniente). Agregar un "0x"
para incluir un "0x" al principio del ID de clave, como en 0x99242560.
Tenga en cuenta que esta opción se ignora si se usa la opción --with-colons.
--servidor de llaves nombre
Esta opción está obsoleta; utilice la --servidor de llaves en 'dirmngr.conf' en lugar de.
Uso nombre como su servidor de claves. Este es el servidor que --recv-claves, - enviar-clavesy
--búsqueda-claves se comunicará con para recibir claves de, enviar claves ay buscar
para llaves encendidas. El formato del nombre es un URI: `esquema: [//] nombre del servidor de claves [: puerto] 'El
esquema es el tipo de servidor de claves: "hkp" para los servidores de claves HTTP (o compatibles),
"ldap" para los servidores de claves LDAP, o "mailto" para el servidor de claves de correo electrónico de Graff. Nota
que su instalación particular de GnuPG puede tener otros tipos de servidor de claves disponibles
así como. Los esquemas de servidor de claves no distinguen entre mayúsculas y minúsculas. Después del nombre del servidor de claves, opcional
Se pueden proporcionar opciones de configuración del servidor de claves. Estos son los mismos que los globales
--opciones del servidor de claves desde abajo, pero se aplican solo a este servidor de claves en particular.
La mayoría de los servidores de claves se sincronizan entre sí, por lo que generalmente no es necesario enviar
claves para más de un servidor. El servidor de llaves hkp: //keys.gnupg.net usa round robin
DNS para dar un servidor de claves diferente cada vez que lo use.
--opciones del servidor de claves Nombre = valor
Se trata de una cadena delimitada por espacios o comas que ofrece opciones para el servidor de claves.
Las opciones pueden tener el prefijo 'no-' para dar el significado opuesto. Importación válida
Las opciones o las opciones de exportación también se pueden utilizar aquí para aplicar a la importación (--recv-
clave) o exportando (--tecla Enviar) una clave de un servidor de claves. Si bien no todas las opciones son
disponible para todos los tipos de servidor de claves, algunas opciones comunes son:
incluir-revocado
Al buscar una clave con --búsqueda-claves, incluye claves que están marcadas en
el servidor de claves como revocado. Tenga en cuenta que no todos los servidores de claves diferencian entre
claves revocadas y no revocadas, y para tales servidores de claves esta opción es
sin sentido. Tenga en cuenta también que la mayoría de los servidores de claves no tienen
verificación de revocaciones de claves, por lo que desactivar esta opción puede resultar
en omitir claves que están marcadas incorrectamente como revocadas.
incluir discapacitados
Al buscar una clave con --búsqueda-claves, incluye claves que están marcadas en
el servidor de claves como deshabilitado. Tenga en cuenta que esta opción no se utiliza con HKP
servidores de claves.
recuperación automática de claves
Esta opción habilita la recuperación automática de claves de un servidor de claves cuando
verificar firmas hechas por claves que no están en el anillo de claves local.
Tenga en cuenta que esta opción hace posible un comportamiento similar a un "error web". Servidor de claves
Los operadores pueden ver qué claves solicita, así que enviándole un mensaje firmado
por una clave nueva (que, naturalmente, no tendrá en su local
llavero), el operador puede decirle tanto su dirección IP como la hora en que
verificado la firma.
URL del servidor de claves de honor
Cuando usas --actualizar-claves, si la clave en cuestión tiene un servidor de claves preferido
URL, luego use ese servidor de claves preferido para actualizar la clave. Además,
si se establece la recuperación automática de claves y la firma que se está verificando tiene una
URL del servidor de claves preferido, luego use ese servidor de claves preferido para obtener la clave
de. Tenga en cuenta que esta opción introduce un "error web": el creador de la clave
puede ver cuando se actualizan las claves. Por lo tanto, esta opción no está habilitada por
predeterminado.
honor-pka-record
Si se configura la recuperación automática de claves y la firma que se está verificando tiene una PKA
registro y, a continuación, utilice la información de PKA para recuperar la clave. El valor predeterminado es "sí".
incluir-subclaves
Cuando reciba una clave, incluya subclaves como objetivos potenciales. Tenga en cuenta que esto
La opción no se utiliza con los servidores de claves HKP, ya que no admiten la recuperación
claves por id de subclave.
tiempo de espera
Dígale al programa auxiliar del servidor de claves cuánto tiempo (en segundos) debe intentar realizar una
acción del servidor de claves antes de darse por vencido. Tenga en cuenta que realizar varias acciones en
al mismo tiempo, utiliza este valor de tiempo de espera por acción. Por ejemplo, cuando
recuperar varias claves a través de --recv-claves, el tiempo de espera se aplica por separado a
cada recuperación de clave, y no al --recv-claves comando en su conjunto. Defaults
a 30 segundos.
http-proxy = valor
Esta opción está obsoleta. Configurar el proxy que se utilizará para HTTP y HKP
servidores de claves. Esto anula cualquier proxy definido en 'dirmngr.conf".
verboso
Esta opción no tiene más función desde GnuPG 2.1. Utilizar el dirmngr
opciones de configuración en su lugar.
depurar Esta opción no tiene más función desde GnuPG 2.1. Utilizar el dirmngr
opciones de configuración en su lugar.
comprobar-cert
Esta opción no tiene más función desde GnuPG 2.1. Utilizar el dirmngr
opciones de configuración en su lugar.
archivo-cert-ca
Esta opción no tiene más función desde GnuPG 2.1. Utilizar el dirmngr
opciones de configuración en su lugar.
--completos-necesarios n
Número de usuarios de total confianza para presentar un nuevo firmante clave (el valor predeterminado es 1).
- marginales-necesarios n
Número de usuarios de confianza marginal para presentar un nuevo firmante clave (el valor predeterminado es 3)
--tofu-política-defectuosa auto | bueno | desconocido | malo | preguntar
La política TOFU predeterminada (por defecto es auto). Para más información sobre el significado
de esta opción, consulte: [trust-model-tofu].
--formato-tofu-db auto | split | plano
El formato para TOFU DB.
El formato de archivo dividido divide los datos en muchas bases de datos bajo el tofu.d directorio
(uno por dirección de correo electrónico y uno por clave). Esto hace que sea más fácil
sincronizar los datos con una herramienta como Unison
(https://www.cis.upenn.edu/~bcpierce/unison/), ya que los archivos individuales cambian
casi nunca.
El formato de archivo plano mantiene todos los datos en un solo archivo tofu.db. Este formato
resulta en un mejor rendimiento.
Si se establece en auto (que es el valor predeterminado), GnuPG primero verificará la existencia de
tofu.d y tofu.db. Si existe alguno de estos, se utiliza el formato correspondiente. Si
ninguno o ambos existen, entonces GnuPG por defecto dividido formato. En el
último caso, se emite una advertencia.
- max-cert-depth n
Profundidad máxima de una cadena de certificación (el valor predeterminado es 5).
--no-sig-caché
No almacene en caché el estado de verificación de las firmas de claves. El almacenamiento en caché da mucho
mejor desempeño en listados clave. Sin embargo, si sospecha que su público
el llavero no se guarda contra modificaciones de escritura, puede usar esta opción para deshabilitar
el almacenamiento en caché. Probablemente no tenga sentido desactivarlo porque todo tipo de
se puede dañar si otra persona tiene acceso de escritura a su anillo de claves públicas.
--auto-chequear-trustdb
--no-auto-check-trustdb
Si GnuPG considera que su información sobre la Web of Trust debe actualizarse,
ejecuta automáticamente el --check-trustdb comando internamente. Este puede ser un momento
proceso de consumo. --no-auto-check-trustdb desactiva esta opción.
--uso-agente
- agente-sin-uso
Esta es una opción ficticia. gpg2 siempre requiere el agente.
--gpg-agent-info
Esta es una opción ficticia. No tiene ningún efecto cuando se usa con gpg2.
- programa-agente presentar
Especifique un programa de agente que se utilizará para operaciones de clave secreta. El valor predeterminado
se determina ejecutando gpgconf con la opción --lista-dirs. Tenga en cuenta que la tubería
símbolo|) se utiliza para un truco de conjunto de pruebas de regresión y, por lo tanto, no se puede utilizar en el
nombre del archivo.
--dirmgr-programa presentar
Especifique un programa dirmngr que se utilizará para el acceso del servidor de claves. El valor predeterminado es
"/ usr / bin / dirmngr'. Esto solo se usa como respaldo cuando la variable de entorno
DIRMNGR_INFO no está configurado o no se puede conectar un directorio en ejecución.
--sin inicio automático
No inicie gpg-agent o dirmngr si aún no se ha iniciado y su
Se requiere servicio. Esta opción es sobre todo útil en máquinas donde la conexión
to gpg-agent ha sido redirigido a otras máquinas. Si se requiere dirmngr en
la máquina remota, se puede iniciar manualmente usando gpgconf --lanzamiento dirmngr.
--bloquear una vez
Bloquee las bases de datos la primera vez que se solicite un bloqueo y no lo suelte
hasta que finalice el proceso.
--bloqueo-múltiple
Suelte las cerraduras cada vez que ya no necesite una cerradura. Use esto para anular un
anterior --bloquear una vez desde un archivo de configuración.
--cerrar-nunca
Desactive el bloqueo por completo. Esta opción debe utilizarse solo en casos muy especiales.
entornos, donde se puede asegurar que solo un proceso accede a esos
archivos. Un disquete de arranque con un sistema de cifrado independiente probablemente utilizará
esta. El uso inadecuado de esta opción puede provocar daños en los datos y la clave.
--salir-en-estado-escritura-error
Esta opción provocará errores de escritura en el estado FD para terminar inmediatamente el
proceso. De hecho, debería ser el valor predeterminado, pero nunca funcionó de esta manera y, por lo tanto,
necesitamos una opción para habilitar esto, de modo que el cambio no interrumpa las aplicaciones que
cierre el extremo de una tubería conectada de status fd demasiado pronto. Usando esta opción junto
--habilitar-filtro-de-progreso se puede utilizar para cancelar limpiamente gpg de larga ejecución
operaciones.
--limit-card-insertar-intentos n
Con n mayor que 0, el número de mensajes que solicitan insertar una tarjeta inteligente se obtiene
limitado a N-1. Por lo tanto, con un valor de 1 gpg, no pedirá en absoluto insertar una tarjeta si
no se ha insertado ninguno al inicio. Esta opción es útil en el archivo de configuración.
en caso de que una aplicación no sepa sobre el soporte de la tarjeta inteligente y espere un anuncio
infinitum para una tarjeta insertada.
--no-archivo-semilla-aleatorio
GnuPG usa un archivo para almacenar su grupo aleatorio interno sobre invocaciones. Esto hace
generación aleatoria más rápida; sin embargo, a veces no se desean operaciones de escritura. Esta
La opción se puede utilizar para lograrlo con el costo de una generación aleatoria más lenta.
--sin saludo
Suprime el mensaje de copyright inicial.
--no-secmem-advertencia
Suprima la advertencia sobre "usar memoria insegura".
--no-permiso-advertencia
Suprima la advertencia sobre archivos y directorios de inicio no seguros (--homedir) permisos.
Tenga en cuenta que las comprobaciones de permisos que realiza GnuPG no están destinadas a
autoritativo, sino que simplemente advierten sobre ciertos permisos comunes
problemas. No asuma que la falta de una advertencia significa que su sistema está
asegurar.
Tenga en cuenta que la advertencia de inseguridad --homedir los permisos no se pueden suprimir en el
gpg.conf, ya que esto permitiría a un atacante colocar un archivo gpg.conf inseguro en
place y utilice este archivo para suprimir las advertencias sobre sí mismo. los --homedir
La advertencia de permisos solo se puede suprimir en la línea de comando.
--no-mdc-advertencia
Suprima la advertencia sobre la falta de protección de integridad MDC.
--requerir-secmem
--no-requiere-secmem
Rechace la ejecución si GnuPG no puede obtener una memoria segura. El valor predeterminado es no (es decir, ejecutar, pero dar
una advertencia).
--requiere-certificación cruzada
--no requiere certificación cruzada
Al verificar una firma hecha a partir de una subclave, asegúrese de que la certificación cruzada
La "firma trasera" en la subclave está presente y es válida. Esto protege contra un
ataque sutil contra subclaves que pueden firmar. Predeterminado a --requiere-cruzar-
título o certificación para gpg2.
--experto
--no experto
Permitir que el usuario haga ciertas cosas sin sentido o "tontas", como firmar una
o clave revocada, o ciertas cosas potencialmente incompatibles como generar inusuales
tipos de claves. Esto también deshabilita ciertos mensajes de advertencia sobre posibles
acciones incompatibles. Como su nombre lo indica, esta opción es solo para expertos. Si tu
no comprende completamente las implicaciones de lo que le permite hacer, deje esto
apagado. --no experto desactiva esta opción.
Clave relacionado opciones
--recipiente nombre
-r Cifrar para identificación de usuario nombre . Si esta opción o --receptor-oculto no está especificado,
GnuPG solicita la identificación de usuario a menos que --receptor-predeterminado es dado.
--receptor-oculto nombre
-R Cifrar para ID de usuario nombre , pero oculta el ID de la clave de este usuario. Esta opción ayuda
para ocultar al receptor del mensaje y es una contramedida limitada contra el tráfico
análisis. Si esta opción o --recipiente no se especifica, GnuPG pregunta por el usuario
Identificación a menos que --receptor-predeterminado es dado.
--encriptar a nombre
Igual que --recipiente pero este está diseñado para su uso en el archivo de opciones y puede ser
utilizado con su propia identificación de usuario como un "cifrado a sí mismo". Estas claves solo se utilizan cuando
hay otros destinatarios dados por el uso de --recipiente o por el usuario solicitado
identificación. No se realiza ninguna comprobación de confianza para estos ID de usuario e incluso las claves deshabilitadas pueden
ser usado.
--hidden-encriptar-a nombre
Igual que --receptor-oculto pero este está diseñado para su uso en el archivo de opciones y
se puede utilizar con su propia identificación de usuario como un "cifrado a sí mismo" oculto. Estas claves son
solo se usa cuando hay otros destinatarios dados por el uso de --recipiente o por
la identificación de usuario solicitada. No se realiza ninguna comprobación de confianza para estos ID de usuario e incluso
Se pueden utilizar llaves deshabilitadas.
--cifrar-a-la-clave-predeterminada
Si la clave secreta predeterminada se toma de --clave predeterminada, luego también encriptar a eso
clave.
--no-encriptar
Deshabilitar el uso de todos --encriptar a y --hidden-encriptar-a llaves.
--grupo nombre = valor1
Configura un grupo con nombre, que es similar a los alias en los programas de correo electrónico. En cualquier momento el
el nombre del grupo es un destinatario (-r or --recipiente), se expandirá a los valores
especificado. Varios grupos con el mismo nombre se fusionan automáticamente en un
solo grupo.
Los valores son clave Tarjetas de Identificación (ID) o huellas dactilares, pero se acepta cualquier descripción clave. Nota
que un valor con espacios en él se tratará como dos valores diferentes. Tenga en cuenta también
solo hay un nivel de expansión --- no puedes hacer un grupo que apunte a
otro grupo. Cuando se usa desde la línea de comando, puede ser necesario citar el
argumento a esta opcin para evitar que el shell lo trate como mltiples
argumentos
--desagrupar nombre
Eliminar una entrada determinada de la --grupo lista.
--no-grupos
Eliminar todas las entradas del --grupo lista.
--usuario-local nombre
-u Uso nombre como la clave para firmar. Tenga en cuenta que esta opción anula --clave predeterminada.
--intentar-clave-secreta nombre
Para los destinatarios ocultos, GPG necesita conocer las claves que se utilizarán para el descifrado de prueba. los
juego de llaves con --clave predeterminada siempre se intenta primero, pero a menudo esto no es suficiente.
Esta opción permite configurar más claves que se utilizarán para el descifrado de prueba. Aunque cualquiera
Se puede utilizar una especificación de identificación de usuario válida para nombre tiene sentido usar al menos el
keyid largo para evitar ambigüedades. Tenga en cuenta que gpg-agent podría mostrar una entrada para un
lote de claves para realizar el descifrado de prueba. Si desea detener todas las pruebas posteriores
descifrado, puede utilizar el botón cerrar ventana en lugar del botón cancelar.
--intentar-todos-los-secretos
No mire la ID de la clave como está almacenada en el mensaje, intente todas las claves secretas a su vez
para encontrar la clave de descifrado correcta. Esta opción fuerza el comportamiento utilizado por
destinatarios anónimos (creados mediante --throw-keyids or --receptor-oculto) y
puede resultar útil en caso de que un mensaje cifrado contenga una ID de clave falsa.
--saltar-destinatarios-ocultos
--no-omitir-destinatarios-ocultos
Durante el descifrado, omita todos los destinatarios anónimos. Esta opción ayuda en el caso
que la gente usa la función de destinatarios ocultos para ocultar su propia clave de cifrado de
otros. Si uno mismo tiene muchas claves secretas, esto puede provocar una gran molestia porque
todas las claves se intentan a su vez para descifrar algo que en realidad no estaba destinado a
eso. El inconveniente de esta opción es que actualmente no es posible descifrar un
mensaje que incluye destinatarios anónimos reales.
Entrada y Salida
--armadura
-a Crea salida blindada ASCII. El valor predeterminado es crear el formato binario OpenPGP.
--sin armadura
Suponga que los datos de entrada no están en formato blindado ASCII.
--producción presentar
-o presentar
Escribir salida en presentar.
--salida máxima n
Esta opción establece un límite en el número de bytes que se generarán cuando
procesando un archivo. Dado que OpenPGP admite varios niveles de compresión, es
Es posible que el texto llano de un mensaje dado sea significativamente mayor que el
mensaje original de OpenPGP. Si bien GnuPG funciona correctamente con dichos mensajes, hay
A menudo, el deseo de establecer un tamaño de archivo máximo que se generará antes del procesamiento.
se ve obligado a detenerse por los límites del sistema operativo. El valor predeterminado es 0, lo que significa "sin límite".
- opciones de importación parámetros
Se trata de una cadena delimitada por espacios o comas que ofrece opciones para importar claves.
Las opciones se pueden anteponer con un 'no-' para dar el significado opuesto. Las opciones
son:
importar-local-sigs
Permitir importar firmas de claves marcadas como "locales". Esto no es generalmente
útil a menos que se utilice un esquema de llavero compartido. Por defecto es no.
mantener la confianza
Normalmente, los valores de confianza del propietario que aún existen de una clave se borran si
se importa la clave. En general, esto es deseable para que un
key no obtiene automáticamente valores de confianza del propietario simplemente debido a la importación.
Por otro lado, a veces es necesario volver a importar un conjunto confiable de
claves de nuevo, pero manteniendo los valores de confianza propios asignados. Esto puede ser
logrado mediante el uso de esta opción.
reparar-pks-subclave-error
Durante la importación, intente reparar el daño causado por el error del servidor de claves PKS
(versión anterior a 0.9.6) que manipula claves con múltiples subclaves. Tenga en cuenta que esto
no puede reparar completamente la clave dañada ya que algunos datos cruciales son eliminados por
el servidor de claves, pero al menos le devuelve una subclave. Por defecto no
para regular --importar y sí para el servidor de claves --recv-claves.
solo fusionar
Durante la importación, permita las actualizaciones de claves a las claves existentes, pero no permita ninguna nueva.
claves a importar. Por defecto es no.
importar-limpio
Después de la importación, compacte (elimine todas las firmas excepto la autofirma) cualquier
ID de usuario de la nueva clave que no se pueden utilizar. Luego, elimine las firmas
de la nueva clave que no se pueden utilizar. Esto incluye firmas que fueron
emitidos por claves que no están presentes en el llavero. Esta opcion es la misma
como ejecutando el --editar clave comando "limpiar" después de la importación. Por defecto es no.
importación-mínima
Importe la clave más pequeña posible. Esto elimina todas las firmas excepto la
autofirma más reciente en cada ID de usuario. Esta opción es la misma que
corriendo el --editar clave comando "minimizar" después de la importación. Por defecto es no.
--opciones de exportación parámetros
Se trata de una cadena delimitada por espacios o comas que ofrece opciones para exportar claves.
Las opciones se pueden anteponer con un 'no-' para dar el significado opuesto. Las opciones
son:
exportar-local-sigs
Permitir exportar firmas de claves marcadas como "locales". Esto no es generalmente
útil a menos que se utilice un esquema de llavero compartido. Por defecto es no.
exportar atributos
Incluya ID de usuario de atributo (ID con foto) al exportar. Esto es útil para
exportar claves si van a ser utilizadas por un programa OpenPGP que no
aceptar ID de usuario de atributo. El valor predeterminado es sí.
export-sensibles-revkeys
Incluya la información del revocador designado que se marcó como "confidencial".
Por defecto es no.
exportar limpio
Compactar (eliminar todas las firmas de) las ID de usuario en la clave que se exporta si
los ID de usuario no se pueden utilizar. Además, no exporte ninguna firma que no sea
usable. Esto incluye firmas emitidas por claves que no son
presente en el llavero. Esta opción es la misma que ejecutar el --editar clave
comando "limpiar" antes de exportar excepto que la copia local de la clave no es
modificado. Por defecto es no.
exportación-mínima
Exporta la clave más pequeña posible. Esto elimina todas las firmas excepto la
autofirma más reciente en cada ID de usuario. Esta opción es la misma que
corriendo el --editar clave comando "minimizar" antes de exportar excepto que el
la copia local de la clave no se modifica. Por defecto es no.
--con dos puntos
Imprima listados de claves delimitados por dos puntos. Tenga en cuenta que la salida se codificará en
UTF-8 independientemente de cualquier --display-juego de caracteres configuración. Este formato es útil cuando GnuPG
se llama desde scripts y otros programas, ya que se analiza fácilmente por máquina. los
los detalles de este formato están documentados en el archivo 'doc / DETALLES', que está incluido
en la distribución fuente de GnuPG.
--print-pka-registros
Modifique la salida de los comandos de lista para imprimir registros PKA adecuados para poner en
Archivos de zona DNS. Se imprime una línea de ORIGEN antes de cada registro para permitir el desvío
los registros al archivo de zona correspondiente.
--print-dane-registros
Modifique la salida de los comandos de lista para imprimir registros OpenPGP DANE adecuados para
poner en archivos de zona DNS. Se imprime una línea de ORIGEN antes de cada registro para permitir
desviando los registros al archivo de zona correspondiente.
--modo-lista-fija
No combine el ID de usuario principal y la clave principal en --con dos puntos modo de listado e impresión
todas las marcas de tiempo como segundos desde 1970-01-01. Desde GnuPG 2.0.10, este modo es
siempre se usa y, por lo tanto, esta opción es obsoleta; Sin embargo, no está de más usarlo.
--modo-lista-heredado
Vuelva al modo de lista de claves públicas anterior a 2.1. Esto solo afecta a la legibilidad humana.
salida y no la interfaz de la máquina (es decir, --con dos puntos). Tenga en cuenta que el legado
El formato no permite transmitir información adecuada para curvas elípticas.
--con huella digital
Igual que el comando --huella dactilar pero cambia solo el formato de la salida y puede
utilizarse junto con otro comando.
--con-ortografía-icao
Imprima la ortografía ICAO de la huella digital además de los dígitos hexadecimales.
--con empuñadura de tecla
Incluya la empuñadura de tecla en los listados de teclas.
--con-secreto
Incluya información sobre la presencia de una clave secreta en las listas de claves públicas realizadas con
--con dos puntos.
OpenPGP protocolo soluciones y .
-t, --modo de texto
--sin modo de texto
Trate los archivos de entrada como texto y guárdelos en el formato de texto canónico de OpenPGP con
finales de línea estándar "CRLF". Esto también establece las banderas necesarias para informar al
destinatario que los datos cifrados o firmados son texto y pueden necesitar sus finales de línea
convertido de nuevo a lo que utilice el sistema local. Esta opción es útil cuando
comunicarse entre dos plataformas que tienen diferentes convenciones de final de línea
(Similar a UNIX para Mac, Mac para Windows, etc.). --sin modo de texto desactiva esta opción, y es
el valor por defecto.
--force-v3-sigs
--sin-fuerza-v3-sigs
--certificados-force-v4
--certificados-no-force-v4
Estas opciones están obsoletas y no tienen ningún efecto desde GnuPG 2.1.
--fuerza-mdc
Forzar el uso de cifrado con un código de detección de modificaciones. Esto siempre se usa
con los cifrados más nuevos (aquellos con un tamaño de bloque superior a 64 bits), o si todos
las claves del destinatario indican la compatibilidad con MDC en sus banderas de funciones.
--disable-mdc
Desactive el uso del código de detección de modificaciones. Tenga en cuenta que al usar esta opción,
el mensaje cifrado se vuelve vulnerable a un ataque de modificación del mensaje.
--preferencias-de-cifrado-personal cadena
Establezca la lista de preferencias personales de cifrado en cadena. Utilizar gpg2 --versión conseguir un
lista de algoritmos disponibles y uso ninguna para establecer ninguna preferencia en absoluto. Esta
permite al usuario anular de forma segura el algoritmo elegido por la clave del destinatario
preferencias, ya que GPG solo seleccionará un algoritmo que puedan utilizar todos los destinatarios.
El cifrado mejor clasificado en esta lista también se utiliza para la --simétrico
comando de cifrado.
--preferencias-de-resumen-personal cadena
Establezca la lista de preferencias de resumen personal en cadena. Utilizar gpg2 --versión conseguir un
lista de algoritmos disponibles y uso ninguna para establecer ninguna preferencia en absoluto. Esta
permite al usuario anular de forma segura el algoritmo elegido por la clave del destinatario
preferencias, ya que GPG solo seleccionará un algoritmo que puedan utilizar todos los destinatarios.
El algoritmo de resumen mejor clasificado en esta lista también se utiliza al firmar
sin cifrado (p. ej. --señal clara or --firmar).
--preferencias-de-compresión-personal cadena
Establezca la lista de preferencias de compresión personales en cadena. Utilizar gpg2 --versión a
obtener una lista de algoritmos disponibles y utilizar ninguna para establecer ninguna preferencia en absoluto. Esta
permite al usuario anular de forma segura el algoritmo elegido por la clave del destinatario
preferencias, ya que GPG solo seleccionará un algoritmo que puedan utilizar todos los destinatarios.
El algoritmo de compresión mejor clasificado en esta lista también se utiliza cuando hay
no hay claves de destinatario a considerar (p. ej. --simétrico).
--s2k-cifrado-algo nombre
Uso nombre como el algoritmo de cifrado para el cifrado simétrico con una frase de contraseña si
--preferencias-de-cifrado-personal y --cifrar-algo no se dan. El valor predeterminado es
AES-128.
--s2k-digest-algo nombre
Uso nombre como el algoritmo de resumen utilizado para modificar las frases de contraseña para simétricas
cifrado. El predeterminado es SHA-1.
- modo s2k n
Selecciona cómo se alteran las frases de contraseña para el cifrado simétrico. Si n es 0 un simple
se utilizará una frase de contraseña (que en general no se recomienda), un 1 agrega una sal
(que no debe usarse) a la frase de contraseña y un 3 (el predeterminado) itera el
todo el proceso varias veces (ver --s2k-cuenta).
--s2k-cuenta n
Especifique cuántas veces se manipulan las frases de contraseña para el cifrado simétrico
repetido. Este valor puede oscilar entre 1024 y 65011712 inclusive. El valor por defecto
se pregunta a gpg-agent. Tenga en cuenta que no todos los valores en el rango 1024-65011712
son legales y si se selecciona un valor ilegal, GnuPG redondeará al más cercano
valor legal. Esta opción solo es significativa si - modo s2k se establece en el valor predeterminado de
3.
Cumplimiento opciones
Estas opciones controlan lo que GnuPG cumple. Solo una de estas opciones puede estar activa
a la vez. Tenga en cuenta que la configuración predeterminada de esto es casi siempre la correcta. Ver el
INTEROPERABILIDAD CON OTROS PROGRAMAS OPENPGP sección a continuación antes de usar uno de estos
.
--gnupg
Utilice el comportamiento estándar de GnuPG. Este es esencialmente el comportamiento de OpenPGP (consulte --openpgp),
pero con algunas soluciones alternativas para problemas de compatibilidad comunes en diferentes
versiones de PGP. Esta es la opción predeterminada, por lo que generalmente no es necesaria, pero
puede ser útil para anular una opción de cumplimiento diferente en el archivo gpg.conf.
--openpgp
Restablezca todas las opciones de paquetes, cifrado y resumen al comportamiento estricto de OpenPGP. Utilizar esta
opción para restablecer todas las opciones anteriores como --s2k- *, --cifrar-algo, --digest-algo y
--comprimir-algo a valores compatibles con OpenPGP. Todas las soluciones de PGP están deshabilitadas.
--rfc4880
Restablezca todas las opciones de paquetes, cifrado y resumen al estricto comportamiento RFC-4880. Tenga en cuenta que
esto es actualmente lo mismo que --openpgp.
--rfc2440
Restablezca todas las opciones de paquetes, cifrado y resumen al comportamiento estricto de RFC-2440.
--pgp6 Configure todas las opciones para que sean lo más compatibles con PGP 6 como sea posible. Esto te restringe al
cifra IDEA (si el complemento IDEA está instalado), 3DES y CAST5, los hash MD5,
SHA1 y RIPEMD160, y los algoritmos de compresión none y ZIP. Esto también deshabilita
--throw-keyids, y hacer firmas con subclaves de firma, ya que PGP 6 no
comprender las firmas que se hacen al firmar subclaves.
Esta opción implica --disable-mdc --escape-de-líneas.
--pgp7 Configure todas las opciones para que sean lo más compatibles con PGP 7. Esto es idéntico a
--pgp6 excepto que los MDC no están deshabilitados y la lista de cifrados permitidos es
ampliado para agregar AES128, AES192, AES256 y TWOFISH.
--pgp8 Configure todas las opciones para que sean lo más compatibles con PGP 8. PGP 8 está mucho más cerca de
el estándar OpenPGP que las versiones anteriores de PGP, por lo que todo lo que hace es deshabilitar
--throw-keyids y establecer --escape-de-líneas. Se permiten todos los algoritmos excepto
los digestiones SHA224, SHA384 y SHA512.
"Hacer" cosas una generalmente no se quieres a hice.
-n
- corrida en seco
No realice ningún cambio (esto no está completamente implementado).
--sólo lista
Cambia el comportamiento de algunos comandos. Esto es como - corrida en seco pero diferente en
algunos casos. La semántica de este comando puede extenderse en el futuro. En la actualidad
solo omite la pasada de descifrado real y, por lo tanto, permite una lista rápida de
las claves de cifrado.
-i
--interactivo
Preguntar antes de sobrescribir cualquier archivo.
--nivel de depuración nivel
Seleccione el nivel de depuración para investigar problemas. nivel puede ser un valor numérico o
por una palabra clave:
ninguna Sin depuración en absoluto. Se puede usar un valor menor que 1 en lugar del
palabra clave.
básica Algunos mensajes de depuración básicos. Se puede usar un valor entre 1 y 2 en lugar de
la palabra clave.
avanzado
Mensajes de depuración más detallados. Se puede utilizar un valor entre 3 y 5 en lugar de
la palabra clave.
experto Mensajes aún más detallados. Se puede usar un valor entre 6 y 8 en lugar de
la palabra clave.
gurú Todos los mensajes de depuración que puede recibir. Se puede utilizar un valor superior a 8
en lugar de la palabra clave. La creación de archivos de seguimiento de hash solo está habilitada
si se utiliza la palabra clave.
No se especifica cómo se asignan estos mensajes a los indicadores de depuración reales y puede
cambiar con versiones más recientes de este programa. Sin embargo, se seleccionan cuidadosamente para
ayuda en la depuración.
--depurar banderas
Establecer indicadores de depuración. Todas las banderas son or-ed y banderas se puede dar en sintaxis C (p. ej.
0x0042) o como una lista separada por comas de nombres de banderas. Para obtener una lista de todos los admitidos
Indica que se puede utilizar la palabra "ayuda".
--depurar-todo
Configure todos los indicadores de depuración útiles.
--debug-iolbf
Establezca stdout en modo de búfer de línea. Esta opción solo se acepta cuando se da en el
línea de comando.
--tiempo-del-sistema-falso época
Esta opción solo es útil para realizar pruebas; establece la hora del sistema hacia adelante o hacia atrás para
época que es el número de segundos transcurridos desde el año 1970. Alternativamente
época se puede dar como una cadena de tiempo ISO completa (por ejemplo, "20070924T154812").
--habilitar-filtro-de-progreso
Habilite determinadas salidas de estado de PROGRESO. Esta opción permite que las interfaces muestren un
indicador de progreso mientras gpg procesa archivos más grandes. Hay un ligero
sobrecarga de rendimiento usándolo.
--estado-fd n
Escriba cadenas de estado especiales en el descriptor de archivo n. Ver el archivo DETALLES en el
documentación para una lista de ellos.
--archivo de estado presentar
Igual que --estado-fd, excepto que los datos de estado se escriben en el archivo presentar.
--logger-fd n
Escribir la salida del registro en el descriptor de archivo n y no a STDERR.
--archivo de registro presentar
--archivo registrador presentar
Igual que --logger-fd, excepto que los datos del registrador se escriben en el archivo presentar. Tenga en cuenta que
--archivo de registro solo está implementado para GnuPG-2.
--atributo-fd n
Escribir subpaquetes de atributos en el descriptor de archivo n. Esto es más útil para usar
--estado-fd, ya que los mensajes de estado son necesarios para separar los distintos
subpaquetes de la secuencia entregada al descriptor de archivo.
--archivo de atributos presentar
Igual que --atributo-fd, excepto que los datos del atributo se escriben en el archivo presentar.
--comentario cadena
--sin comentarios
Uso cadena como una cadena de comentarios en firmas de texto sin cifrar y mensajes blindados ASCII
o llaves (ver --armadura). El comportamiento predeterminado es no utilizar una cadena de comentarios.
--comentario puede repetirse varias veces para obtener varias cadenas de comentarios. --No-
comentarios elimina todos los comentarios. Es una buena idea mantener la longitud de un solo
comente por debajo de 60 caracteres para evitar problemas con los programas de correo que envuelven tales
líneas. Tenga en cuenta que las líneas de comentarios, como todas las demás líneas de encabezado, no están protegidas por
la firma.
--emit-versión
--no-emit-versión
Forzar la inclusión de la cadena de versión en la salida blindada ASCII. Si se administra una sola vez
se emite el nombre del programa y el número principal (predeterminado), dado el doble de
también se emite menor, dado el triple se agrega el micro, y dado el cuádruple un
también se emite la identificación del sistema. --no-emit-versión desactiva la versión
la línea.
--notación de sig Nombre = valor
- notación de concierto Nombre = valor
-NORTE, --notación de conjuntos Nombre = valor
Ponga el par nombre-valor en la firma como datos de notación. nombre debe consistir
sólo de caracteres o espacios imprimibles, y debe contener un carácter '@' en el
formulario [email protected] (sustituyendo el nombre de clave y el dominio apropiados
nombre del curso). Esto es para ayudar a prevenir la contaminación de la notación reservada IETF
espacio de nombres. La --experto la bandera anula la verificación '@'. propuesta de puede ser cualquier imprimible
cuerda; estará codificado en UTF8, por lo que debe verificar que su --display-juego de caracteres
está configurado correctamente. Si prefijas nombre con un signo de exclamación (!), la notación
los datos se marcarán como críticos (rfc4880: 5.2.3.16). --notación de sig establece una notación
para firmas de datos. - notación de concierto establece una notación para las firmas clave
(certificaciones). --notación de conjuntos establece ambos.
Hay códigos especiales que pueden usarse en nombres de notación. "% k" se expandirá
en el ID de clave de la clave que se está firmando, "% K" en el ID de clave largo de la clave que se está
firmado, "% f" en la huella digital de la clave que se está firmando, "% s" en el ID de clave de
la clave que hace la firma, "% S" en la ID de clave larga de la clave que hace el
firma, "% g" en la huella digital de la clave que hace la firma (que podría
ser una subclave), "% p" en la huella digital de la clave principal de la clave, lo que hace que
firma, "% c" en el recuento de firmas de la tarjeta inteligente OpenPGP y "%%"
da como resultado un solo "%". % k,% K y% f solo son significativos cuando se hace una clave
firma (certificación), y% c solo es significativo cuando se usa OpenPGP
tarjeta electrónica.
--sig-política-url cadena
--cert-policy-url cadena
--establecer-directiva-url cadena
Uso cadena como URL de política para firmas (rfc4880: 5.2.3.20). Si lo prefieres
con un signo de exclamación (!), el paquete de URL de política se marcará como crítico.
--sig-política-url establece una URL de política para las firmas de datos. --cert-policy-url establece un
URL de política para firmas clave (certificaciones). --establecer-directiva-url establece ambos.
Los mismos% -expandos utilizados para los datos de notación también están disponibles aquí.
--sig-keyserver-url cadena
Uso cadena como URL de servidor de claves preferida para firmas de datos. Si lo antepone con
un signo de exclamación (!), el paquete URL del servidor de claves se marcará como crítico.
Los mismos% -expandos utilizados para los datos de notación también están disponibles aquí.
--set-nombre de archivo cadena
Uso cadena como el nombre de archivo que se almacena dentro de los mensajes. Esto anula el
predeterminado, que es utilizar el nombre de archivo real del archivo que se está cifrando. Utilizando
la cadena vacía para cadena elimina efectivamente el nombre de archivo de la salida.
--confidencial
--no-solo-para-tus-ojos
Establezca la marca "solo para sus ojos" en el mensaje. Esto hace que GnuPG se niegue a
guarde el archivo a menos que el --producción se da la opción, y PGP para usar un "visor seguro"
con una fuente resistente a la tempestad para mostrar el mensaje. Esta opción anula
--set-nombre de archivo. --no-solo-para-tus-ojos desactiva esta opción.
--use-nombre-de-archivo-incrustado
--no-use-nombre-de-archivo-incrustado
Intente crear un archivo con un nombre incrustado en los datos. Esto puede ser peligroso
opción ya que permite sobrescribir archivos. Por defecto es no.
--cifrar-algo nombre
Uso nombre como algoritmo de cifrado. Ejecutando el programa con el comando --versión los rendimientos
una lista de algoritmos compatibles. Si esto no se usa, el algoritmo de cifrado es
seleccionado de las preferencias almacenadas con la clave. En general, no quieres
use esta opción ya que le permite violar el estándar OpenPGP. --personal-
preferencias de cifrado es la forma segura de lograr lo mismo.
--digest-algo nombre
Uso nombre como el algoritmo de resumen de mensajes. Ejecutando el programa con el comando
--versión produce una lista de algoritmos compatibles. En general, no desea utilizar
esta opción ya que le permite violar el estándar OpenPGP. -digestión-personal-
preferencias es la forma segura de lograr lo mismo.
--comprimir-algo nombre
Usar algoritmo de compresión nombre . "zlib" es la compresión RFC-1950 ZLIB. "zip" es
Compresión ZIP RFC-1951 que utiliza PGP. "bzip2" es una versión más moderna
esquema de compresión que puede comprimir algunas cosas mejor que zip o zlib, pero en
el costo de más memoria utilizada durante la compresión y descompresión. "sin comprimir"
o "ninguno" desactiva la compresión. Si no se utiliza esta opción, el comportamiento predeterminado es
para examinar las preferencias clave del destinatario para ver qué algoritmos el destinatario
apoyos. Si todo lo demás falla, se utiliza ZIP para lograr la máxima compatibilidad.
ZLIB puede dar mejores resultados de compresión que ZIP, ya que el tamaño de la ventana de compresión
no se limita a 8k. BZIP2 puede dar incluso mejores resultados de compresión que eso, pero
utilizará una cantidad de memoria significativamente mayor al comprimir y
descomprimiendo. Esto puede ser significativo en situaciones de poca memoria. Sin embargo, tenga en cuenta
que PGP (todas las versiones) solo admite compresión ZIP. Usando cualquier algoritmo otro
que ZIP o "none" hará que el mensaje sea ilegible con PGP. En general, lo haces
No quiero usar esta opción ya que le permite violar el estándar OpenPGP.
--preferencias-de-compresión-personal es la forma segura de lograr lo mismo.
--cert-digest-algo nombre
Uso nombre como el algoritmo de resumen de mensajes que se utiliza al firmar una clave. Ejecutando el
programa con el comando --versión produce una lista de algoritmos compatibles. Ser consciente
que si eliges un algoritmo que admite GnuPG pero otro OpenPGP
implementaciones no lo hacen, entonces algunos usuarios no podrán usar las firmas de claves
que haga, o posiblemente toda su clave.
--disable-cipher-algo nombre
Nunca permita el uso de nombre como algoritmo de cifrado. El nombre dado no será
marcado para que un algoritmo cargado más tarde aún se deshabilite.
--disable-pubkey-algo nombre
Nunca permita el uso de nombre como algoritmo de clave pública. El nombre dado no será
marcado para que un algoritmo cargado más tarde aún se deshabilite.
--throw-keyids
--no-throw-keyids
No coloque las ID de las claves del destinatario en mensajes cifrados. Esto ayuda a ocultar la
receptores del mensaje y es una contramedida limitada contra el análisis del tráfico.
([Con un poco de ingeniería social, cualquiera que sea capaz de descifrar el mensaje puede
compruebe si uno de los otros destinatarios es el que sospecha.]) En el
lado receptor, puede ralentizar el proceso de descifrado porque todos los disponibles
Deben probarse las claves secretas. --no-throw-keyids desactiva esta opción. Esta opcion es
esencialmente lo mismo que usar --receptor-oculto para todos los destinatarios.
--not-dash-escapó
Esta opción cambia el comportamiento de las firmas de texto sin cifrar para que puedan usarse
para archivos de parche. No debe enviar un archivo blindado por correo electrónico porque todos
los espacios y las terminaciones de las líneas también tienen hash. No puede utilizar esta opción para datos que
tiene 5 guiones al principio de una línea, los archivos de parche no lo tienen. Un especial
La línea de encabezado de la armadura le dice a GnuPG acerca de esta opción de firma de texto sin cifrar.
--escape-de-líneas
--no-escape-de-las-líneas
Debido a que algunos remitentes de correo cambian las líneas que comienzan con "De" a "> De", es bueno
manejar tales líneas de una manera especial al crear firmas de texto sin cifrar para evitar
el sistema de correo no rompa la firma. Tenga en cuenta que todas las demás versiones de PGP lo hacen
de esta manera también. Habilitado por defecto. --no-escape-de-las-líneas desactiva esta opción.
--contraseña-repetir n
Especifica cuantas veces gpg2 solicitará que se repita una nueva contraseña. Este es
útil para ayudar a memorizar una frase de contraseña. El valor predeterminado es 1 repetición.
- frase de contraseña-fd n
Leer la frase de contraseña del descriptor de archivo n. Solo se leerá la primera línea
descriptor de archivo n. Si usa 0 para n, la frase de contraseña se leerá desde STDIN. Esta
solo se puede usar si solo se proporciona una frase de contraseña.
Tenga en cuenta que esta frase de contraseña solo se usa si la opción --lote también se ha dado.
Esto es diferente de la versión 1.x de GnuPG.
--archivo de frase de contraseña presentar
Leer la frase de contraseña del archivo presentar. Solo se leerá la primera línea del archivo
presentar. Esto solo se puede usar si solo se proporciona una frase de contraseña. Obviamente, un
La contraseña almacenada en un archivo es de seguridad cuestionable si otros usuarios pueden leer
Este archivo. No use esta opción si puede evitarla. Tenga en cuenta que esta frase de contraseña es
solo se usa si la opción --lote también se ha dado. Esto es diferente de GnuPG
versión 1.x.
--frase de contraseña cadena
Uso cadena como la frase de contraseña. Esto solo se puede usar si solo hay una frase de contraseña
suministrado. Obviamente, esto tiene una seguridad muy cuestionable en un sistema multiusuario.
No use esta opción si puede evitarla. Tenga en cuenta que esta frase de contraseña solo se utiliza
si la opcion --lote también se ha dado. Esto es diferente de la versión de GnuPG
1.x.
--modo de clavija modo
Establezca el modo de entrada de pines en modo. Valores permitidos para modo son:
tu préstamo estudiantil
Utilice el valor predeterminado del agente, que es contacta.
contacta Forzar el uso de Pinentry.
cancelar Emule el uso del botón de cancelación de Pinentry.
error Devuelve un error de Pinentry (`` No Pinentry '').
loopback
Redirigir consultas de Pinentry a la persona que llama. Tenga en cuenta que a diferencia de Pinentry
no se le volverá a preguntar al usuario si ingresa una contraseña incorrecta.
--comando-fd n
Este es un reemplazo del modo IPC de memoria compartida en desuso. Si esta opcion es
habilitado, no se espera que el usuario ingrese las preguntas del TTY, sino del
descriptor de archivo. Debe usarse junto con --estado-fd. Ver el archivo
doc / DETAILS en la distribución de origen para obtener detalles sobre cómo usarlo.
--archivo de comando presentar
Igual que --comando-fd, excepto que los comandos se leen del archivo presentar
--permitir-uid-no-autofirmado
--no-allow-uid-no-autofirmado
Permitir la importación y el uso de claves con ID de usuario que no sean autofirmados. Este es
no se recomienda, ya que una identificación de usuario no autofirmada es trivial de falsificar. --no-permitir-no-
uid autofirmado desactiva.
--llow-freeform-uid
Desactive todas las comprobaciones en el formulario de la identificación de usuario mientras genera una nueva. Esta
La opción solo debe utilizarse en entornos muy especiales, ya que no garantiza la
formato estándar de facto de ID de usuario.
- ignorar-tiempo-conflicto
GnuPG normalmente verifica que las marcas de tiempo asociadas con claves y firmas hayan
valores plausibles. Sin embargo, a veces una firma parece ser más antigua que la clave debida
a problemas de reloj. Esta opción hace que estas comprobaciones sean solo una advertencia. Ver también
--ignorar-válido-desde para problemas de marca de tiempo en subclaves.
--ignorar-válido-desde
GnuPG normalmente no selecciona ni usa subclaves creadas en el futuro. Esta opción
permite el uso de dichas claves y, por lo tanto, muestra el comportamiento anterior a 1.0.7. Debería
No use esta opción a menos que haya algún problema con el reloj. Ver también - ignorar-tiempo-
el conflicto para problemas de marcas de tiempo con firmas.
--ignorar-error-crc
La armadura ASCII utilizada por OpenPGP está protegida por una suma de comprobación CRC contra la transmisión.
errores. Ocasionalmente, el CRC se estropea en algún lugar del canal de transmisión, pero
el contenido real (que está protegido por el protocolo OpenPGP de todos modos) sigue siendo
okey. Esta opción permite a GnuPG ignorar los errores de CRC.
--ignorar-mdc-error
Esta opción cambia una falla de protección de integridad de MDC en una advertencia. Esto puede ser
útil si un mensaje está parcialmente dañado, pero es necesario obtener la mayor cantidad de datos
como sea posible fuera del mensaje corrupto. Sin embargo, tenga en cuenta que una protección MDC
La falla también puede significar que el mensaje fue manipulado intencionalmente por un
agresor.
--algos-de-digestión-débil-permitida
Las firmas realizadas con algoritmos de resumen conocidos-débiles normalmente se rechazan con un
Mensaje de `` algoritmo de resumen no válido ''. Esta opción permite la verificación de
firmas hechas con algoritmos tan débiles. MD5 es el único algoritmo de resumen
considerado débil por defecto. Ver también --digestión débil rechazar otro digest
algoritmos.
--digestión débil nombre
Trate el algoritmo de resumen especificado como débil. Firmas realizadas sobre resúmenes débiles
los algoritmos normalmente se rechazan. Esta opción se puede suministrar varias veces si
múltiples algoritmos deben considerarse débiles. Ver también --algos-de-digestión-débil-permitida
para inhabilitar el rechazo de resúmenes débiles. MD5 siempre se considera débil y no
deben enumerarse explícitamente.
--sin-llavero-predeterminado
No agregue los llaveros predeterminados a la lista de llaveros. Tenga en cuenta que GnuPG no
operar sin llaveros, por lo que si usa esta opción y no proporciona
llaveros alternativos a través de --llavero or - llavero secreto, entonces GnuPG seguirá usando el
anillos de claves públicos o secretos predeterminados.
--saltar-verificar
Omita el paso de verificación de la firma. Esto puede usarse para realizar el descifrado
más rápido si no se necesita la verificación de la firma.
--con-datos-clave
Imprima listados clave delimitados por dos puntos (como --con dos puntos) e imprime el público
llave de datos.
--modo-lista-rápida
Cambia la salida de los comandos de la lista para trabajar más rápido; esto se logra dejando
algunas partes vacías. Algunas aplicaciones no necesitan la identificación de usuario y la confianza
información proporcionada en los listados. Al usar estas opciones, pueden obtener una
listado. El comportamiento exacto de esta opción puede cambiar en futuras versiones. Si tu
les falta información, no utilice esta opción.
--no-literal
Esto no es para uso normal. Utilice la fuente para ver qué puede ser útil.
--set-
Esto no es para uso normal. Utilice la fuente para ver qué puede ser útil.
--show-sesión-clave
Muestra la clave de sesión utilizada para un mensaje. Ver - override-session-key para
contraparte de esta opción.
Creemos que el depósito de claves es algo malo; sin embargo, el usuario debe tener la libertad
para decidir si ir a la cárcel o revelar el contenido de un mensaje específico
sin comprometer todos los mensajes cifrados para una clave secreta.
También puede utilizar esta opción si recibe un mensaje cifrado que es abusivo
u ofensivo, para demostrar a los administradores del sistema de mensajería que el
El texto cifrado transmitido corresponde a un texto plano inadecuado para que puedan tomar
acción contra el usuario infractor.
- override-session-key cadena
No use la clave pública sino la clave de sesión cadena. El formato de esta cadena es
el mismo que el impreso por --show-sesión-clave. Esta opción normalmente no se usa
pero es útil en caso de que alguien te obligue a revelar el contenido de un cifrado
mensaje; al usar esta opción, puede hacer esto sin entregar la clave secreta.
--pedir-sig-expire
--no-preguntar-sig-caducar
Al hacer una firma de datos, solicite una fecha de vencimiento. Si esta opción no es
especificado, el tiempo de caducidad establecido a través de --default-sig-expire se utiliza. --sin-preguntar-sig-
caducar desactiva esta opción.
--default-sig-expire
El tiempo de vencimiento predeterminado que se utilizará para el vencimiento de la firma. Los valores válidos son "0"
para sin vencimiento, un número seguido de la letra d (para días), w (para semanas), m
(por meses), o y (por años) (por ejemplo, "2m" por dos meses, o "5y" por cinco
años), o una fecha absoluta en el formato AAAA-MM-DD. El valor predeterminado es "0".
--pedir-cert-caducar
--sin-pedir-cert-caducar
Al hacer una firma de clave, solicite un tiempo de vencimiento. Si esta opción no es
especificado, el tiempo de caducidad establecido a través de --certificado-expire-predeterminado se utiliza. --no-preguntar-
caducidad del certificado desactiva esta opción.
--certificado-expire-predeterminado
El tiempo de vencimiento predeterminado que se utilizará para el vencimiento de la firma de clave. Los valores válidos son
"0" para sin vencimiento, un número seguido de la letra d (para días), w (para semanas),
m (meses) o y (años) (por ejemplo, "2m" durante dos meses o "5y" durante cinco
años), o una fecha absoluta en el formato AAAA-MM-DD. El valor predeterminado es "0".
--permitir-importar-clave-secreta
Esta es una opción obsoleta y no se usa en ningún lado.
--permitir-mensajes-múltiples
--no-permitir-mensajes-múltiples
Permitir el procesamiento de varios mensajes OpenPGP contenidos en un solo archivo o secuencia.
Algunos programas que llaman a GPG no están preparados para lidiar con múltiples mensajes
procesados juntos, por lo que esta opción predeterminada es no. Tenga en cuenta que las versiones de GPG anteriores
a 1.4.7 siempre se permiten múltiples mensajes.
Advertencia: ¡No use esta opción a menos que la necesite como solución temporal!
- habilitar-nombres-de-archivos-especiales
Esta opción habilita un modo en el que los nombres de archivo de la forma '-&norte', donde n no es
número decimal negativo, consulte el descriptor de archivo n y no un archivo con ese
nombre.
--no-cheques-de-confianza-costosos
Solo para uso experimental.
--preservar-permisos
No cambie los permisos de un llavero secreto a solo lectura / escritura de usuario. Usar
esta opción solo si realmente sabe lo que está haciendo.
- lista-de-preferencias-predeterminada cadena
Establezca la lista de preferencias predeterminadas en cadena. Esta lista de preferencias se utiliza para nuevos
y se convierte en el valor predeterminado de "setpref" en el menú de edición.
--url del servidor de claves predeterminado nombre
Establezca la URL predeterminada del servidor de claves en nombre . Este servidor de claves se utilizará como servidor de claves
URL al escribir una nueva autofirma en una clave, que incluye la generación de claves y
preferencias cambiantes.
--lista-config
Muestra varios parámetros de configuración internos de GnuPG. Esta opción está destinada
para programas externos que llaman a GnuPG para realizar tareas y, por lo tanto, generalmente no
útil. Ver el archivo 'doc / DETALLES'en la distribución de la fuente para los detalles de
qué elementos de configuración pueden aparecer en la lista. --lista-config solo se puede usar con --con-
colonias conjunto.
--list-gcrypt-config
Muestra varios parámetros de configuración internos de Libgcrypt.
--gpgconf-lista
Este comando es similar a --lista-config pero en general sólo se utiliza internamente por el
gpgconf .
--gpgconf-prueba
Esta es una acción más o menos ficticia. Sin embargo, analiza el archivo de configuración y
regresa con falla si el archivo de configuración previene gpg desde el inicio.
Por lo tanto, puede usarse para ejecutar una verificación de sintaxis en el archivo de configuración.
opciones
--mostrar fotos
--no-mostrar-fotos
Causas --lista-claves, --list-sigs, --lista-claves-públicas, - lista-claves-secretasy
verificar una firma para mostrar también la identificación con foto adjunta a la llave, si la hubiera. Ver
también - visor de fotografías. Estas opciones están obsoletas. Usar --lista-opciones [no-] show-
buenas fotos y/o --verificar-opciones [no-] mostrar-fotos preferiblemente.
- show-llavero
Muestre el nombre del llavero al principio de la lista de claves para mostrar qué llavero es un determinado
la clave reside en. Esta opción está obsoleta: use --lista-opciones [no-] show-keyring
preferiblemente.
--siempre confía
Idéntico a --modelo de confianza hacerlo. Esta opción está obsoleta.
--mostración de notación
--no-show-notación
Mostrar notaciones de firma en el --list-sigs or --check-sigs listados así como
al verificar una firma con una anotación en ella. Estas opciones están obsoletas. Usar
--lista-opciones [no-] notación-show y/o --verificar-opciones [no-] notación-show
preferiblemente.
--mostrar-politica-url
--URL-política-de-no-presentación
Muestre las URL de la política en el --list-sigs or --check-sigs listados, así como cuando
verificar una firma con una URL de política en ella. Estas opciones están obsoletas. Usar
--lista-opciones [no-] show-policy-url y/o --verificar-opciones [no-] show-policy-url
preferiblemente.
EJEMPLOS
gpg -Si -r Chelín presentar
firmar y cifrar para el usuario Bob
gpg --señal clara presentar
hacer una firma de texto claro
gpg -sb presentar
hacer una firma separada
gpg -u 0x12345678 -sb presentar
hacer una firma separada con la llave 0x12345678
gpg --lista-claves ID_usuario
mostrar llaves
gpg --huella dactilar ID_usuario
mostrar huella digital
gpg --verificar archivo pgp
gpg --verificar archivo de firma
Verifique la firma del archivo pero no envíe los datos. La segunda forma es
utilizado para firmas separadas, donde archivo de firma es la firma separada (ya sea ASCII
blindados o binarios) y son los datos firmados; si no se da, el nombre del
archivo que contiene los datos firmados se construye cortando la extensión (".asc" o
".sig") de archivo de firma o preguntando al usuario por el nombre del archivo.
COMO LAS A ESPECIFICAR A USUARIO ID
Hay diferentes formas de especificar un ID de usuario para GnuPG. Algunos de ellos solo son válidos para
gpg otros solo son buenos para gpgsm. Aquí está la lista completa de formas de especificar una clave:
By clave Id.
Este formato se deduce de la longitud de la cadena y su contenido o 0x prefijo.
El ID de clave de un certificado X.509 son los 64 bits bajos de su huella digital SHA-1.
El uso de ID de clave es solo un atajo, para todo el procesamiento automatizado de la huella dactilar
debe ser usado.
Cuando usas gpg se puede agregar un signo de exclamación (!) para forzar usando el
clave primaria o secundaria y no intentar calcular cuál primaria o secundaria
clave para usar.
Las últimas cuatro líneas del ejemplo dan el ID de clave en su forma larga como internamente
utilizado por el protocolo OpenPGP. Puede ver la ID de clave larga usando la opción --con-
colonias.
234567C4
0F34E556E
01347A56A
0xAB123456
234AABBCC34567C4
0F323456784E56EAB
01AB3FED1347A5612
0x234AABBCC34567C4
By huella dactilar.
Este formato se deduce de la longitud de la cadena y su contenido o la 0x
prefijo. Tenga en cuenta que solo la huella digital de la versión de 20 bytes está disponible con gpgsm
(es decir, el hash SHA-1 del certificado).
Cuando usas gpg se puede agregar un signo de exclamación (!) para forzar usando el
clave primaria o secundaria y no intentar calcular cuál primaria o secundaria
clave para usar.
La mejor manera de especificar un ID de clave es utilizando la huella digital. Esto evita cualquier
ambigüedades en caso de que haya ID de clave duplicadas.
1234343434343434C434343434343434
123434343434343C3434343434343734349A3434
0E12343434343434343434EAB3484343434343434
0xE12343434343434343434EAB3484343434343434
gpgsm también acepta dos puntos entre cada par de dígitos hexadecimales porque esta es la
estándar de facto sobre cómo presentar huellas dactilares X.509. gpg también permite el uso del espacio
Huella digital SHA-1 separada tal como está impresa por los comandos de lista de teclas.
By exacto partido on OpenPGP usuario ID.
Esto se denota con un signo igual inicial. No tiene sentido para X.509
Certificados.
= Heinrich Heine[email protected]>
By exacto partido on an email dirección.
Esto se indica adjuntando la dirección de correo electrónico de la forma habitual con la izquierda y
angulos correctos.
<[email protected]>
By parcialmente partido on an email dirección.
Esto se indica anteponiendo la cadena de búsqueda con un @. Esto usa una subcadena
buscar, pero considera solo la dirección de correo (es decir, dentro de los corchetes angulares).
@heinrichh
By exacto partido on las asignaturas DN.
Esto se indica con una barra inclinada, seguida directamente por el DN codificado RFC-2253
del sujeto. Tenga en cuenta que no puede utilizar la cadena impresa por "gpgsm --list-keys"
porque ese ha sido reordenado y modificado para una mejor legibilidad; usar con-
dos puntos para imprimir la cadena RFC-2253 sin procesar (pero con escape estándar)
/ CN = Heinrich Heine, O = Poetas, L = París, C = FR
By exacto partido on las del emisor DN.
Esto se indica con una marca de almohadilla inicial, seguida directamente de una barra y luego
seguido directamente por el DN codificado rfc2253 del emisor. Esto debería devolver el
Certificado raíz del emisor. Consulte la nota anterior.
# / CN = Certificado raíz, O = Poetas, L = París, C = FR
By exacto partido on de serie número y del emisor DN.
Esto se indica con una marca de almohadilla, seguida de la representación hexadecimal de la
número de serie, seguido de una barra y el DN codificado RFC-2253 del emisor.
Consulte la nota anterior.
# 4F03 / CN = Certificado raíz, O = Poetas, L = París, C = FR
By empuñadura
Esto se indica con un ampersand seguido de los 40 dígitos hexadecimales de una empuñadura de tecla.
gpgsm imprime el agarre de la tecla cuando se usa el comando --certificado de descarga. Aun no funciona
para claves OpenPGP.
&D75F22C3F86E355877348498CDC92BD21010A480
By subcadena partido.
Este es el modo predeterminado, pero las aplicaciones pueden querer indicarlo explícitamente mediante
poniendo el asterisco al frente. Match no distingue entre mayúsculas y minúsculas.
Heine
* Heine
. y + prefijos
Estos prefijos están reservados para buscar correos anclados al final y para una palabra
modo de búsqueda. Aún no están implementados y su uso no está definido.
Tenga en cuenta que hemos reutilizado el identificador de marca de almohadilla que se utilizó en
Versiones de GnuPG para indicar el llamado local-id. Ya no se usa y
no debería haber ningún conflicto cuando se utiliza con material X.509.
El uso del formato RFC-2253 de DN tiene el inconveniente de que no es posible mapear
volver a la codificación original, sin embargo, no tenemos que hacer esto porque nuestro
La base de datos clave almacena esta codificación como metadatos.
Use gpg2 en línea usando los servicios de onworks.net
