gpg-agent - クラウドでオンライン

プログラム：

NAME

gpg-agent - GnuPGの秘密鍵管理

SYNOPSIS

gpg-agent [--homedir DIR] [-オプション file] [オプション]
gpg-agent [--homedir DIR] [-オプション file] [オプション] - サーバ
gpg-agent [--homedir DIR] [-オプション file] [オプション] - デーモン [コマンドライン]

DESCRIPTION

gpg-agent は、プロトコルから独立して秘密 (秘密) キーを管理するデーモンです。 それ
のバックエンドとして使用されます gpg & gpgsm 他のいくつかのユーティリティも同様です。

エージェントは、オンデマンドで自動的に起動されます。 gpg, gpgsm, gpgconfまたは gpg 接続エージェント.
したがって、手動で開始する理由はありません。 付属のSecureを使用したい場合
シェル エージェント 次を使用してエージェントを開始できます。

gpg-connect-agent /さようなら

次の行を常に追加する必要があります .bashrc または任意の初期化ファイル
すべてのシェル呼び出しに使用されます。

GPG_TTY=$(tty)
GPG_TTY をエクスポート

この環境変数が常に、 TTY
指示。 W32 システムの場合、このオプションは必要ありません。

適切な pinentry プログラムがデフォルトでインストールされていることを確認してください。
ファイル名 (システムに依存します) またはオプションを使用します pinentry-プログラム 指定する
そのプログラムのフルネーム。 多くの場合、実際のファイルからシンボリック リンクをインストールすると便利です。
使用された pinentry (例: '/usr/bin/pinentry-gtk') を期待されるものに変更します (例:
'/usr/bin/pinentry'）。

コマンド

コマンドは、コマンドが XNUMX つだけであるという事実を除いて、オプションと区別されません。
ことができました。

- バージョン
プログラムのバージョンとライセンス情報を出力します。 できないことに注意してください。
このコマンドを短縮します。

- 助けて

-h 最も便利なコマンドライン オプションを要約した使用法メッセージを出力します。 ご了承ください
このコマンドを省略することはできません。

--ダンプオプション
使用可能なすべてのオプションとコマンドのリストを出力します。 できないことに注意してください。
このコマンドを短縮します。

- サーバ
サーバー モードで実行し、コマンドを待ちます。 stdin。 デフォルトのモードは次のとおりです
ソケットを作成し、そこでコマンドをリッスンします。

- デーモン [ command ライン]
gpg-agent をデーモンとして起動します。 つまり、コンソールから切り離して実行します。
背景。

別の方法として、gpg-agent の子として新しいプロセスを作成することもできます。 gpg-agent
- デーモン /bin/sh. このようにして、環境セットアップで新しいシェルを取得します
きちんと; このシェルを終了すると、gpg-agent は数秒以内に終了します。
秒です。

OPTIONS

-オプション file
から構成を読み取ります file デフォルトのユーザーごとの設定の代わりに
ファイル。 デフォルトの構成ファイルの名前は「gpg-agent.conf' そして、
'.gnupg' ユーザーのホームディレクトリ直下のディレクトリ。

--homedir DIR
ホームディレクトリの名前を次のように設定します。 DIR。 このオプションを使用しない場合、ホーム
ディレクトリのデフォルトは '〜/ .gnupg'。 コマンドで指定された場合にのみ認識されます
ライン。 また、環境変数を通じて指定されたホーム ディレクトリもオーバーライドされます。
'グナップホーム' または (Windows システムの場合) レジストリ エントリを使用して
HKCU\ソフトウェア\GNU\GnuPG:HomeDir.

Windows システムでは、GnuPG をポータブル アプリケーションとしてインストールできます。 の
この場合、このコマンド ライン オプションのみが考慮され、ホームを設定する他のすべての方法が考慮されます。
ディレクトリは無視されます。

Windows 上で GnuPG をポータブル アプリケーションとしてインストールするには、空のファイル名を作成します
'gpgconf.ctl' ツールと同じディレクトリ内にあります 'gpgconf.exe'。 の根元
インストールはそのディレクトリよりです。 または、「gpgconf.exe' インストールされました
という名前のディレクトリの直下ビン'、その親ディレクトリ。 また、次のことも必要です
次のディレクトリが存在し、書き込み可能であることを確認してください: 'ルート/ホーム' にとって
GnuPG ホームと 'ROOT/var/cache/gnupg2' 内部キャッシュ ファイルの場合。

-v

-詳細
実行中に追加情報を出力します。 次のようにして冗長性を高めることができます
いくつかの冗長なコマンドを与える gpgsm、「-vv」など。

-q

- 静かな
できるだけ静かにするようにしてください。

- バッチ
pinentry を呼び出したり、人間の介入が必要なその他のことを行わないでください。

--偽のシステム時間 時代
このオプションはテストの場合にのみ役立ちます。 システム時刻を前後に設定します。
時代 これは 1970 年からの経過秒数です。

-デバッグレベル レベル
問題を調査するためのデバッグ レベルを選択します。 レベル 数値または
キーワード:

なし デバッグはまったくありません。 1 未満の値を代わりに使用することもできます。
キーワード。

基本 いくつかの基本的なデバッグ メッセージ。 代わりに 1 ～ 2 の値を使用できます。
キーワード。

高度な
より詳細なデバッグ メッセージ。 代わりに 3 ～ 5 の値を使用できます。
キーワード。

エキスパート さらに詳しいメッセージも。 代わりに 6 ～ 8 の値を使用できます。
キーワード。

グル 取得できるすべてのデバッグ メッセージ。 8 より大きい値を使用することもできます
キーワードの代わりに。 ハッシュ トレース ファイルの作成のみが有効になります
キーワードが使用されている場合。

これらのメッセージが実際のデバッグ フラグにどのようにマップされるかは指定されておらず、
このプログラムの新しいリリースでは変更されます。 ただし、それらは最良のものを慎重に選択されています
デバッグに役立ちます。

- デバッグ フラグ
このオプションはデバッグにのみ役立ち、動作はいつでも変更される可能性があります。
無断で。 FLAGS はビットエンコードされており、通常の C 構文で指定できます。 の
現在定義されているビットは次のとおりです。

0 (1) X.509 または OpenPGP プロトコル関連データ

1 (2) 大きな整数の値

2 (4) 低レベルの暗号操作

5 (32) メモリ割り当て

6 (64) キャッシング

7 (128)
メモリ統計を表示します。

9 (512)
ハッシュされたデータを次の名前のファイルに書き込みます dbgmd-000*

10 (1024)
Assuan プロトコルをトレースする

12 (4096)
すべての証明書の検証をバイパスする

--debug-all
と同じ --debug=0xffffffff

--debug-wait n
サーバーモードで実行している場合は待機します n 実際の処理に入る数秒前
ループしてpidを出力します。 これにより、デバッガを接続する時間が得られます。

--デバッグ-クイック-ランダム
このオプションは、非常に安全なランダム品質レベル (Libgcrypt の
GCRY_VERY_STRONG_RANDOM)、すべてのリクエストを標準のランダム品質まで低下させます。
これはテストのみに使用され、製品品質キーには使用されません。
このオプションは、コマンドラインで指定した場合にのみ有効です。

--debug-pinentry
このオプションは、Pinentry に関する追加のデバッグ情報を有効にします。 今のところ
と一緒に使用した場合にのみ役に立ちます。 - デバッグ 1024.

--デタッチなし
プロセスをコンソールから切り離さないでください。 これは主にデバッグに役立ちます。

-s

- NS

-c

--csh 標準の Bourne シェルまたは
それぞれCシェル。 デフォルトでは、環境変数に基づいて推測します。
SHELL これはほとんどすべての場合において正しいです。

--掴み禁止
pinentry に、キーボードとマウスをつかまないように伝えます。 このオプションは
一般に、X-スニッフィング攻撃を回避するためには使用されません。

-ログファイル file
すべてのログ出力を次の場所に追加します file。 これは、エージェントが何をしているかを確認するのに非常に役立ちます
実際にそうです。 ログ ファイルもログ ファイル記述子も設定されていない場合は、
Windows プラットフォーム、レジストリ エントリ HKCU\ソフトウェア\GNU\GnuPG:DefaultLogFile、もし
set は、ログ出力を指定するために使用されます。

--no-allow-mark-trusted
クライアントがキーを信頼できるものとしてマークすることを許可しないでください。つまり、キーを
'トラストリスト.txt' ファイル。 これにより、ユーザーが誤って Root を受け入れることが難しくなります。
CA キー。

--allow-プリセット-パスフレーズ
このオプションにより、次の使用が可能になります。 gpg プリセット パスフレーズ の内部キャッシュをシードする
gpg-agent パスフレーズ付き。

--allow-loopback-pinentry
クライアントがループバック pinentry 機能を使用できるようにします。 オプションを参照してください ピンエントリーモード
詳細については。

--no-allow-外部キャッシュ
パスフレーズに外部キャッシュを使用する機能を有効にしないように Pinentry に指示します。

一部のデスクトップ環境では、XNUMX つのマスター パスワードですべての資格情報のロックを解除することを好む場合があります。
追加の外部キャッシュを使用する Pinentry をインストールしている可能性があります。
そのような政策を実行します。 このオプションを使用する場合、Pinentry は次のことを行わないようにすることをお勧めします。
そのようなキャッシュを使用する代わりに、常にユーザーに要求されたパスフレーズを尋ねます。

--allow-emacs-pinentry
Pinentry に機能がパスフレーズ エントリを実行中の Emacs に流用できるように指示します。
実例。 これがどのように正確に処理されるかは、使用される Pinentry のバージョンによって異なります。

--署名用キャッシュを無視する
このオプションにより、 gpg-agent すべての署名に対してパスフレーズ キャッシュをバイパスする
手術。 この動作を制御するセッションごとのオプションもあることに注意してください。
ただし、このコマンド ライン オプションが優先されます。

--デフォルトキャッシュ-ttl n
キャッシュ エントリが有効な時間を設定する n 秒。 デフォルトは600秒です。
キャッシュ エントリにアクセスするたびに、エントリのタイマーがリセットされます。 エントリを設定するには
最大寿命、使用 最大キャッシュ-ttl.

--default-cache-ttl-ssh n
SSH キーに使用されるキャッシュ エントリの有効時間を設定します。 n 秒。 デフォルトは
1800秒。 キャッシュ エントリにアクセスするたびに、エントリのタイマーがリセットされます。 に
エントリの最大存続期間を設定するには、使用します 最大キャッシュ-ttl-ssh.

--max-キャッシュ-ttl n
キャッシュ エントリの有効期間の最大値を次のように設定します。 n 秒。 この後はキャッシュ
エントリは、最近アクセスされた場合、または次を使用して設定された場合でも期限切れになります。
gpg プリセット パスフレーズ。 デフォルトは 2 時間 (7200 秒) です。

--max-cache-ttl-ssh n
SSH キーに使用されるキャッシュ エントリの有効期間の最大値を次のように設定します。 n 秒。 後
今回は、キャッシュ エントリは、最近アクセスされた場合でも期限切れになります。
を使用して設定されています gpg プリセット パスフレーズ。 デフォルトは 2 時間 (7200 秒) です。

--enforce-パスフレーズ制約
ユーザーがパスフレーズをバイパスできないようにすることで、パスフレーズの制約を強制します。
「とにかく取る」ボタン。

--min-パスフレーズ-len n
パスフレーズの最小の長さを設定します。 新しいパスフレーズを入力する場合は短くしてください
この値を超えると警告が表示されます。 デフォルトは 8 です。

--min-パスフレーズ-非アルファ n
パスフレーズに必要な数字または特殊文字の最小数を設定します。
この桁数未満の新しいパスフレーズまたは特殊なパスフレーズを入力する場合
文字が表示されると警告が表示されます。 デフォルトは 1 です。

--チェックパスフレーズパターン file
で指定されたパターンに対してパスフレーズを確認します。 file。 新規に入力する場合
パスフレーズがこれらのパターンのいずれかに一致すると、警告が表示されます。 file すべき
絶対ファイル名にする必要があります。 デフォルトでは、パターン ファイルは使用されません。

セキュリティ上の注意: パスフレーズをパターンのリストまたは
完全な辞書に対してさえ、良いことを強制するのにあまり効果的ではありません
パスフレーズ。 ユーザーはすぐに、そのようなポリシーを回避する方法を見つけるでしょう。 より良い
ポリシーは、適切なセキュリティ行動についてユーザーを教育し、オプションで
パスフレーズ クラッカーは、すべてのユーザーのパスフレーズを定期的に監視して、非常に単純なパスフレーズを検出します。
もの。

--最大パスフレーズ日数 n
次の場合はユーザーにパスフレーズを変更するように依頼します。 n 最後の変更から日数が経過しました。
--enforce-パスフレーズ制約 ユーザーがこのチェックをバイパスできないように設定します。

--enable-パスフレーズ履歴
このオプションはまだ何も行いません。

--pinentry-invisible-char チャリオット
このオプションは Pinentry に使用するように要求します チャリオット 隠し文字を表示するためのものです。 チャリオット
8 文字の UTF-XNUMX 文字列である必要があります。 Pinentry はこの要求を受け入れる場合もあれば、受け入れない場合もあります。

--pinentry-タイムアウト n
このオプションは、次の後に Pinentry にタイムアウトを要求します。 n ユーザー入力なしの秒数。 の
デフォルト値の 0 は pinentry にタイムアウトを要求しませんが、Pinentry はタイムアウトを要求することはありません。
この場合、独自のデフォルトのタイムアウト値が使用されます。 Pinentry はこれを尊重する場合もあれば、尊重しない場合もあります
リクエストで詳細に指定された通りになります。

--pinentry-プログラム ファイル名
プログラムを使用する ファイル名 PIN 入力として。 デフォルトはインストールに依存します。
デフォルト設定では、デフォルトの pinentry の名前は 'ピンエントリー'; もし
そのファイルは存在しませんが、「ピンエントリー-基本' が存在する場合は後者が使用されます。

Windows プラットフォームでは、デフォルトでは、この中の最初の既存プログラムが使用されます。
リスト: 'bin\pinentry.exe'、'..\Gpg4win\bin\pinentry.exe'、'..\Gpg4win\pinentry.exe'、
'..\GNU\GnuPG\pinentry.exe'、'..\GNU\bin\pinentry.exe'、'bin\pinentry-basic.exe'
ここで、ファイル名は GnuPG インストール ディレクトリからの相対パスです。

--pinentry-touch-file ファイル名
デフォルトでは、gpg-agent がリクエストをリッスンしているソケットのファイル名が渡されます。
Pinentry に保存し、終了する前にそのファイルにアクセスできるようにします (これは Pinentry でのみ実行されます)。
呪いモード)。 このオプションは、Pinentry に渡されるファイルを次のように変更します。 ファイル名を選択します。
特別な名前 / dev / null この機能を完全に無効にするために使用できます。 ご了承ください
Pinentry はそのファイルを作成せず、変更とアクセスを変更するだけです。
時間。

--scdaemon-プログラム ファイル名
プログラムを使用する ファイル名 スマートカードデーモンとして。 デフォルトはインストールです
依存しており、 gpgconf

--disable-scdaemon
scdaemon ツールは使用しないでください。 このオプションは、
スマートカード操作を実行する機能。 実行時にこのオプションを有効にすることに注意してください。
すでにフォークされた scdaemon を強制終了しません。

--disable-check-own-socket
gpg-agent 定期的なセルフテストを使用して、盗難されたソケットを検出します。 これは通常、
の XNUMX 番目のインスタンスを意味します gpg-agent ソケットを乗っ取り、 gpg-agent 意志
その後、それ自体を終了します。 このオプションは、このセルフテストを無効にするために使用できます。
デバッグ目的。

--標準ソケットを使用

--no-use-standard-socket

--use-standard-socket-p
GnuPG 2.1 以降、標準ソケットが常に使用されます。 これらのオプションはもうありません
効果。 コマンド gpg-agent --use-standard-socket-p したがって常に戻ってきます
成功。

- 画面 文字列

--ttyname 文字列

--ttytype 文字列

--lc-ctype 文字列

--lc-メッセージ 文字列

--x権限 文字列
これらのオプションは、ローカリゼーション情報を渡すためにサーバー モードで使用されます。

--keep-tty

--keep-display
現在の変更リクエストを無視する TTY または X ウィンドウ システムの DISPLAY 変数
それぞれ。 これは、ピンエントリをロックして次の場所にポップアップするのに便利です。 TTY またはディスプレイ
エージェントを開始しました。

--追加ソケット 名
また、指定されたソケット上のネイティブ GPG エージェント接続をリッスンします。 使用目的
この追加のソケットは、リモートからの Unix ドメイン ソケット転送をセットアップすることです。
マシンをローカル マシンのこのソケットに接続します。 あ gpg リモートマシン上で実行中
その後、ローカルの gpg-agent に接続し、その秘密キーを使用できます。 これにより、
秘密鍵を他人に公開せずに、リモート マシン上のデータを復号化または署名します。
リモートマシン。

--enable-ssh-support

--enable-putty-support

OpenSSH エージェント プロトコルを有効にします。

この動作モードでは、エージェントは gpg-agent を実装するだけではありません。
プロトコルだけでなく、OpenSSH によって (別のソケット経由で) 使用されるエージェント プロトコルも含まれます。
したがって、gpg-agent をドロップインの代替品として使用できるはずです。
よく知られている ssh-agent の場合。

エージェントを通じて使用される SSH キーは、gpg-agent に追加する必要があります
最初は ssh-add ユーティリティを使用します。 キーが追加されると、ssh-add は次のことを要求します。
提供されたキー ファイルのパスワードを入力し、保護されていないキー マテリアルを
エージェント; これにより、gpg-agent はパスフレーズを要求します。パスフレーズは次の目的で使用されます。
新しく受信したキーを暗号化し、それを gpg エージェント固有のディレクトリに保存します。

この方法でキーが gpg-agent に追加されると、gpg-agent は次のことを行う準備が整います。
キーを使用します。

注: gpg-agent が署名リクエストを受信した場合、ユーザーは次の操作を行う必要がある場合があります。
保存されたキーを復号化するために必要なパスフレーズの入力を求められます。 以来
ssh-agent プロトコルには、エージェントにそれを通知するメカニズムが含まれていません。
実行中のディスプレイ/ターミナル、gpg-agent の ssh-support は TTY または X を使用します
gpg-agent が起動された場所を表示します。 この表示を現在の表示に切り替えるには
XNUMX つは、次のコマンドを使用できる場合です。

gpg-connect-agent updatestartuptty /bye

すべての GnuPG コンポーネントは必要に応じて gpg-agent を起動しようとしますが、これは不可能です
ssh サポートについては、ssh は認識しないためです。 したがって、GnuPG ツールがない場合は、
エージェントが実行されているアクセスでは、ssh が gpg-agent を使用できるという保証はありません
認証用。 これを修正するには、必要に応じて、次の簡単な方法を使用して gpg-agent を起動します。
コマンド：

gpg-connect-agent /さようなら

を追加する -詳細 エージェントの起動の進行状況を示します。

　 --enable-putty-support Windows でのみ利用可能で、gpg-agent の使用が可能です
SSH実装を使って パテ。 これは通常の ssh-agent サポートと似ていますが、
必要に応じて Windows メッセージ キューを使用します。 パテ.

すべての長いオプションは、
先頭の XNUMX つのダッシュ。

例

ログイン シェルで GPG_TTY 環境変数を設定することが重要です。たとえば、
の中に '〜/ .bashrc' 初期化スクリプト:

GPG_TTY=$(tty) をエクスポート

Ssh エージェント サポートを有効にした場合は、これを
あなたの初期化スクリプト:

SSH_AGENT_PID の設定を解除する
if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$ ]; それから
エクスポート SSH_AUTH_SOCK="${HOME}/.gnupg/S.gpg-agent.ssh"
fi

onworks.net サービスを使用して gpg-agent をオンラインで使用する