gpg-agent - En ligne dans le Cloud

PROGRAMME:

Nom

agent-gpg - Gestion des clés secrètes pour GnuPG

SYNOPSIS

agent-gpg [--homedir dir] [--options filet] [Options]
agent-gpg [--homedir dir] [--options filet] [Options] --serveur
agent-gpg [--homedir dir] [--options filet] [Options] --démon [ligne de commande]

DESCRIPTION

agent-gpg est un démon pour gérer les clés secrètes (privées) indépendamment de tout protocole. Ce
est utilisé comme backend pour gpg ainsi que gpgsm ainsi que pour quelques autres utilitaires.

L'agent est automatiquement démarré à la demande par gpg, gpgsm, gpgconfou gpg-connect-agent.
Il n'y a donc aucune raison de le démarrer manuellement. Si vous souhaitez utiliser le Secure inclus
Shell Agent, vous pouvez démarrer l'agent en utilisant :

gpg-connect-agent / bye

Vous devez toujours ajouter les lignes suivantes à votre .bashrc ou n'importe quel fichier d'initialisation
est utilisé pour toutes les invocations du shell :

GPG_TTY=$(tty)
exporter GPG_TTY

Il est important que cette variable d'environnement reflète toujours la sortie du tty
commander. Pour les systèmes W32, cette option n'est pas requise.

Veuillez vous assurer qu'un programme pinentry approprié a été installé sous la valeur par défaut
nom de fichier (qui dépend du système) ou utilisez l'option menuiserie-programme pour spécifier le
nom complet de ce programme. Il est souvent utile d'installer un lien symbolique à partir du
pinentry utilisé (par exemple '/usr/bin/pinentry-gtk') à celui attendu (par exemple
»/usr/bin/pinentrée»).

COMMANDES

Les commandes ne se distinguent pas des options, à l'exception du fait qu'une seule commande est
autorisé.

--version
Imprimez la version du programme et les informations de licence. Notez que vous ne pouvez pas
abréger cette commande.

--Aidez-moi

-h Imprimez un message d'utilisation résumant les options de ligne de commande les plus utiles. Noter que
vous ne pouvez pas abréger cette commande.

--dump-options
Imprimez une liste de toutes les options et commandes disponibles. Notez que vous ne pouvez pas
abréger cette commande.

--serveur
Exécutez en mode serveur et attendez les commandes sur le Stdin. Le mode par défaut est de
créer un socket et y écouter les commandes.

--démon [commander en ligne]
Démarrez l'agent gpg en tant que démon ; c'est-à-dire, détachez-le de la console et exécutez-le dans
l'arrière-plan.

Comme alternative, vous pouvez créer un nouveau processus en tant qu'enfant de gpg-agent : agent-gpg
--démon / Bin / sh. De cette façon, vous obtenez un nouveau shell avec la configuration de l'environnement
correctement; après que vous ayez quitté ce shell, gpg-agent se termine au bout de quelques
secondes.

OPTIONS

--options filet
Lit la configuration à partir de filet au lieu de la configuration par défaut par utilisateur
déposer. Le fichier de configuration par défaut est nommé 'gpg-agent.conf' et attendu dans le
».gnupg' directement sous le répertoire personnel de l'utilisateur.

--homedir dir
Définissez le nom du répertoire personnel sur dir. Si cette option n'est pas utilisée, la maison
le répertoire par défaut est '~/.gnupg'. Il n'est reconnu que lorsqu'il est donné sur la commande
ligne. Il remplace également tout répertoire personnel indiqué via la variable d'environnement
»GNUPGHOME' ou (sur les systèmes Windows) au moyen de l'entrée de registre
HKCU\Software\GNU\GnuPG:Répertoire Domicile.

Sur les systèmes Windows, il est possible d'installer GnuPG en tant qu'application portable. Dans
dans ce cas, seule cette option de ligne de commande est prise en compte, toutes les autres façons de définir une maison
répertoire sont ignorés.

Pour installer GnuPG en tant qu'application portable sous Windows, créez un nom de fichier vide
»gpgconf.ctl' dans le même répertoire que l'outil 'gpgconf.exe'. La racine du
l'installation est que ce répertoire ; ou si 'gpgconf.exe' a été installé
directement en dessous d'un répertoire nommé 'coffre', son répertoire parent. Vous devez également
assurez-vous que les répertoires suivants existent et sont accessibles en écriture : 'RACINE/maison' pour
la maison GnuPG et 'RACINE/var/cache/gnupg2' pour les fichiers de cache interne.

-v

--verbeux
Affiche des informations supplémentaires pendant l'exécution. Vous pouvez augmenter la verbosité en
donner plusieurs commandes verbeuses à gpgsm, comme '-vv'.

-q

--silencieux
Essayez d'être aussi silencieux que possible.

--grouper
N'invoquez pas un pinentry ou ne faites aucune autre chose nécessitant une interaction humaine.

--fake-system-time époque
Cette option n'est utile que pour les tests ; il règle l'heure du système en avant ou en arrière pour
époque qui est le nombre de secondes écoulées depuis l'année 1970.

--niveau de débogage niveau
Sélectionnez le niveau de débogage pour enquêter sur les problèmes. niveau peut être une valeur numérique ou
un mot clé :

aucun Pas de débogage du tout. Une valeur inférieure à 1 peut être utilisée à la place du
mot-clé.

Essentiel Quelques messages de débogage de base. Une valeur comprise entre 1 et 2 peut être utilisée à la place de
le mot-clé.

Avancée
Messages de débogage plus détaillés. Une valeur entre 3 et 5 peut être utilisée au lieu de
le mot-clé.

expert Des messages encore plus détaillés. Une valeur entre 6 et 8 peut être utilisée au lieu de
le mot-clé.

guru Tous les messages de débogage que vous pouvez obtenir. Une valeur supérieure à 8 peut être utilisée
au lieu du mot-clé. La création de fichiers de traçage de hachage est uniquement activée
si le mot-clé est utilisé.

La manière dont ces messages sont mappés sur les indicateurs de débogage réels n'est pas spécifiée et peut
changer avec les nouvelles versions de ce programme. Ils sont cependant soigneusement sélectionnés pour mieux
aide au débogage.

--déboguer drapeaux
Cette option n'est utile que pour le débogage et le comportement peut changer à tout moment
sans préavis. Les FLAGS sont codés en bits et peuvent être donnés dans la syntaxe C habituelle. Les
les bits actuellement définis sont :

0 (1) Données liées au protocole X.509 ou OpenPGP

1 (2) valeurs des grands nombres entiers

2 (4) opérations de chiffrement de bas niveau

5 (32) allocation de mémoire

6 (64) la mise en cache

7 (128)
afficher les statistiques de la mémoire.

9 (512)
écrire des données hachées dans des fichiers nommés dbgmd-000*

10 (1024)
tracer le protocole d'Assan

12 (4096)
contourner toutes les validations de certificats

--debug-tout
Pareil que --debug=0xffffffff

--debug-attente n
Lors de l'exécution en mode serveur, attendez n secondes avant d'entrer dans le traitement réel
boucle et imprime le pid. Cela donne le temps d'attacher un débogueur.

--debug-rapide-aléatoire
Cette option inhibe l'utilisation du niveau de qualité aléatoire très sécurisé (Libgcrypt
GCRY_VERY_STRONG_RANDOM) et dégrade toutes les demandes en qualité aléatoire standard.
Il est uniquement utilisé pour les tests et ne doit pas être utilisé pour des clés de qualité de production.
Cette option n'est effective que lorsqu'elle est donnée sur la ligne de commande.

--debug-pinentry
Cette option permet d'obtenir des informations de débogage supplémentaires concernant Pinentry. A partir de maintenant
il n'est utile que lorsqu'il est utilisé avec --déboguer 1024.

--pas de détachement
Ne détachez pas le processus de la console. Ceci est principalement utile pour le débogage.

-s

--sh

-c

--csh Formatez la sortie d'informations en mode démon pour une utilisation avec le shell Bourne standard ou le
C-shell respectivement. La valeur par défaut est de le deviner en fonction de la variable d'environnement
SHELL ce qui est correct dans presque tous les cas.

--pas de saisie
Dites au pinentry de ne pas saisir le clavier et la souris. Cette option devrait en
général ne pas être utilisé pour éviter les attaques X-sniffing.

--fichier journal filet
Ajouter toutes les sorties de journalisation à filet. Ceci est très utile pour voir ce que l'agent
fait réellement. Si ni un fichier journal ni un descripteur de fichier journal n'a été défini sur un
Plate-forme Windows, l'entrée de registre HKCU\Software\GNU\GnuPG:DefaultLogFile, Si
set, est utilisé pour spécifier la sortie de journalisation.

--no-allow-mark-confiance
Ne pas autoriser les clients à marquer les clés comme étant de confiance, c'est-à-dire les mettre dans le
»liste de confiance.txt' déposer. Cela rend plus difficile pour les utilisateurs d'accepter par inadvertance Root-
Clés CA.

--allow-preset-passphrase
Cette option permet d'utiliser Phrase secrète prédéfinie gpg pour ensemencer le cache interne de
agent-gpg avec des mots de passe.

--allow-loopback-pinentry
Autoriser les clients à utiliser les fonctionnalités de bouclage pinentry ; voir l'option mode pinentry
pour en savoir plus.

--no-allow-external-cache
Dites à Pinentry de ne pas activer les fonctionnalités qui utilisent un cache externe pour les phrases secrètes.

Certains environnements de bureau préfèrent déverrouiller toutes les informations d'identification avec un seul mot de passe principal
et peut avoir installé un Pinentry qui utilise un cache externe supplémentaire pour
mettre en œuvre une telle politique. En utilisant cette option, il est conseillé à Pinentry de ne pas
l'utilisation d'un tel cache et demandez toujours à l'utilisateur la phrase secrète demandée.

--allow-emacs-pinentry
Dites à Pinentry d'autoriser les fonctionnalités à détourner l'entrée de la phrase secrète vers un Emacs en cours d'exécution
exemple. La manière dont cela est exactement géré dépend de la version du Pinentry utilisé.

--ignore-cache-pour-la-signature
Cette option permettra agent-gpg contourner le cache de mots de passe pour toutes les signatures
opération. Notez qu'il existe également une option par session pour contrôler ce comportement
mais cette option de ligne de commande est prioritaire.

--default-cache-ttl n
Définir la durée de validité d'une entrée de cache n secondes. La valeur par défaut est de 600 secondes.
Chaque fois qu'une entrée de cache est accédée, le temporisateur de l'entrée est réinitialisé. Pour définir une entrée
durée de vie maximale, utilisation max-cache-ttl.

--default-cache-ttl-ssh n
Définir la durée de validité d'une entrée de cache utilisée pour les clés SSH n secondes. La valeur par défaut est
1800 secondes. Chaque fois qu'une entrée de cache est accédée, le temporisateur de l'entrée est réinitialisé. À
définir la durée de vie maximale d'une entrée, utiliser max-cache-ttl-ssh.

--max-cache-ttl n
Définir la durée maximale de validité d'une entrée de cache n secondes. Passé ce délai une cache
l'entrée sera expirée même si elle a été consultée récemment ou a été définie à l'aide de
Phrase secrète prédéfinie gpg. La valeur par défaut est de 2 heures (7200 XNUMX secondes).

--max-cache-ttl-ssh n
Définir la durée maximale de validité d'une entrée de cache utilisée pour les clés SSH n secondes. Après
cette fois, une entrée de cache expirera même si elle a été consultée récemment ou
a été réglé à l'aide Phrase secrète prédéfinie gpg. La valeur par défaut est de 2 heures (7200 XNUMX secondes).

--enforce-passphrase-contraintes
Appliquez les contraintes de la phrase secrète en ne permettant pas à l'utilisateur de les contourner en utilisant
le bouton « Prenez-le quand même ».

--min-phrase secrète-len n
Définissez la longueur minimale d'une phrase secrète. Lors de la saisie d'une nouvelle phrase secrète plus courte
supérieure à cette valeur, un avertissement s'affichera. La valeur par défaut est 8.

--min-phrase secrète-nonalpha n
Définissez le nombre minimal de chiffres ou de caractères spéciaux requis dans une phrase secrète.
Lors de la saisie d'une nouvelle phrase secrète avec moins de ce nombre de chiffres ou
caractères un avertissement s'affichera. La valeur par défaut est 1.

--check-passphrase-modèle filet
Vérifiez la phrase de passe par rapport au modèle donné dans filet. Lors de la saisie d'un nouveau
phrase de passe correspondant à l'un de ces modèles, un avertissement s'affichera. filet devrait
être un nom de fichier absolu. La valeur par défaut est de ne pas utiliser de fichier de signatures.

Note de sécurité : il est connu que la vérification d'une phrase secrète par rapport à une liste de modèles ou
même par contre un dictionnaire complet n'est pas très efficace pour bien faire respecter
mots de passe. Les utilisateurs trouveront bientôt des moyens de contourner une telle politique. Un meilleur
politique est d'éduquer les utilisateurs sur les bons comportements en matière de sécurité et éventuellement d'exécuter un
cracker de la phrase secrète régulièrement sur toutes les phrases secrètes des utilisateurs pour attraper le très simple
les.

--max-phrase secrète-jours n
Demandez à l'utilisateur de changer la phrase secrète si n jours se sont écoulés depuis le dernier changement.
Avec --enforce-passphrase-contraintes l'utilisateur ne peut pas contourner cette vérification.

--enable-passphrase-historique
Cette option ne fait rien pour le moment.

--pinentry-invisible-char carboniser
Cette option demande à Pinentry d'utiliser carboniser pour afficher les caractères cachés. carboniser
doit être une chaîne UTF-8 d'un caractère. Un Pinentry peut ou non honorer cette demande.

--pinentry-timeout n
Cette option demande au Pinentry de expirer après n secondes sans intervention de l'utilisateur. Les
la valeur par défaut de 0 ne demande pas au pinentry de expirer, cependant un pinentry peut utiliser
sa propre valeur de délai d'attente par défaut dans ce cas. Un Pinentry peut ou non honorer ce
demande.

--programme-pinentry nom de fichier
Utiliser le programme nom de fichier comme entrée du code PIN. La valeur par défaut dépend de l'installation.
Avec la configuration par défaut, le nom du pinentry par défaut est 'pinterie'; si
ce fichier n'existe pas mais un 'pinentry-basique' existe ce dernier est utilisé.

Sur une plate-forme Windows, la valeur par défaut est d'utiliser le premier programme existant à partir de ce
liste: 'bin\pinentry.exe','..\Gpg4win\bin\pinentry.exe','..\Gpg4win\pinentry.exe»,
»..\GNU\GnuPG\pinentry.exe','..\GNU\bin\pinentry.exe','bin\pinentry-basic.exe»
où les noms de fichiers sont relatifs au répertoire d'installation de GnuPG.

--pinentry-touch-fichier nom de fichier
Par défaut, le nom de fichier du socket gpg-agent est à l'écoute des requêtes est passé
à Pinentry, afin qu'il puisse toucher ce fichier avant de quitter (il ne le fait que dans
mode malédictions). Cette option modifie le fichier passé à Pinentry en nom de fichierL’
nom spécial / dev / null peut être utilisé pour désactiver complètement cette fonctionnalité. Noter que
Pinentry ne créera pas ce fichier, il ne changera que la modification et l'accès
le temps.

--scdaemon-programme nom de fichier
Utiliser le programme nom de fichier en tant que démon Smartcard. La valeur par défaut est l'installation
dépendant et peut être affiché avec le gpgconf commander.

--disable-scdaemon
N'utilisez pas l'outil scdaemon. Cette option a pour effet de désactiver le
capacité d'effectuer des opérations de carte à puce. Notez que l'activation de cette option au moment de l'exécution
ne tue pas un scdaemon déjà fork.

--disable-check-own-socket
agent-gpg utilise un auto-test périodique pour détecter une prise volée. Cela généralement
signifie une deuxième instance de agent-gpg a repris la prise et agent-gpg sera
puis se terminer. Cette option peut être utilisée pour désactiver cet autotest pour
fins de débogage.

--utiliser-standard-socket

--no-use-standard-socket

--use-standard-socket-p
Depuis GnuPG 2.1, le socket standard est toujours utilisé. Ces options n'ont plus
effet. La commande agent-gpg --use-standard-socket-p reviendra donc toujours
succès.

--affichage un magnifique

--ttyname un magnifique

--ttytype un magnifique

--lc-type un magnifique

--lc-messages un magnifique

--xautorité un magnifique
Ces options sont utilisées avec le mode serveur pour transmettre les informations de localisation.

--garder-tty

--garder l'affichage
Ignorer les demandes de modification du courant tty ou système X Window DISPLAY variable
respectivement. Ceci est utile pour verrouiller le pinentry pour qu'il s'affiche au tty ou afficher
vous avez démarré l'agent.

--prise supplémentaire prénom
Écoutez également les connexions natives de l'agent gpg sur le socket donné. L'utilisation prévue
pour ce socket supplémentaire est de configurer un transfert de socket de domaine Unix à partir d'un
machine à ce socket sur la machine locale. UNE gpg en cours d'exécution sur la machine distante
peut alors se connecter à l'agent gpg local et utiliser ses clés privées. Cela permet de
décrypter ou signer des données sur une machine distante sans exposer les clés privées au
appareil distant.

--enable-ssh-support

--enable-putty-support

Activez le protocole OpenSSH Agent.

Dans ce mode de fonctionnement, l'agent n'implémente pas seulement le gpg-agent
protocole, mais aussi le protocole d'agent utilisé par OpenSSH (via un socket séparé).
Par conséquent, il devrait être possible d'utiliser l'agent gpg en remplacement
pour le bien connu ssh-agent.

Les clés SSH, qui doivent être utilisées via l'agent, doivent être ajoutées à l'agent gpg
initialement via l'utilitaire ssh-add. Lorsqu'une clé est ajoutée, ssh-add demandera
le mot de passe du fichier de clé fourni et envoyer le matériel de clé non protégé au
agent; cela amène l'agent gpg à demander une phrase secrète, qui doit être utilisée pour
chiffrer la clé nouvellement reçue et la stocker dans un répertoire spécifique à l'agent gpg.

Une fois qu'une clé a été ajoutée au gpg-agent de cette façon, le gpg-agent sera prêt à
utiliser la clé.

Remarque : si l'agent gpg reçoit une demande de signature, l'utilisateur peut avoir besoin d'être
invité à saisir une phrase secrète, qui est nécessaire pour déchiffrer la clé stockée. Depuis
le protocole ssh-agent ne contient pas de mécanisme pour dire à l'agent sur quel
display/terminal qu'il exécute, le support ssh de gpg-agent utilisera le TTY ou X
afficher où gpg-agent a été démarré. Pour basculer cet affichage sur l'affichage actuel
un, la commande suivante peut être utilisée :

gpg-connect-agent updatestartuptty /bye

Bien que tous les composants GnuPG essaient de démarrer l'agent gpg selon les besoins, cela n'est pas possible
pour le support ssh car ssh ne le sait pas. Ainsi, si aucun outil GnuPG qui
accède à l'agent a été exécuté, il n'y a aucune garantie que ssh soit capable d'utiliser gpg-agent
pour l'authentification. Pour résoudre ce problème, vous pouvez démarrer gpg-agent si nécessaire en utilisant ce simple
commander:

gpg-connect-agent / bye

Ajout du --verbeux montre la progression du démarrage de l'agent.

La --enable-putty-support n'est disponible que sous Windows et permet l'utilisation de gpg-agent
avec l'implémentation ssh mastic. Ceci est similaire à la prise en charge régulière de ssh-agent, mais
utilise la file d'attente de messages Windows comme requis par mastic.

Toutes les options longues peuvent également être données dans le fichier de configuration après avoir supprimé le
deux tirets en tête.

EXEMPLES

Il est important de définir la variable d'environnement GPG_TTY dans votre shell de connexion, par exemple
dans le '~ / .bashrc' script d'initialisation :

exporter GPG_TTY=$(tty)

Si vous avez activé la prise en charge de l'agent Ssh, vous devez également en informer ssh en l'ajoutant à
votre script d'initialisation :

désactiver SSH_AGENT_PID
if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$ ] ; alors
export SSH_AUTH_SOCK="${HOME}/.gnupg/S.gpg-agent.ssh"
fi

Utiliser gpg-agent en ligne à l'aide des services onworks.net