これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、MAC OS オンライン エミュレーターなど、複数の無料オンライン ワークステーションのいずれかを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド gpg2 です。
プログラム:
NAME
GPG2 - OpenPGP 暗号化および署名ツール
SYNOPSIS
GPG2 [--homedir DIR] [-オプション file] [オプション] command [引数]
DESCRIPTION
GPG2 GNU Privacy Guard (GnuPG) の OpenPGP 部分です。 デジタルを提供するツールです
OpenPGP 標準を使用した暗号化および署名サービス。 GPG2 機能の完全なキー
管理と、まともな OpenPGP 実装から期待できるすべての付属品です。
GnuPG 1.x のスタンドアロン コマンド gpg とは対照的に、こちらの方が適している可能性があります。
サーバーおよび組み込みプラットフォームの場合、2.x バージョンは通常、次の名前でインストールされます。
GPG2 他のいくつかのモジュールをインストールする必要があるため、デスクトップを対象としています。
リターン VALUE
プログラムは、すべてが正常であれば 0 を返し、少なくとも署名が悪ければ 1 を返し、その他の場合には XNUMX を返します。
致命的なエラーのエラー コード。
警告
ユーザー アカウントには *適切な * パスワードを使用し、秘密を保護するには *適切な * パスフレーズを使用してください
鍵。 このパスフレーズは、システム全体の中で最も弱い部分です。 辞書を実行するプログラム
秘密キーリングへの攻撃は非常に簡単に作成できるため、秘密キーリングを保護する必要があります。
"~/.gnupg/"ディレクトリは非常にうまくいきました。
このプログラムをネットワーク (telnet) 経由で使用すると、*非常に* 簡単に実行できることに注意してください。
あなたのパスフレーズを盗み見してください!
切り離された署名を検証する場合は、プログラムがそれを認識していることを確認してください。
コマンドラインで両方のファイル名を指定するか、「-」を使用して STDIN を指定します。
相互運用性
GnuPG は、OpenPGP 標準の非常に柔軟な実装を目指しています。 特に、
GnuPG は、SHA-512 ハッシュなど、標準のオプション部分の多くを実装しています。
ZLIB および BZIP2 圧縮アルゴリズム。 すべてではないことに注意することが重要です
OpenPGP プログラムは、これらのオプションのアルゴリズムを実装し、
--暗号アルゴリズム, --ダイジェストアルゴリズム, --cert-digest-algoまたは --圧縮アルゴリズム GnuPG のオプション、それ
完全に有効な OpenPGP メッセージを作成することは可能ですが、それを読み取ることはできません。
対象の受信者。
利用可能な OpenPGP プログラムには数十のバリエーションがあり、それぞれがわずかな機能をサポートしています。
これらのオプションのアルゴリズムの異なるサブセット。 たとえば、最近まで、いいえ(ハッキングされていません)
PGP のバージョンは BLOWFISH 暗号アルゴリズムをサポートしていました。 BLOWFISHを使ったシンプルなメッセージ
PGP ユーザーは読み取ることができませんでした。 デフォルトでは、GnuPG は標準の OpenPGP 設定を使用します。
常に正しいことを行い、誰もが使用できるメッセージを作成するシステム
受信者がどの OpenPGP プログラムを使用しているかに関係なく。 この安全なデフォルトのみをオーバーライドします
自分が何をしているのかを本当に知っているなら。
安全なデフォルトを絶対にオーバーライドする必要がある場合、または特定のキーの設定が
何らかの理由で無効です。 --pgp6, --pgp7または --pgp8
オプション。 これらのオプションは、特定のアルゴリズムを強制しないため安全です。
OpenPGP に違反していますが、利用可能なアルゴリズムを「PGP セーフ」リストに減らします。
コマンド
コマンドは、コマンドが XNUMX つだけであるという事実を除いて、オプションと区別されません。
ことができました。
GPG2 コマンドなしで実行することもできます。その場合、適切なアクションが実行されます。
入力として与えられたファイルのタイプに応じて (暗号化されたメッセージは復号化され、
署名が検証されると、キーを含むファイルがリストされます)。
オプション以外のものが指定されるとすぐにオプションとコマンドの解析が停止することに注意してください。
検出された場合は、特別なオプションを使用して明示的に解析を停止できます。 --.
コマンド 特定の 〜へ function
- バージョン
プログラムのバージョンとライセンス情報を出力します。 できないことに注意してください。
このコマンドを短縮します。
- 助けて
-h 最も便利なコマンド ライン オプションを要約した使用法メッセージを出力します。 ご了承ください
このコマンドを省略することはできません。
- 保証
保証情報を印刷します。
--ダンプオプション
使用可能なすべてのオプションとコマンドのリストを出力します。 できないことに注意してください。
このコマンドを短縮します。
コマンド 〜へ select type of 操作
- サイン
-s 署名をしてください。 このコマンドは次のものと組み合わせることができます -暗号化 (署名されたものと
暗号化されたメッセージ)、 -対称 (署名され対称的に暗号化されたメッセージの場合)、
or -暗号化 および -対称 一緒に(復号化される可能性のある署名付きメッセージの場合)
秘密キーまたはパスフレーズ経由)。 署名に使用される鍵は次によって選択されます。
デフォルト、または次のコマンドで設定できます。 --ローカルユーザー および --デフォルトキー オプション。
--クリアサイン
クリアテキスト署名を作成します。 クリアテキスト署名の内容は判読可能です
特別なソフトウェアは必要ありません。 OpenPGP ソフトウェアは、
サイン。 クリア テキスト署名により、プラットフォームの行末の空白が変更される可能性があります
独立性があり、元に戻すことは意図されていません。 署名に使用されるキー
デフォルトで選択されるか、 --ローカルユーザー および --デフォルトキー オプション。
--デタッチサイン
-b 独立した署名を作成します。
-暗号化
-e データを暗号化します。 このオプションは次のものと組み合わせることができます - サイン (署名され暗号化されたものの場合
メッセージ)、 -対称 (秘密鍵または
パスフレーズ)、または - サイン および -対称 一緒に (署名されたメッセージの場合は、
秘密キーまたはパスフレーズを介して復号化されます)。
-対称
-c パスフレーズを使用して対称暗号で暗号化します。 デフォルトの対称暗号
使用されるのは AES-128 ですが、 --暗号アルゴリズム オプション。 このオプションは
と組み合わせる - サイン (署名され対称的に暗号化されたメッセージの場合)、
-暗号化 (秘密鍵またはパスフレーズを介して復号化できるメッセージの場合)、
or - サイン および -暗号化 一緒に (
秘密鍵またはパスフレーズ)。
- お店
保存のみ (単純なリテラル データ パケットを作成)。
-復号化
-d コマンドラインで指定されたファイル (ファイルが指定されていない場合は STDIN) を復号化し、
STDOUT (またはで指定されたファイル) に書き込みます。 - 出力)。 復号化されたファイルが
署名されている場合は、署名も検証されます。 このコマンドはデフォルトとは異なります
ファイルに含まれるファイル名には決して書き込まないため、この操作は
暗号化されたメッセージで始まらないファイルは拒否されます。
- 確認
最初の引数が署名されたファイルであると仮定し、生成せずにそれを検証します。
あらゆる出力。 引数を指定しない場合、署名パケットは STDIN から読み取られます。 もし
引数が XNUMX つ指定されている場合、それは完全な署名であることが期待されます。
複数の引数がある場合、最初の引数は分離された署名である必要があり、
残りのファイルは署名されたデータを占めます。 STDIN から署名付きデータを読み取るには、次を使用します。
XNUMX 番目のファイル名として「-」を使用します。 セキュリティ上の理由から、切り離された署名は読み取ることができません
上記の方法で指定せずに、STDIN から署名されたマテリアルを取得します。
注: オプションの場合 - バッチ 使用されていません、 GPG2 単一の引数が
署名が切り離されたファイルで、一致するデータ ファイルを検索しようとします。
特定の接尾辞を削除します。 この履歴機能を使用して、切り離されたことを確認します
署名は強く推奨されません。 必ずデータ ファイルも指定してください。
注: 平文署名を検証する場合、 gpg を構成するもののみを検証します
平文署名されたデータであり、平文署名以外の追加データは含まれません。
破線マーカー線のすぐ後に続くヘッダー行。 オプション - 出力 多分
実際の署名されたデータを書き出すために使用されます。 しかし、これには他にも落とし穴があります
フォーマットも同様。 分離された署名を優先し、平文署名を避けることをお勧めします。
署名。
-マルチファイル
これにより、他の特定のコマンドが変更され、複数のファイルを処理できるようになります。
コマンドラインから読み取るか、各ファイル名を別の行に指定して STDIN から読み取ります。 これにより、
多くのファイルを一度に処理できるようになります。 -マルチファイル 現在は一緒に使用できます
- 確認, -暗号化, -復号化。 ご了承ください -マルチファイル - 確認 じゃないかもしれない
切り離された署名とともに使用されます。
--verify-files
と同じ -マルチファイル - 確認.
--暗号化ファイル
と同じ -マルチファイル -暗号化.
--復号化ファイル
と同じ -マルチファイル -復号化.
-リストキー
-k
--list-公開鍵
公開キーリングのすべてのキー、またはコマンドラインで指定されたキーのみをリストします。
このコマンドの出力をスクリプトや他のプログラムで使用することは避けてください。
GnuPG の変更に応じて変更されます。 見る --コロン付き 機械解析可能なキーリストの場合
スクリプトや他のプログラムでの使用に適したコマンドです。
--リストの秘密キー
-K 秘密キーリングのすべてのキー、またはコマンドラインで指定されたキーのみをリストします。
A # 手紙の後に ドライ 秘密キーが使用できないことを意味します (たとえば、
それは経由して作成されました --export-secret-subkeys).
--list-signs
と同じ -リストキー、しかし署名もリストされています。 このコマンドは同じです
使用効果 -リストキー --with-sig-list.
リストされている各署名について、「sig」タグと「sig」タグの間にいくつかのフラグがあります。
キーID。 これらのフラグは、各署名に関する追加情報を提供します。 左から
そうです、これらは証明書チェック レベルを表す 1 ~ 3 の数字です (「 --ask-証明書レベル),
「L」はローカル署名またはエクスポート不可能な署名を表します (「L」を参照) --lsign-key)、「R」は
取消不能な署名 ( --編集キー コマンド "nrsign")、署名の場合は "P"
ポリシー URL が含まれています (「 --cert-policy-url)、署名の場合は「N」
表記が含まれています(を参照) --証明書表記)、期限切れの署名の場合は「X」(「 - 聞く-
証明書の期限切れ)、および信頼を示す 1 ~ 9 の数字または 10 以上の「T」
シグネチャ レベル ( --編集キー コマンド「tsign」)。
--check-sigs
と同じ --list-signs、しかし署名は検証されています。 パフォーマンスのために注意してください
署名キーの失効ステータスが表示されない理由。 このコマンドには、
使用と同じ効果 -リストキー --with-sig-check.
検証のステータスは、「sig」の直後に続くフラグによって示されます。
タグ (したがって、上で説明したフラグの前) --list-signs)。 「!」 を示します
署名が正常に検証されたことを示します。「-」は署名が間違っていることを示します
署名のチェック中にエラーが発生した場合は、「%」が使用されます (例:
サポートされているアルゴリズム)。
--locate-keys
引数として指定されたキーを見つけます。 このコマンドは基本的に同じアルゴリズムを使用します
暗号化または署名用のキーを見つけるときに使用されるため、表示に使用される場合があります
どのキー GPG2 使うかもしれません。 によって定義される特定の外部メソッド --オートキー-
locate キーの検索に使用できます。 公開鍵のみがリストされます。
- 指紋
すべてのキー (または指定されたキー) をそのフィンガープリントとともにリストします。 これは
と同じ出力 -リストキー ただし、次の行の追加出力があります。
指紋。 と組み合わせることもできます --list-signs or --check-sigs。 これなら
コマンドを XNUMX 回実行すると、すべての XNUMX 次キーのフィンガープリントもリストされます。
--リストパケット
パケットのシーケンスのみをリストします。 これは主にデバッグに役立ちます。 使用時
オプション付き -詳細 長さだけでなく、実際の MPI 値がダンプされます。
--カード編集
スマートカードを操作するためのメニューを表示します。 サブコマンド「help」は概要を提供します
利用可能なコマンドについて。 詳細な説明については、次の URL にあるカード HOWTO を参照してください。
https://gnupg.org/documentation/howtos.html#GnuPG-cardHOWTO .
--カードのステータス
スマートカードの内容を表示します。
-変更ピン
スマートカードの PIN を変更できるようにするメニューを表示します。 この機能も、
サブコマンド「passwd」として使用できます。 --カード編集
-- 削除キー 名
-- 削除キー 名
公開キーリングからキーを削除します。 バッチモードでは、次のいずれかです - はい が必要であるか、
キーは指紋で指定する必要があります。 これは偶発的な事故に対する安全策です
複数のキーの削除。
--秘密キーの削除 名
秘密キーリングからキーを削除します。 バッチ モードでは、キーは次のように指定する必要があります。
指紋。
--秘密鍵と公開鍵の削除 名
と同じ -- 削除キーただし、秘密キーが存在する場合は、それが最初に削除されます。 の
バッチ モードでは、キーは指紋によって指定する必要があります。
- 書き出す
すべてのキーリング (デフォルトのキーリングと、
オプション - キーホルダー)、または少なくとも XNUMX つの名前が指定されている場合は、その名前の名前。 の
エクスポートされたキーは、STDOUT またはオプションで指定されたファイルに書き込まれます。 - 出力。 使用
とともに - 鎧 それらのキーを郵送します。
--キーの送信 キー IDが
そして - 書き出す ただし、キーをキーサーバーに送信します。 指紋が使用される可能性がある
キーIDの代わりに。 オプション --キーサーバー これの名前を付けるために使用する必要があります
キーサーバー。 完全なキーリングをキーサーバーに送信しないでください --- それらのみを選択してください
新しいキー、またはユーザーが変更したキー。 キー ID が指定されていない場合は、 gpg 何もしません。
--export-secret-keys
--export-secret-subkeys
と同じ - 書き出すですが、代わりに秘密キーをエクスポートします。 エクスポートされたキーは次のとおりです。
STDOUT またはオプションで指定されたファイルに書き込まれます - 出力。 このコマンドは多くの場合、
オプションと併用 - 鎧 紙のキーを簡単に印刷できるようにするため
バックアップ; ただし外部ツール 紙の鍵 バックアップの作成がより適切に行われます
紙の上に。 秘密キーをエクスポートすると、エクスポートされたファイルがセキュリティ上のリスクになる可能性があることに注意してください。
キーは安全でないチャネル経由で送信されます。
コマンドの XNUMX 番目の形式には、秘密部分をレンダリングする特別なプロパティがあります。
主キーは役に立たない。 これは OpenPGP などに対する GNU 拡張機能です。
実装では、そのようなキーを正常にインポートすることは期待できません。 これは
使用目的は、追加の署名サブキーを含む完全なキーを生成することです。
専用マシンを使用し、このコマンドを使用してプライマリなしでキーをエクスポートします。
メインマシンのキー。
GnuPG は、鍵のパスフレーズの入力を求める場合があります。 これが必要な理由は
秘密鍵の内部保護方法が異なります
OpenPGP プロトコルによって指定されます。
--export-ssh-key
このコマンドは、OpenSSH 公開鍵形式で鍵をエクスポートするために使用されます。 それが必要です
通常の方法で XNUMX つのキーを指定し、最新の有効なサブキーをエクスポートします
STDOUTまたはオプションで指定されたファイルへの認証機能を持つ
- 出力. その出力は、ssh の '承認された_キー'ファイル。
キー ID または末尾に
感嘆符 (!)、特定のサブキーまたは主キーをエクスポートできます。 これ
キーに認証機能フラグが設定されている必要さえありません。
- 輸入
--高速インポート
キーをインポート/マージします。 これにより、指定されたキーがキーリングに追加されます。 高速バージョンは
現在は単なる同義語です。
このコマンドの動作を制御するオプションが他にもいくつかあります。 最も注目すべき
ここにある --インポートオプション マージのみ 新しいキーを挿入しないオプションですが、
新しい署名、ユーザー ID、サブキーのマージのみを行います。
--recv キー キー IDが
指定されたキー ID を持つキーをキーサーバーからインポートします。 オプション --キーサーバー は
このキーサーバーの名前を与えるために使用されます。
--リフレッシュキー
ローカル キーリングにすでに存在するキーの更新をキーサーバーに要求します。
これは、最新の署名やユーザー ID などでキーを更新する場合に便利です。
引数なしでこれを呼び出すと、キーリング全体が更新されます。 オプション --キーサーバー
を持たないすべてのキーにキーサーバーの名前を指定するには、これを使用する必要があります。
優先キーサーバーセット (「 --キーサーバーオプション 名誉キーサーバー URL).
--検索キー 名
キーサーバーで指定された名前を検索します。 ここで指定された複数の名前が結合されます
を組み合わせてキーサーバーの検索文字列を作成します。 オプション --キーサーバー は
このキーサーバーの名前を与えるために使用されます。 さまざまな検索をサポートするキーサーバー
メソッドでは、以下の「ユーザー ID の指定方法」で指定されている構文を使用できます。 ノート
キーサーバーのタイプが異なれば、サポートされる検索方法も異なります。 現在のみ
LDAP はそれらすべてをサポートします。
--フェッチキー URI
指定された URI にあるキーを取得します。 インストールが異なることに注意してください。
GnuPG はさまざまなプロトコル (HTTP、FTP、LDAP など) をサポートする場合があります。
--update-trustdb
信頼データベースのメンテナンスを実行します。 このコマンドはすべてのキーを反復処理し、
信頼のウェブ。 これは対話型コマンドです。
キーの「ownertrust」値。 ユーザーはどれくらいの距離を移動できるかを推定する必要があります
表示されたキーの所有者を信頼して、他のキーを正しく認証 (署名) します。 GnuPG
まだキーに割り当てられていない場合にのみ、ownertrust 値を要求します。 使用する
--編集キー メニューでは、割り当てられた値をいつでも変更できます。
--check-trustdb
ユーザーの介入なしで信頼データベースのメンテナンスを実行します。 時々信頼
有効期限が切れたキーまたは署名とその結果が反映されるようにデータベースを更新する必要があります。
Web of Trust の変更を追跡できます。 通常、GnuPG は次の場合に計算します。
これは必須であり、そうでない限り自動的に実行されます --no-auto-check-trustdb 設定されています。
このコマンドを使用すると、いつでも信頼データベースのチェックを強制できます。 の
処理は次の処理と同じです --update-trustdb ただし、not を使用してキーをスキップします
まだ「オーナートラスト」を定義しています。
cron ジョブで使用する場合、このコマンドは次のコマンドと併用できます。 - バッチ その中で
この場合、信頼データベースのチェックは、チェックが必要な場合にのみ実行されます。 強制的に実行するには
バッチモードでもオプションを追加します - はい.
--export-ownertrust
ownertrust 値を STDOUT に送信します。 これは、次のようなバックアップ目的に役立ちます。
値は、破損した trustdb から再作成できない唯一の値です。
例:
gpg2 --export-ownertrust > otrust.txt
--import-ownertrust
に保存されている ownertrust 値で trustdb を更新します。 ファイル (そうでない場合は STDIN
与えられた); 既存の値は上書きされます。 trustdb が重大な損傷を受けた場合
そして、ownertrust 値の最新のバックアップがある場合 (たとえば、
'otrust.txt' 場合は、次のコマンドを使用して trustdb を再作成できます。
cd 〜/ .gnupg
rm trustdb.gpg
gpg2 --import-ownertrust < otrust.txt
--rebuild-keydb-caches
バージョン 1.0.6 から 1.0.7 に更新する場合は、このコマンドを使用して
キーリング内の署名キャッシュ。 他の場面でも便利かもしれません。
--print-md アルゴ
--print-mds
指定されたすべてのファイルまたは STDIN のアルゴリズム ALGO のメッセージ ダイジェストを出力します。 とともに
利用可能なすべてのアルゴリズムの XNUMX 番目の形式 (またはアルゴリズムとしての非推奨の「*」) ダイジェストは次のとおりです。
印刷されます。
--gen-ランダム 0 | 1 | 2 カウント
発します カウント 指定された品質レベル 0、1、または 2 のランダムなバイト。 カウント 与えられていない
またはゼロの場合、ランダムなバイトの無限のシーケンスが出力されます。 と一緒に使用する場合 - 鎧
出力はbase64でエンコードされます。 知らない限り、このコマンドを使用しないでください。
何をしているの; システムから貴重なエントロピーが削除される可能性があります。
--gen-prime モード ビット
ソースを使用してください、ルーク:-)。 出力形式は今後も変更される可能性があります。
--enarmor
--ディアモア
OpenPGP ASCII アーマーへの、または OpenPGP ASCII アーマーからの任意の入力をパックまたはアンパックします。 これは
GnuPG は OpenPGP の拡張機能であり、一般的にはあまり役に立ちません。
--tofu-set-policy 自動|良い|不明|悪い|尋ねる 鍵...
指定されたキーに関連付けられたすべてのバインディングに対して TOFU ポリシーを設定します。 為に
ポリシーの意味の詳細については、[trust-model-tofu] を参照してください。 の
キーは、フィンガープリント (推奨) またはキー ID のいずれかで指定できます。
認定条件 〜へ 管理します キー
このセクションでは、キー管理の主なコマンドについて説明します。
--クイック生成キー ユーザーID
これは、XNUMX つのユーザー ID を持つ標準鍵を生成する単純なコマンドです。 対照的に
〜へ --gen-key キーは、一連の質問に答える必要なく直接生成されます。
プロンプト。 オプションがない限り - はい が与えられた場合、キーの作成はキャンセルされます。
指定されたユーザー ID は鍵リングに既に存在します。
特別なオプションなしでコンソールで直接呼び出された場合、
``Continue?'' スタイルの確認プロンプトが必要です。 ユーザーIDが既にある場合
キー リングに存在する場合、キーの作成を強制する XNUMX 番目のプロンプトが表示されます
アップ。
このコマンドを一緒に使用する場合 - バッチ, --pinentry-mode に設定されている ループバック,
パスフレーズ オプションの XNUMX つ (-パスフレーズ, --パスフレーズ-fdまたは パスフレーズファイル)
が使用されている場合、提供されたパスフレーズが新しいキーに使用され、エージェントは質問しません
それのための。 保護なしでキーを作成するには -パスフレーズ '' 使用できます。
--gen-key
現在のデフォルトパラメータを使用して新しいキーペアを生成します。 これが標準です
コマンドで新しいキーを作成します。 キーに加えて、失効証明書は
' に作成されて保存されますopenpgp-revocs.d' GnuPG ホームの下のディレクトリ
ディレクトリにあります。
--完全な世代キー
すべてのオプションのダイアログで新しいキー ペアを生成します。 これは拡張版です
of --gen-key.
バッチ モードでキーを作成できる機能もあります。 を参照してください
この使用方法については、マニュアルのセクション「無人キー生成」を参照してください。
--gen-revoke 名
完全なキーの失効証明書を生成します。 サブキーのみを取り消すには、または
調号、使用 --編集
このコマンドは、失効証明書を作成するだけで、次の目的で使用できます。
必要に応じてキーを取り消します。 作成したキーを実際に取り消すには
失効証明書は、失効するキーとマージする必要があります。 これはによって行われます
を使用して失効証明書をインポートする - 輸入 指図。 その後、取り消された
キーを公開する必要があります。これは、キーをキーサーバーに送信することによって行うのが最適です
(指図 --送信キー) およびエクスポート (- 書き出す)それをファイルに送信し、次に送信します
頻繁なコミュニケーション パートナー。
--設計-取り消し 名
キーに指定された失効証明書を生成します。 これにより、ユーザーは(
キー所有者の許可)、他の人のキーを取り消すこと。
--編集キー
キー管理関連タスクのほとんどを実行できるメニューを表示します。
コマンドラインでのキーの指定が必要です。
UID n ユーザーIDまたはインデックス付き写真付きユーザーIDの選択を切り替えます n。 使用 * 〜へ
すべてを選択して、 0 すべての選択を解除します。
キー n インデックス付きのサブキーの選択を切り替えます n またはキーID n。 使用 * すべてを選択するには
および 0 すべての選択を解除します。
符号 ユーザーのキーに署名を作成します 名 キーがまだ署名されていない場合は、
デフォルトのユーザー (または -u で指定されたユーザー) の場合、プログラムは
鍵の情報とその指紋を再度取得し、どうかを尋ねます。
署名されるべきです。 この質問は、で指定されたすべてのユーザーに対して繰り返されます。
-の。
記号 「sign」と同じですが、署名はエクスポート不可としてマークされており、
したがって、他人が使用することは決してありません。 これはキーを有効のみにするために使用できます。
ローカル環境で。
再署名 「sign」と同じですが、署名は取り消し不可としてマークされ、取り消し可能です。
したがって、決して取り消されることはありません。
署名 信頼署名を作成します。 という概念を組み合わせた署名です。
証明書 (通常の署名など)、および信頼 (「信頼」など)
指図)。 通常、これは個別のコミュニティまたはグループ内でのみ役立ちます。
「l」(ローカル/エクスポート不可能の場合)、「nr」(取り消し不可の場合)、および「t」(取り消し不可の場合)に注意してください。
trust) を自由に組み合わせて「sign」の接頭辞を付けて、あらゆる種類の署名を作成できます。
欲しい。
オプションの場合 --only-sign-text-ids が指定されている場合は、テキスト以外のユーザー ID (例:
写真付き身分証明書) は、署名の対象として選択されません。
デルシグ 署名を削除します。 署名を撤回することはできないことに注意してください。
それがパブリックに (つまり、キーサーバーに) 送信されると、 その場合、あなたは
より良い使用 改訂.
改訂 署名を取り消します。 次のいずれかによって生成されたすべての署名について、
秘密鍵を指定すると、GnuPG は失効証明書を作成する必要があるかどうかを尋ねます。
生成された。
チェック 選択したすべてのユーザー ID の署名を確認します。 追加オプションで
自己署名 自己署名のみが表示されます。
追加の 追加のユーザー ID を作成します。
写真を追加
写真付きのユーザー ID を作成します。 JPEG ファイルの入力を求めるプロンプトが表示されます。
ユーザーIDに埋め込まれます。 非常に大きな JPEG を使用すると、非常に大きなサイズになることに注意してください。
大きな鍵。 また、一部のプログラムでは JPEG が変更されずに表示されることにも注意してください。
(GnuPG)、一部のプログラムはダイアログ ボックスに収まるように拡大縮小します (PGP)。
ショーフォト
選択した写真付きユーザーIDを表示します。
錯乱した ユーザーIDまたは写真付きユーザーIDを削除します。 できませんのでご了承ください。
ユーザー ID が一般に送信された後は、ユーザー ID を撤回します。
キーサーバー)。 そういう場合は使ったほうがいいですよ 無効にする.
無効にする ユーザー ID または写真付きユーザー ID を取り消します。
主要な
現在のユーザー ID をプライマリ ID としてフラグを立て、プライマリ ユーザー ID を削除します
他のすべてのユーザー ID からフラグを取得し、影響を受けるすべての自分自身のタイムスタンプを設定します。
XNUMX秒先の署名。 写真付きのユーザー ID をプライマリとして設定することに注意してください
これを他の写真ユーザー ID よりも優先し、通常のユーザー ID を次のように設定します。
Primary は、他の通常のユーザー ID よりも優先されます。
キーサーバー
指定したユーザー ID に優先キーサーバーを設定します。 これにより、他の
ユーザーはどこからキーを入手したいかを知ることができます。 見る --キーサーバー-
オプション 名誉キーサーバー URL これがどのように機能するかについては、こちらをご覧ください。 の値を設定する
「none」を指定すると、既存の優先キーサーバーが削除されます。
表記法
指定したユーザー ID に名前=値の表記を設定します。 見る --証明書表記
これがどのように機能するかについては、こちらをご覧ください。 値を「none」に設定すると、すべての表記が削除されます。
先頭にマイナス記号 (-) を付けた表記を設定すると、その表記が削除されます。
マイナス記号を先頭に付けた表記名 (=value なし) を設定する
その名前を持つすべての表記を削除します。
設定 選択したユーザー ID からプリファレンスをリストします。 これは実際の様子を示しています
ただし、暗黙の好みは含まれません。
表示設定
選択したユーザー ID の詳細な設定リスト。 これは、
3DES (暗号) の暗黙の設定を含めることにより、設定が有効になります。
SHA-1 (ダイジェスト)、およびまだ圧縮されていない場合は非圧縮 (圧縮)
優先リストに含まれています。 さらに、優先キーサーバーと
署名表記 (存在する場合) が表示されます。
設定設定 文字列
ユーザー ID 設定のリストを次のように設定します。 文字列 すべて(または選択した人だけ)
ユーザーID。 引数なしで setpref を呼び出すと、設定リストが
デフォルト (組み込みまたは経由で設定) --デフォルト設定リスト)、そして電話
引数として「none」を指定した setpref は、空の設定リストを設定します。 使用 GPG2
- バージョン 利用可能なアルゴリズムのリストを取得します。 できる限り、
属性ユーザー ID (別名「写真 ID」) の設定を変更します。GnuPG は行います。
属性ユーザー ID を介してキーを選択しないため、これらの設定は使用されません
GnuPG による。
環境設定を設定するときは、アルゴリズムを次の順序でリストする必要があります。
メッセージを暗号化するときに他の人がそれらを使用することを確認したいとします。
あなたの鍵。 3DES を含めない場合、自動的に追加されます。
終わり。 アルゴリズムの選択には多くの要素があることに注意してください
(たとえば、キーが唯一の受信者ではない可能性があります)、そのため、リモート
あなたに送信するために使用される OpenPGP アプリケーションは、あなたの要求に従う場合もあれば、従わない場合もあります。
特定のメッセージに対して正確に選択された順序。 ただし、選択されるのは
すべての受信者キーの優先リストに存在するアルゴリズム。
以下の「他の OPENPGP プログラムとの相互運用性」セクションも参照してください。
キーを追加 このキーにサブキーを追加します。
カードキーを追加
カード上にサブキーを生成し、それをこのキーに追加します。
キーとカード
選択した秘密サブキー (またはサブキーがない場合は主キー) を転送します。
選択されている) をスマートカードに転送します。 キーリング内の秘密鍵は次のようになります。
キーがカードに正常に保存できた場合はスタブに置き換えられ、
後で save コマンドを使用します。 特定の種類のキーのみを転送できる
カード。 サブメニューでは、どのカードにキーを保存するかを選択できます。
カードからそのキーを取り戻すことはできないことに注意してください -
カードが破損すると、バックアップがなければ秘密キーが失われます
どこか。
バックアップカード file
指定されたファイルをカードに復元します。 このコマンドは、
バックアップ キー (カードの初期化中に生成される) を新しいカードにコピーします。 の
ほとんどの場合、これが暗号化キーになります。 これを使うべきです
対応する公開キーのみを使用してコマンドを実行し、ファイルが
引数として指定されたのは、実際に復元するバックアップです。 次に 2 を選択してください
暗号化キーとして復元します。 最初に入力するように求められます。
バックアップ キーのパスフレーズ、次にカードの管理者 PIN のパスフレーズ。
デルキー サブキー (セカンダリ キー) を削除します。 撤回はできませんのでご注意ください
サブキーは、パブリックに (つまり、キーサーバーに) 送信された後は使用されません。 その中で
使ったほうがいい場合 リビジョンキー.
リビジョンキー サブキーを取り消します。
有効期限が切れる キーまたはサブキーの有効期限を変更します。 サブキーが選択されている場合、
このサブキーの有効期限が変更されます。 何も選択しない場合、キー
主キーの有効期限が変更されます。
信頼 キーの所有者の信頼値を変更します。 これにより trust-db が更新されます
すぐに実行でき、保存する必要はありません。
disable
enable キー全体を無効または有効にします。 無効化されたキーは通常は使用できません。
暗号化。
アドリボーカー
指定された取り消し者をキーに追加します。 これにはオプションの引数が XNUMX つ取られます。
"センシティブ"。 指定された取り消し者が機密としてマークされている場合、その取り消し者は機密扱いになりません。
デフォルトでエクスポートされます (エクスポート オプションを参照)。
passwd 秘密鍵のパスフレーズを変更します。
トグル これは、下位互換性のためにのみ存在するダミー コマンドです。
任意のユーザー ID を圧縮します (自己署名を除くすべての署名を削除します)。
使用できなくなりました(失効または期限切れなど)。 次に、署名を削除します
信頼計算では使用できないもの。 具体的には、これにより、
検証されない署名、署名によって置き換えられる署名
後の署名、取り消された署名、および次のキーによって発行された署名
キーリングには存在しません。
最小限に抑えます
キーはできるだけ小さくしてください。 これにより、それぞれの署名がすべて削除されます。
最新の自己署名を除くユーザー ID。
相互認証する
現在追加されていない署名サブキーに相互認証署名を追加します。
それらを持っています。 相互認証署名は巧妙な攻撃から保護します
サブキーの署名に反対します。 見る --相互認証が必要。 すべて新しいキー
生成されたファイルにはデフォルトでこの署名が含まれるため、このオプションは次の場合にのみ役立ちます。
古いキーを最新の状態にします。
保存 キーリングへのすべての変更を保存して終了します。
やめます キーリングを更新せずにプログラムを終了します。
リストには、キーとその二次キーおよびすべてのユーザー ID が表示されます。 の
プライマリ ユーザー ID はドットで示され、選択されたキーまたはユーザー ID が示されます
アスタリスクで。 信頼値は主キーとともに表示されます。最初のキーは
割り当てられた所有者の信頼、XNUMX 番目は計算された信頼値です。 文字は
値に使用されます:
- 所有者信託が割り当てられていない/まだ計算されていません。
e 信頼の計算に失敗しました。 おそらくキーの有効期限が切れていることが原因です。
q 計算に必要な情報が不足しています。
n このキーを決して信用しないでください。
m かろうじて信頼されています。
f 完全に信頼されています。
u 最終的には信頼されます。
--署名キー 名
秘密鍵を使用して公開鍵に署名します。 これは、
サブコマンド「sign」から --編集.
--lsign-key 名
秘密鍵を使用して公開鍵に署名しますが、それをエクスポート不可能としてマークします。 これは
サブコマンド「lsign」のショートカット バージョン --編集キー.
--クイックサインキー fpr [名]
--quick-lsign-key fpr [名]
ユーザーの追加操作なしで、パスフレーズからキーに直接署名します。 の
fpr ローカル キーリング内のキーの検証済みプライマリ フィンガープリントである必要があります。 いいえ
名 すべての有用なユーザー ID が署名されます。 与えられた [名] 役に立つだけ
これらの名前のいずれかと一致するユーザー ID は署名されています。 コマンド --quick-lsign-key
署名をエクスポート不可としてマークします。 そのようなエクスポート不可能な署名がすでに
存在する --クイックサインキー エクスポート可能な署名に変換します。
このコマンドは妥当なデフォルトを使用するため、完全な情報は提供されません。
からの「sign」サブコマンドの柔軟性 --編集キー. その意図された使用は助けることです
検証済みの指紋のリストを利用して、無人でキー署名を行います。
--クイック追加ID ユーザーID 新しいユーザー ID
このコマンドは、新しいユーザー ID を既存のキーに追加します。 インタラクティブとは対照的に
サブコマンド 追加の of --編集キー 新しいユーザー ID のみで逐語的に追加されます
先頭と末尾の空白が削除され、UTF-8 でエンコードされることが期待されます。
フォームのチェックは適用されません。
--パスワード USER_ID
として指定された証明書に属する秘密鍵のパスフレーズを変更します。
USER_ID. これはサブコマンドのショートカットです passwd エディットキーメニューの
OPTIONS
GPG2 正確な動作を制御し、デフォルトを変更するための多数のオプションを備えています
構成。
長いオプションはオプション ファイルに入れることができます (デフォルトは「〜/ .gnupg / gpg.conf")。短いオプション
名前は機能しません。たとえば、「armor」はオプション ファイルの有効なオプションですが、
「a」はそうではありません。 2 つのダッシュは書かず、単にオプションの名前と必要な情報を書きます。
引数。 最初の非空白文字としてハッシュ (「#」) が含まれる行は無視されます。
このファイルにはコマンドも含めることができますが、コマンドが実行されるため、通常は役に立ちません。
gpg を実行するたびに自動的に実行されます。
オプションの解析は、非オプションが見つかるとすぐに停止することに注意してください。
特別なオプションを使用して解析を明示的に停止します --.
認定条件 〜へ 変化する の監視
これらのオプションは構成を変更するために使用され、通常はオプション内にあります。
ファイルにソフトウェアを指定する必要があります。
--デフォルトキー 名
名 署名に使用するデフォルトのキーとして使用します。 このオプションを使用しない場合、デフォルトの
key は、秘密鍵リングで最初に見つかった鍵です。 ご了承ください -u or --ローカルユーザー
このオプションをオーバーライドします。 このオプションは複数回指定できます。 この場合、
秘密鍵が利用可能な最後の鍵が使用されます。 秘密鍵がない場合
指定された値のいずれかで利用可能である場合、GnuPG はエラー メッセージを発行しませんが、
このオプションが指定されていないかのように続行します。
--デフォルトの受信者 名
名 オプションの場合はデフォルトの受信者として --受信者 使用されていないので質問しないでください
これは有効です。 名 空であってはなりません。
--default-recipient-self
オプションの場合、デフォルトのキーをデフォルトの受信者として使用します --受信者 使用されておらず、
これが有効かどうかは尋ねないでください。 デフォルトのキーはシークレットの最初のキーです
キーホルダーまたはセットのもの --デフォルトキー.
--デフォルト受信者なし
リセット --デフォルトの受信者 および --default-recipient-self.
-v、 -詳細
処理中に詳細情報を提供します。 XNUMX 回使用した場合、入力データは次のようになります。
詳細。
--詳細なし
詳細レベルを 0 にリセットします。
-NS、 - 静かな
できるだけ静かにするようにしてください。
- バッチ
--バッチなし
バッチモードを使用します。 決して質問したり、対話型コマンドを許可したりしないでください。 --バッチなし 無効になります
このオプション。 コマンドラインでファイル名を指定しても、gpg が
まだ STDIN から読み取る必要があります (特に gpg が入力が
分離された署名であり、データ ファイルが指定されていません)。 したがって、したくない場合
STDIN 経由でデータをフィードするには、STDIN を ' に接続する必要があります。/ dev / null'。
--no-tty
TTY (端末) が出力に使用されないように注意してください。 このオプションは
GnuPG は、次のような場合でも TTY に警告を出力する場合があるため、場合によっては必要になります。
- バッチ 使用されている。
- はい ほとんどの質問に対して「はい」と答えてください。
- いいえ ほとんどの質問については「いいえ」と仮定してください。
--リストオプション パラメータ
これは、キーをリストするときに使用されるオプションを与えるスペースまたはカンマ区切りの文字列です。
そして署名(つまり、 -リストキー, --list-signs, --list-公開鍵, - リスト-
秘密鍵、 そしてその --編集キー 機能)。 オプションの前に NO-
(XNUMX つのダッシュの後) 反対の意味を与えます。 オプションは次のとおりです。
写真を表示
目的 -リストキー, --list-signs, --list-公開鍵, --リストの秘密キー
キーに添付されている写真付き ID を表示します。 デフォルトは「いいえ」です。 こちらも参照
--フォトビューア。 では動作しません --コロン付き: 見る --属性-fd for
スクリプトやその他のフロントエンド用の写真データを取得する適切な方法。
使用状況を表示
標準キーのリストにキーとサブキーの使用情報を表示します。
これは、キーの許可された使用法を示す文字のリストです。
(E=暗号化、 S=署名、 C=認定、 A=認証)。 デフォルトは
はい。
ポリシーの URL を表示
ポリシーの URL を表示します。 --list-signs or --check-sigs リスト。 デフォルトは
いいえ。
表記法を表示
表示標準表記
ユーザー表記を表示
すべて表示、IETF 標準、またはユーザー定義の署名表記 - リスト-
署名 or --check-sigs リスト。 デフォルトは「いいえ」です。
show-keyserver-urls
任意の優先キーサーバー URL を表示します。 --list-signs or --check-sigs
リスト。 デフォルトは「いいえ」です。
表示-uid-有効性
キーのリスト中に計算されたユーザー ID の有効性を表示します。 デフォルト
はい。
使用不可の uid を表示
取り消されたユーザー ID と期限切れのユーザー ID をキー リストに表示します。 デフォルトは「いいえ」です。
使用できないサブキーを表示
キーリストに取り消されたサブキーと期限切れのサブキーを表示します。 デフォルトは「いいえ」です。
キーリングの表示
キーリストの先頭にキーリング名を表示して、どのキーリングが有効であるかを示します。
指定されたキーが存在します。 デフォルトは「いいえ」です。
show-sig-expire
署名の有効期限 (存在する場合) を表示します。 --list-signs or --check-sigs
リスト。 デフォルトは「いいえ」です。
show-sig-サブパケット
鍵リストに署名サブパケットを含めます。 このオプションには、
リストするサブパケットのオプションの引数リスト。 引数が渡されない場合、
すべてのサブパケットをリストします。 デフォルトは「いいえ」です。 このオプションは次の場合にのみ意味を持ちます。
--コロン付き と一緒に --list-signs or --check-sigs.
--verify-オプション パラメータ
これは、検証時に使用されるオプションを与えるスペースまたはカンマ区切りの文字列です。
署名。 オプションの先頭に「no-」を付けると、反対の意味を与えることができます。 の
オプションは次のとおりです。
写真を表示
署名を発行したキーに存在する写真付き ID を表示します。
デフォルトは「いいえ」です。 こちらも参照 --フォトビューア.
ポリシーの URL を表示
検証中の署名のポリシー URL を表示します。 デフォルトは yes です。
表記法を表示
表示標準表記
ユーザー表記を表示
すべて表示、IETF 標準、またはユーザー定義の署名表記
署名は検証中です。 デフォルトは IETF 標準です。
show-keyserver-urls
検証中の署名内の任意の優先キーサーバー URL を表示します。 デフォルト
はい。
表示-uid-有効性
を発行したキーのユーザー ID の計算された有効性を表示します。
サイン。 デフォルトは yes です。
使用不可の uid を表示
署名検証中に、取り消されたユーザー ID と期限切れのユーザー ID を表示します。 デフォルト
いいえ。
プライマリ uid のみを表示
署名検証中にプライマリ ユーザー ID のみを表示します。 以上です
AKA 行と写真 ID は署名と一緒に表示されません
検証ステータス。
pka-ルックアップ
PKA ルックアップを有効にして送信者アドレスを検証します。 PKA は以下に基づいていることに注意してください。
DNS のため、このオプションを有効にすると、いつ、どのような情報が公開される可能性があります。
署名が検証されるか、データが誰に対して暗号化されるか。 これは次のようなものです
自動キー取得機能については「Web バグ」について説明されています。
pka-信頼の増加
署名が PKA に合格した場合、署名の信頼性を完全に引き上げます
検証。 このオプションは、pka-lookups が設定されている場合にのみ意味を持ちます。
--enable-large-rsa
--disable-large-rsa
--gen-key と --batch を使用すると、実際よりも大きな RSA 秘密キーの作成が可能になります。
通常は推奨されます (最大 8192 ビット)。 これらの大きなキーは高価です
署名や証明書も大きくなります。
--enable-dsa2
--disable-dsa2
最大 1024 ビットの古い DSA キーであっても、すべての DSA キーのハッシュ トランケーションを有効にします。 これ
もデフォルトです --openpgp。 GnuPG の古いバージョンも
1024 ビットを超える DSA の生成を許可するには、このフラグが必要でした。
--フォトビューア 文字列
これは、写真付き ID を表示するために実行する必要があるコマンド ラインです。 "%私は〜になる
写真を含むファイル名に展開されます。 「%I」はファイルを除いて同じことを行います
ビューアが終了しても削除されません。 他のフラグはキー ID の「%k」です。
長いキー ID の場合は「%K」、キーのフィンガープリントの場合は「%f」、拡張子の場合は「%t」
画像タイプ (例: "jpg")、画像の MIME タイプの場合は "%T" (例:
"image/jpeg")、画像の XNUMX 文字で計算された有効性の場合は "%v"
表示 (例: "f")、文字列として計算された有効性の場合は "%V" (例: "full")、
ユーザー ID の Base32 エンコードされたハッシュの場合は「%U」、実際のパーセント記号の場合は「%%」です。
%i も %I も存在しない場合、写真はビューアに提供されます。
標準入力。
デフォルトのビューアは「xloadimage -fork -quiet -title 'KeyID 0x%k' STDIN」です。 ノート
画像ビューア プログラムが安全でない場合、GnuPG から実行すると安全になります。
安全にしないと。
--exec パス 文字列
フォト ビューアとキーサーバー ヘルパーを検索するディレクトリのリストを設定します。 もしも
提供されていない場合、キーサーバー ヘルパーはコンパイル済みのデフォルト ディレクトリと写真を使用します。
ビューアは $PATH 環境変数を使用します。 W32 システムでは、この値は
キーサーバーヘルパーを検索するときは無視されます。
- キーホルダー file
Add file キーリングの現在のリストに追加します。 もしも file チルダとスラッシュで始まり、
これらは $HOME ディレクトリに置き換えられます。 ファイル名に
スラッシュを使用すると、GnuPG ホーム ディレクトリにあると想定されます ("〜/ .gnupg「もし --homedir or
$GNUPGHOME は使用されません)。
これにより、現在のリストにキーリングが追加されることに注意してください。 使用する目的がある場合は、
指定されたキーリングを単独で使用する場合は、 - キーホルダー と一緒に --デフォルトのキーリングなし.
--秘密のキーリング file
これは廃止されたオプションであり、無視されます。 すべての秘密鍵は
'秘密鍵-v1.d' GnuPG ホーム ディレクトリの下のディレクトリ。
--プライマリキーリング file
指定する file プライマリ公開キーリングとして。 これは、新しくインポートされたキーを意味します
(ビア - 輸入 またはキーサーバー --recv-from) はこのキーリングに移動します。
--trustdb 名 file
file デフォルトの trustdb の代わりに。 もしも file チルダとスラッシュで始まり、
これらは $HOME ディレクトリに置き換えられます。 ファイル名に
スラッシュは、GnuPG ホーム ディレクトリにあると想定されます ('〜/ .gnupg' もしも --homedir or
$GNUPGHOME は使用されません)。
--homedir DIR
ホームディレクトリの名前を次のように設定します。 DIR。 このオプションを使用しない場合、ホーム
ディレクトリのデフォルトは '〜/ .gnupg'。 コマンドで指定された場合にのみ認識されます
ライン。 また、環境変数を通じて指定されたホーム ディレクトリもオーバーライドされます。
'グナップホーム' または (Windows システムの場合) レジストリ エントリを使用して
HKCU\ソフトウェア\GNU\GnuPG:HomeDir.
Windows システムでは、GnuPG をポータブル アプリケーションとしてインストールできます。 の
この場合、このコマンド ライン オプションのみが考慮され、ホームを設定する他のすべての方法が考慮されます。
ディレクトリは無視されます。
Windows 上で GnuPG をポータブル アプリケーションとしてインストールするには、空のファイル名を作成します
'gpgconf.ctl' ツールと同じディレクトリ内にあります 'gpgconf.exe'。 の根元
インストールはそのディレクトリよりです。 または、「gpgconf.exe' インストールされました
という名前のディレクトリの直下ビン'、その親ディレクトリ。 また、次のことも必要です
次のディレクトリが存在し、書き込み可能であることを確認してください: 'ルート/ホーム' にとって
GnuPG ホームと 'ROOT/var/cache/gnupg2' 内部キャッシュ ファイルの場合。
--表示文字セット 名
ネイティブ文字セットの名前を設定します。 これは一部を変換するために使用されます
ユーザー ID などの情報文字列を適切な UTF-8 エンコーディングに変換します。 これに注意してください
暗号化または署名されるデータの文字セットとは何の関係もありません。 GnuPG
ユーザーが指定したデータは再コード化されません。 このオプションを使用しない場合、デフォルトの
文字セットは現在のロケールから決定されます。 冗長レベル 3 では、
選ばれたセット。 の有効な値 名 には次の値があります:
iso-8859-1
こちらはラテン1セットです。
iso-8859-2
ラテン2セット。
iso-8859-15
これは現在、Latin 1 セットのエイリアスです。
koi8-r いつものロシア語セット (rfc1489)。
UTF-8 すべての変換をバイパスし、OS がネイティブ UTF-8 エンコーディングを使用すると想定します。
--utf8-文字列
--no-utf8-strings
コマンドライン引数が UTF8 文字列として指定されると仮定します。 デフォルト (- 番号-
utf8-文字列) は、引数が次の文字セットでエンコードされると想定します。
によって指定された --表示文字セット。 これらのオプションは、後続のすべての引数に影響します。 両方
オプションは複数回使用できます。
-オプション file
からオプションを読む file デフォルトのオプション ファイルからそれらを読み取ろうとしないでください。
ホームディレクトリ (参照 --homedir)。 このオプションは、オプション ファイルで使用される場合は無視されます。
--オプションなし
のショートカット -オプション / dev / null。 このオプションは、開こうとする前に検出されます。
オプションファイル。 このオプションを使用すると、「〜/ .gnupg'
ホームディレクトリ。
-z n
--圧縮レベル n
--bzip2-圧縮レベル n
圧縮レベルを次のように設定します n ZIP および ZLIB 圧縮アルゴリズム用。 デフォルト
zlib のデフォルトの圧縮レベル (通常は 6) を使用することです。 --bzip2-圧縮-
レベル BZIP2 圧縮アルゴリズムの圧縮レベルを設定します (デフォルトは
6も同様)。 これは別のオプションです --圧縮レベル BZIP2 は
追加の圧縮レベルごとにかなりの量のメモリが必要になります。 -z 両方を設定します。
値 0 は、 n 圧縮を無効にします。
--bzip2-decompress-lowmem
BZIP2 圧縮ファイルには別の解凍方法を使用してください。 この代替品
このメソッドは半分より少し多いメモリを使用しますが、実行速度も半分になります。 これ
ファイルが最初に作成されたときの極度にメモリが少ない状況で便利です。
高く圧縮された --bzip2-圧縮レベル.
--mangle-dos-ファイル名
--no-mangle-dos-ファイル名
古いバージョンの Windows では、複数のドットを含むファイル名を処理できません。 --マングル-
dos ファイル名 GnuPG が拡張子を (追加するのではなく) 置き換えます。
この問題を回避するには、出力ファイル名を指定します。 このオプションはデフォルトではオフになっており、
Windows 以外のプラットフォームに影響します。
--ask-証明書レベル
--no-ask-cert-level
調号を作成するときに、認証レベルの入力を求めるプロンプトが表示されます。 このオプションが
指定されていない場合、使用される認定レベルは次のように設定されます。 --デフォルトの証明書レベル。 見る
--デフォルトの証明書レベル 特定のレベルとその使用方法については、を参照してください。
--no-ask-cert-level このオプションを無効にします。 このオプションのデフォルトは no です。
--デフォルトの証明書レベル n
キーに署名するときのチェック レベルに使用するデフォルト。
0 は、キーをどの程度慎重に検証したかについて特に主張しないことを意味します。
1 は、キーを所有していると主張する人物がキーを所有していると信じていることを意味しますが、
キーを検証できなかったか、まったく検証しませんでした。 これは「ペルソナ」に役立ちます
検証。仮名ユーザーのキーに署名します。
2 は、キーのカジュアルな検証を行ったことを意味します。 たとえば、これは次のことを意味します
キーの指紋を確認し、キーのユーザー ID を写真と照合しました
IDを指定します。
3 は、キーの広範な検証を行ったことを意味します。 たとえば、これは次のことを意味します
キーの所有者と直接キーの指紋を確認したこと、および
写真付き身分証明書(身分証明書など)を備えた偽造が困難な書類を使用して確認したこと。
パスポート)キーの所有者の名前がパスポートのユーザー ID の名前と一致すること。
キーを入力し、最後に (電子メールの交換によって) の電子メール アドレスを確認したことを確認します。
キーはキーの所有者に属します。
レベル 2 と 3 について上に示した例は、単なる例であることに注意してください。 の
結局のところ、あなたにとって「カジュアル」と「広範囲」が何を意味するのかを決めるのはあなた次第です。
このオプションのデフォルトは 0 (特に要求なし) です。
--最小証明書レベル
信頼データベースを構築するときは、すべての署名を認証レベルで扱います。
これ以下は無効です。 デフォルトは 2 で、レベル 1 の署名は無視されます。 ノート
レベル 0 の「特に主張なし」署名は常に受け入れられます。
--信頼されたキー 長い キー ID
指定されたキー (完全な 8 バイトのキー ID として指定する必要があります) が次のとおりであると仮定します。
自分の秘密鍵の XNUMX つとして信頼できます。 このオプションは、それを望まない場合に便利です
秘密鍵 (またはその XNUMX つ) をオンラインに保ちながらも確認できるようにしたい場合
特定の受信者または署名者のキーの有効性。
--信頼モデル pgp|クラシック|豆腐|豆腐+pgp|直接|常時|自動
GnuPG が従うべき信頼モデルを設定します。 モデルは次のとおりです。
pgp これは、PGP 5.x で使用されている信頼署名と組み合わせた Web of Trust です。
以降。 これは、新しい信頼を作成するときのデフォルトの信頼モデルです。
データベース。
クラシック
これは、PGP 2 で導入された標準の Web of Trust です。
豆腐
TOFU は Trust On First Use の略です。 この信頼モデルでは、初めて
キーが見える、覚える。 後で別のキーがユーザー ID で表示された場合
同じ電子メール アドレスを使用すると、存在することを示す警告が表示されます。
衝突があり、その鍵は偽造であり、侵入者の試みである可能性があります。
ミドルアタック。
潜在的な攻撃者が電子メール アドレスを制御して、
これにより、電子メールを使用して競合検出アルゴリズムを回避します
信頼できる電子メール アドレスに外観が似ているアドレス。
メッセージが検証され、署名されたメッセージの数に関する統計
キーが表示されます。 このようにして、ユーザーはフェイクを使用した攻撃を簡単に識別できます
通常の特派員の鍵。
Web of Trust と比較すると、TOFU は大幅に弱い
セキュリティ保証。 特に、TOFU は一貫性を確保するのに役立ちます
(つまり、キーと電子メール アドレスの間のバインディングは変更されません)。
TOFU の主な利点は、使用するためのメンテナンスがほとんど必要ないことです。
正しく。 信頼の網を適切に使用するには、鍵に積極的に署名する必要があります
ユーザーを信頼できる紹介者としてマークします。 これは時間のかかるプロセスであり、
事例証拠によると、セキュリティ意識の高いユーザーでさえ、
これを徹底的に行う時間はなく、その場しのぎの TOFU プロセスに依存します。
TOFU モデルでは、ポリシーはキーと
電子メール アドレス (ユーザー ID から抽出され、正規化されます)。 そこには
は XNUMX つのポリシーであり、 --豆腐ポリシー オプションを選択します。
デフォルトのポリシーは、 --tofu-デフォルト-ポリシー ポリシー。
TOFU のポリシーは次のとおりです。 オート, 良い, 未知の, 悪い および 頼むを選択します。 オート 政策は
デフォルトで使用されます (オーバーライドされない限り --tofu-デフォルト-ポリシー) とマーク
わずかに信頼できるものとしてバインドします。 の 良い, 未知の および 悪い ポリシーは
完全に信頼されている、未知の信頼がある、またはまったく信頼されていないとしてバインドし、
それぞれ。 の 未知の ポリシーは、TOFU を使用して検出するのに役立ちます
競合しますが、バインディングに肯定的な信頼を割り当てないでください。 最終
ポリシー 頼む バインディングの信頼を示すようにユーザーに促します。 バッチモードの場合
が有効になっている (または入力がコンテキスト内で不適切である) 場合、ユーザーは
プロンプトと 未定義 信頼レベルが返されます。
豆腐+pgp
この信頼モデルは、TOFU と Web of Trust を組み合わせたものです。 これは
各モデルの信頼レベルを計算し、最大の信頼を得る
信頼レベルは次のように並べられています。 未知の < 未定義 <
マージナル < 完全に < 究極の < 期限切れの < 決して.
設定することにより --tofu-default-policy=不明、このモデルはに使用できます
TOFUの競合検出アルゴリズムを使用して信頼の網を実装しますが、
肯定的な信頼値の割り当てなしで、いくつかのセキュリティ-
意識のあるユーザーは好きではありません。
直接 キーの有効性はユーザーによって直接設定され、Web 経由で計算されません。
信頼しています。
常に キーの検証をスキップし、使用されるキーが常に完全に有効であると想定します。 あなた
外部検証を使用しない限り、通常はこれを使用しません
図式。 このオプションは、一緒に出力される「[uncertain]」タグも抑制します。
ユーザー ID がバインドされているという証拠がない場合の署名チェック
鍵。 この信頼モデルでは、期限切れのファイルの使用はまだ許可されていないことに注意してください。
取り消されたキー、または無効になったキー。
オート 内部信頼データベースに応じて信頼モデルを選択します
と言う。 このようなデータベースがすでに存在する場合、これがデフォルトのモデルです。
--auto-key-locate パラメータ
--no-auto-key-locate
GnuPG は、このオプションを使用して、必要に応じてキーを自動的に見つけて取得できます。 これ
電子メール アドレスを暗号化するときに発生します (「user@example.com" フォーム)、および
ここにはない user@example.com ローカルキーリングのキー。 このオプションには任意の値がかかります
以下のメカニズムの数 (試行される順序):
CERT rfc4398 で指定されているように、DNS CERT を使用してキーを見つけます。
pka DNS PKA を使用してキーを見つけます。
データ draft-ietf-dane-openpgpkey-05.txt で指定されているように、DANE を使用してキーを見つけます。
LDAP DNS サービス検出を使用して、問題のドメインに LDAP があるかどうかを確認します。
使用するキーサーバー。 これが失敗した場合は、PGP を使用してキーを見つけようとします。
「ldap://keys.(thedomain)」をチェックする汎用の方法。
キーサーバー
を使用して定義されているキーサーバーを使用してキーを見つけます。 --キーサーバー
オプションを選択します。
キーサーバー URL
さらに、キーサーバー URL は、 --キーサーバー オプションを使用することもできます
ここで特定のキーサーバーをクエリします。
ローカル ローカル キーリングを使用してキーを見つけます。 このメカニズムにより、
ローカルキーの検索が行われる順序。 したがって、「--auto-key-locate local」を使用します
と同じです --no-auto-key-locate.
デフォルトなし
このフラグは、次のいずれかの処理の前に実行される標準のローカル キー検索を無効にします。
によって定義されたメカニズム --auto-key-locate 試されている。 これの位置は
リスト内のメカニズムは関係ありません。 以下の場合は必須ではありません ローカル も
中古。
クリア 定義されているすべてのメカニズムをクリアします。 これは、指定されたメカニズムをオーバーライドするのに役立ちます
構成ファイル内。
--keyid-format 短い|0x短い|長い|0x長い
キーIDの表示方法を選択します。 「short」は従来の 8 文字のキー ID です。
「long」はより正確な (ただし利便性は劣る) 16 文字のキー ID です。 「0x」を追加します
0x0 のように、キー ID の先頭に「99242560x」を含めます。
オプション --with-colons が使用されている場合、このオプションは無視されることに注意してください。
--キーサーバー 名
このオプションは非推奨です - を使用してください --キーサーバー 'でdirmngr.conf' 代わりは。
名 キーサーバーとして。 これがそのサーバーです --recv キー, --キーの送信,
--検索キー と通信して、キーを受信したり、キーを送信したり、検索したりします
キーオン用。 のフォーマット 名 は URI: `scheme:[//]keyservername[:port]'
スキームはキーサーバーのタイプです。HTTP (または互換性のある) キーサーバーの場合は「hkp」、
LDAP キーサーバーの場合は「ldap」、Graff 電子メールキーサーバーの場合は「mailto」。 ノート
特定の GnuPG インストール環境では、他のタイプのキーサーバーが利用可能である可能性があります。
同じように。 キーサーバー スキームでは大文字と小文字が区別されません。 キーサーバー名の後に、オプションで
キーサーバー構成オプションが提供される場合があります。 これらはグローバルと同じです
--キーサーバーオプション 以下から説明しますが、この特定のキーサーバーにのみ適用されます。
ほとんどのキーサーバーは相互に同期するため、通常は送信する必要はありません。
複数のサーバーへのキー。 キーサーバー hkp://keys.gnupg.net ラウンドロビンを使用します
DNS を使用すると、使用するたびに異なるキーサーバーが提供されます。
--キーサーバーオプション 名前=値
これは、キーサーバーのオプションを与えるスペースまたはカンマ区切りの文字列です。
オプションの前に「no-」を付けると、逆の意味を与えることができます。 有効なインポート-
ここでもオプションまたはエクスポート オプションを使用して、インポートに適用できます (--受信-
キー) またはエクスポート (--送信キー) キーサーバーからのキー。 すべてのオプションがそうであるわけではありませんが、
すべてのキーサーバー タイプで使用できます。一般的なオプションは次のとおりです。
取り消しを含む
キーを検索する場合 --検索キーにマークされているキーが含まれます。
キーサーバーが取り消されました。 すべてのキーサーバーがこれらを区別するわけではないことに注意してください。
取り消されたキーと取り消されていないキー、およびそのようなキーサーバーの場合、このオプションは
意味のない。 ほとんどのキーサーバーには暗号化機能がないことにも注意してください。
キーの取り消しを検証するため、このオプションをオフにすると、
誤って取り消しとしてマークされたキーをスキップする場合。
無効を含む
キーを検索する場合 --検索キーにマークされているキーが含まれます。
キーサーバーが無効になっています。 このオプションは HKP では使用されないことに注意してください。
キーサーバー。
自動キー取得
このオプションは、次の場合にキーサーバーからのキーの自動取得を有効にします。
ローカルのキーリングにないキーによって作成された署名を検証します。
このオプションにより、「Web バグ」のような動作が可能になることに注意してください。 キーサーバー
オペレーターは、あなたが要求した鍵を確認できるため、署名されたメッセージを送信することで、
真新しいキーによる (当然、ローカルにはありません)
キーリング)、オペレーターはあなたの IP アドレスと時刻の両方を伝えることができます。
署名を確認しました。
名誉キーサーバー URL
使用時 --リフレッシュキー、問題のキーに優先キーサーバーがある場合
URL を入力し、その優先キーサーバーを使用してキーを更新します。 加えて、
auto-key-retrieve が設定されており、検証される署名に
優先キーサーバーの URL を指定し、その優先キーサーバーを使用してキーを取得します
から。 このオプションは「Web バグ」を導入することに注意してください: キーの作成者
キーがいつ更新されるかを確認できます。 したがって、このオプションは
デフォルト。
名誉-pka-記録
auto-key-retrieve が設定されており、検証中の署名に PKA がある場合
記録し、PKA 情報を使用してキーを取得します。 デフォルトは「はい」です。
サブキーを含める
キーを受信するときは、潜在的なターゲットとしてサブキーを含めます。 これに注意してください
このオプションは、HKP キーサーバーでは取得がサポートされていないため、使用されません。
サブキー ID によるキー。
タイムアウト
キーサーバーヘルパープログラムに、実行を試行する時間 (秒単位) を指示します。
諦める前にキーサーバーのアクションを実行してください。 で複数のアクションを実行することに注意してください。
同時に、アクションごとにこのタイムアウト値が使用されます。 たとえば、次のようなとき
複数のキーを取得する --recv キー、タイムアウトは個別に適用されます
各キーの取得ではなく、 --recv キー コマンド全体として。 デフォルト
30秒まで。
http-プロキシ=値
このオプションは非推奨です。 HTTP と HKP に使用するプロキシを設定する
キーサーバー。 これは、' で定義されたすべてのプロキシをオーバーライドします。dirmngr.conf'。
詳細
GnuPG 2.1 以降、このオプションには機能がありません。 使用 暗い
代わりに構成オプション。
debug GnuPG 2.1 以降、このオプションには機能がありません。 使用 暗い
代わりに構成オプション。
チェック証明書
GnuPG 2.1 以降、このオプションには機能がありません。 使用 暗い
代わりに構成オプション。
ca 証明書ファイル
GnuPG 2.1 以降、このオプションには機能がありません。 使用 暗い
代わりに構成オプション。
--完了-必要 n
新しい鍵署名者を紹介する完全に信頼されたユーザーの数 (デフォルトは 1)。
--余白が必要 n
新しい鍵署名者を紹介する、わずかに信頼できるユーザーの数 (デフォルトは 3)
--tofu-デフォルト-ポリシー 自動|良い|不明|悪い|尋ねる
デフォルトの TOFU ポリシー (デフォルトは オート)。 意味の詳細については
このオプションについては、[trust-model-tofu] を参照してください。
--tofu-db-format 自動|分割|フラット
TOFU DBのフォーマット。
分割ファイル形式は、データを複数の DB に分割します。 豆腐d ディレクトリにジョブを開始します。
(電子メール アドレスごとに XNUMX つ、キーごとに XNUMX つ)。 これにより、自動化が容易になります。
Unison などのツールを使用してデータを同期する
(https://www.cis.upenn.edu/~bcpierce/unison/)、個々のファイルが変更されるため
めったに。
フラット ファイル形式では、すべてのデータが XNUMX つのファイルに保持されます。 豆腐.db。 このフォーマット
パフォーマンスが向上します。
auto (デフォルト) に設定すると、GnuPG は最初に
豆腐d および 豆腐.db. これらのいずれかが存在する場合は、対応する形式が使用されます。 もしも
これらのどちらも存在しないか、両方とも存在しない場合、GnuPG はデフォルトで split フォーマット。 の中に
後者の場合、警告が発行されます。
--最大証明書の深さ n
認証チェーンの最大の深さ (デフォルトは 5)。
--no-sig-キャッシュ
調号の検証ステータスをキャッシュしません。 キャッシングは多くのことをもたらします
主要なリストのパフォーマンスが向上します。 ただし、公共の場で疑わしい場合は、
キーリングは書き込み変更に対して保存されません。このオプションを使用して無効にすることができます
キャッシング。 おそらく無効にするのは意味がありません。
他の誰かが公開キーリングへの書き込みアクセス権を持っている場合、損害が発生する可能性があります。
--auto-check-trustdb
--no-auto-check-trustdb
GnuPG が Web of Trust に関する情報を更新する必要があると感じた場合、
を自動的に実行します --check-trustdb 内部的にコマンドを実行します。 こんな時期かもしれない
消費するプロセス。 --no-auto-check-trustdb このオプションを無効にします。
--使用エージェント
--使用しないエージェント
これはダミーオプションです。 GPG2 常にエージェントが必要です。
--gpg-エージェント情報
これはダミーオプションです。 併用しても効果なし GPG2.
--エージェントプログラム file
秘密鍵の操作に使用するエージェントプログラムを指定します。 デフォルト値
実行することによって決定されます gpgconf オプション付き --list-dirs. パイプに注意してください
シンボル(|) は回帰テスト スイートのハックに使用されるため、
ファイル名。
--dirmngr-プログラム file
キーサーバー アクセスに使用する dirmngr プログラムを指定します。 デフォルト値は
'/usr/bin/dirmngr'。 これは、環境変数が次の場合にフォールバックとしてのみ使用されます。
DIRMNGR_INFO が設定されていないか、実行中の dirmngr に接続できません。
--自動起動なし
gpg-agent または dirmngr がまだ起動していない場合は、起動しないでください。
サービスが必要です。 このオプションは主に、接続が確立されているマシンで役立ちます。
gpg-agent へのファイルは別のマシンにリダイレクトされました。 dirmngr が必要な場合
リモート マシンは、次を使用して手動で起動できます。 gpgconf - 発売 暗い.
--ロックワンス
初めてロックが要求されたときにデータベースをロックし、ロックを解放しない
プロセスが終了するまで。
--ロック複数
ロックが不要になるたびにロックを解放します。 これを使用して、
前 --ロックワンス 構成ファイルから。
--ロックしない
ロックを完全に無効にします。 このオプションは非常に特殊な場合にのみ使用してください。
XNUMX つのプロセスだけがそれらにアクセスしていることが保証できる環境
ファイル。 スタンドアロンの暗号化システムを備えた起動可能なフロッピーは、おそらく次のものを使用します。
これ。 このオプションを不適切に使用すると、データやキーの破損が発生する可能性があります。
--ステータス書き込みエラーで終了
このオプションを選択すると、ステータス FD に書き込みエラーが発生し、ステータス FD が即座に終了します。
プロセス。 実際にはこれがデフォルトであるはずですが、このようには機能しなかったため、
変更によってアプリケーションが中断されないように、これを有効にするオプションが必要です。
ステータス fd に接続されたパイプの終端を閉じるのが早すぎます。 このオプションを併用すると、
--進行状況フィルターを有効にする 長時間実行されている GPG を完全にキャンセルするために使用できます。
操作。
--カード挿入試行回数を制限する n
n 0 より大きい場合、スマートカードの挿入を求めるプロンプトの数が取得されます。
N-1限定。 したがって、値が 1 gpg の場合、次の場合にはカードの挿入を要求しません。
起動時に何も挿入されていません。 このオプションは構成ファイルで便利です
アプリケーションがスマートカードのサポートを認識せず、広告を待機する場合
挿入されたカードは無限に続きます。
--no-ランダムシードファイル
GnuPG はファイルを使用して、呼び出し全体の内部ランダム プールを保存します。 これにより、
ランダム生成が高速化。 ただし、書き込み操作が望ましくない場合もあります。 これ
オプションを使用すると、ランダム生成が遅くなりますが、これを実現できます。
--挨拶なし
最初の著作権メッセージを抑制します。
--no-secem-warning
「安全でないメモリの使用」に関する警告を抑制します。
--許可なし警告
安全でないファイルとホームディレクトリに関する警告を抑制します (--homedir) 権限。
GnuPG が実行する権限チェックは、
権威がありますが、むしろ特定の共通の許可について警告しているだけです
問題。 警告がないからといって、システムが故障しているとは考えないでください。
安全です。
危険な警告が表示されることに注意してください --homedir 権限を抑制することはできません
gpg.conf ファイル。これにより、攻撃者が安全でない gpg.conf ファイルを配置できるようになります。
を配置し、このファイルを使用してそれ自体に関する警告を抑制します。 の --homedir
権限の警告はコマンド ラインでのみ抑制できます。
--no-mdc-warning
MDC 整合性保護が欠落していることに関する警告を抑制します。
--require-secmem
--no-require-secmem
GnuPG が安全なメモリを取得できない場合は実行を拒否します。 デフォルトは no (つまり、実行しますが、与えます)
警告)。
--相互認証が必要
--相互認証不要
サブキーから作成された署名を検証するときは、相互認証が行われていることを確認してください。
サブキーの「バック署名」は存在し、有効です。 これにより、
署名可能なサブキーに対する巧妙な攻撃。 デフォルトは --クロスが必要-
プロフェッショナル認定 for GPG2.
- エキスパート
--専門家なし
有効期限切れの署名に署名するなど、特定の無意味または「愚かな」ことをユーザーに許可します。
または取り消されたキー、または異常な生成などの特定の潜在的に互換性のないもの
キーの種類。 これにより、潜在的な問題に関する特定の警告メッセージも無効になります。
互換性のないアクション。 名前が示すように、このオプションは専門家のみを対象としています。 もし、あんたが
これで何ができるようになるのかが完全に理解できていない場合は、このままにしておきます
オフ。 --専門家なし このオプションを無効にします。
キー 関連する オプション
--受信者 名
-r ユーザーIDの暗号化 名。 このオプションまたは --非表示の受信者 指定されていません、
GnuPG は、次の場合を除き、ユーザー ID を要求します。 --デフォルトの受信者 与えられます。
--非表示の受信者 名
-R ユーザーIDの暗号化 名ただし、このユーザーのキーのキー ID は非表示になります。 このオプションは役に立ちます
メッセージの受信者を隠すためのものであり、トラフィックに対する限定的な対策です
分析。 このオプションまたは --受信者 が指定されていない場合、GnuPG はユーザーを要求します
ID を除く --デフォルトの受信者 与えられます。
--暗号化先 名
と同じ --受信者 ただし、これはオプション ファイルで使用することを目的としており、
自分自身のユーザー ID とともに「encrypt-to-self」として使用されます。 これらのキーは次の場合にのみ使用されます。
のいずれかを使用して指定された他の受信者がいます --受信者 または質問されたユーザーによって
ID。 これらのユーザー ID に対しては信頼性チェックは実行されず、無効なキーでも信頼性チェックは実行されません。
利用される。
--hidden-encrypt-to 名
と同じ --非表示の受信者 ただし、これはオプション ファイルで使用することを目的としています。
自分自身のユーザー ID とともに、非表示の「自分自身への暗号化」として使用できます。 これらのキーは
のいずれかを使用して他の受信者が指定されている場合にのみ使用されます。 --受信者 または
尋ねられたユーザーID。 これらのユーザー ID に対しては信頼性チェックは実行されません。
無効化されたキーを使用できます。
--デフォルトキーへの暗号化
デフォルトの秘密鍵が --デフォルトキー、次にそれにも暗号化します
キー。
--no-encrypt-to
すべての使用を無効にする --暗号化先 および --hidden-encrypt-to キー。
- グループ 名前=値1
電子メール プログラムのエイリアスに似た、名前付きグループを設定します。 いつでも
グループ名は受信者です (-r or --受信者)、値に展開されます。
指定。 同じ名前の複数のグループは自動的に XNUMX つのグループにマージされます。
単一のグループ。
値は キー IDが または指紋ですが、あらゆるキーの説明が受け入れられます。 ノート
スペースが含まれる値は XNUMX つの異なる値として扱われるということです。 こちらにも注意してください
展開のレベルは XNUMX つだけです。
別のグループ。 コマンドラインから使用する場合は、引用符で囲む必要がある場合があります。
シェルがそれを複数として扱うのを防ぐための、このオプションへの引数
引数
--グループ解除 名
指定されたエントリを - グループ リスト。
-グループなし
からすべてのエントリを削除します。 - グループ リスト。
--ローカルユーザー 名
-u 名 署名に使用するキーとして。 このオプションはオーバーライドされることに注意してください --デフォルトキー.
--秘密キーを試す 名
非表示の受信者の場合、GPG は試用復号化に使用するキーを知る必要があります。 の
キーセット --デフォルトキー 常に最初に試行されますが、多くの場合、これでは十分ではありません。
このオプションを使用すると、試験的な復号化に使用するキーをさらに設定できます。 どんなに
有効なユーザー ID 仕様を使用できます 名 少なくとも
あいまいさを避けるために長いキー ID。 gpg-agent は、
試用復号化を行うための多くのキー。 今後のトライアルをすべて中止したい場合
復号化には、キャンセル ボタンの代わりにウィンドウを閉じるボタンを使用できます。
--すべてのシークレットを試す
メッセージに保存されているキー ID を確認せずに、すべての秘密キーを順番に試してください。
適切な復号化キーを見つけるために。 このオプションは、で使用される動作を強制します。
匿名受信者 (次を使用して作成) --throw-keyids or --非表示の受信者)と
暗号化されたメッセージに偽のキー ID が含まれている場合に便利です。
--非表示の受信者をスキップ
--no-skip-hidden-recipients
復号化中に、すべての匿名受信者をスキップします。 このオプションは次のような場合に役立ちます
人々は非表示の受信者機能を使用して、独自の暗号化先キーを非表示にします。
その他。 自分自身が多数の秘密鍵を持っている場合、これは大きな迷惑につながる可能性があります。
すべてのキーは、実際には意図されていないものを復号化するために順番に試行されます
それ。 このオプションの欠点は、現時点では暗号化を解除できないことです。
実際の匿名受信者を含むメッセージ。
入力 および 出力
- 鎧
-a ASCII アーマード出力を作成します。 デフォルトでは、バイナリ OpenPGP 形式が作成されます。
--鎧なし
入力データが ASCII アーマード形式ではないと仮定します。
- 出力 file
-o file
出力をに書き込む file.
--最大出力 n
このオプションは、次の場合に生成されるバイト数の制限を設定します。
ファイルを処理しています。 OpenPGP はさまざまなレベルの圧縮をサポートしているため、
特定のメッセージの平文が、
オリジナルの OpenPGP メッセージ。 GnuPG はそのようなメッセージに対して適切に動作しますが、
多くの場合、処理前に生成される最大ファイル サイズを設定したいと考えられます。
OSの制限により強制停止されます。 デフォルトは 0 で、これは「制限なし」を意味します。
--インポートオプション パラメータ
これは、キーをインポートするためのオプションを提供するスペースまたはカンマ区切りの文字列です。
オプションの先頭に「no-」を付けると、反対の意味を与えることができます。 オプション
には次の値があります:
インポートローカル署名
「ローカル」としてマークされた調号のインポートを許可します。 これは一般的にはありません
共有キーリング スキームが使用されていない限り便利です。 デフォルトは「いいえ」です。
キープ所有者信頼
通常、キーのまだ存在する可能性のある ownertrust 値は、次の場合にクリアされます。
キーがインポートされます。 これは一般に望ましいことで、以前に削除された
キーは、単にインポートしただけでは、ownertrust 値を自動的に取得しません。
一方で、信頼できるセットを再インポートする必要がある場合があります。
キーを再度作成しますが、すでに割り当てられている ownertrust 値は保持されます。 これは可能です
このオプションを使用することで実現できます。
修復-pks-サブキー-バグ
インポート中に、PKS キーサーバーのバグによって引き起こされた損傷の修復を試みます
(バージョン 0.9.6 より前) 複数のサブキーを含むキーをマングルします。 これに注意してください
一部の重要なデータが削除されるため、破損したキーを完全に修復することはできません。
キーサーバーですが、少なくとも XNUMX つのサブキーが返されます。 デフォルトは「いいえ」です
通常の場合 - 輸入 キーサーバーの場合は「はい」にします --recv キー.
マージのみ
インポート中、既存のキーに対するキーの更新は許可されますが、新しいキーは許可されません。
インポートするキー。 デフォルトは「いいえ」です。
インポートクリーン
インポート後、圧縮(自己署名を除くすべての署名を削除)します。
新しいキーからのユーザー ID は使用できなくなります。 次に、署名を削除します
新しいキーからは使用できなくなります。 これには、
キーリングに存在しないキーによって発行されたもの。 このオプションも同じです
を実行しながら --編集キー インポート後に「clean」コマンドを実行します。 デフォルトは「いいえ」です。
インポート最小限
可能な限り最小のキーをインポートします。 これにより、
各ユーザー ID の最新の自己署名。 このオプションは次と同じです
実行中 --編集キー インポート後に「最小化」コマンドを実行します。 デフォルトは「いいえ」です。
--エクスポートオプション パラメータ
これは、キーをエクスポートするためのオプションを提供するスペースまたはカンマ区切りの文字列です。
オプションの先頭に「no-」を付けると、反対の意味を与えることができます。 オプション
には次の値があります:
エクスポートローカル署名
「ローカル」としてマークされた調号のエクスポートを許可します。 これは一般的にはありません
共有キーリング スキームが使用されていない限り便利です。 デフォルトは「いいえ」です。
エクスポート属性
エクスポート時に属性ユーザー ID (写真 ID) を含めます。 これは次のような場合に便利です
キーをエクスポートしない OpenPGP プログラムで使用する場合は、キーをエクスポートします。
属性のユーザー ID を受け入れます。 デフォルトは「はい」です。
エクスポートに依存する Revkey
「機密」としてマークされた、指定された取り消し者の情報を含めます。
デフォルトはnoです。
エクスポートクリーン
次の場合は、エクスポートされるキーのユーザー ID を圧縮します (すべての署名を削除します)。
ユーザーIDは使用できません。 また、そうでない署名はエクスポートしないでください。
使える。 これには、そうでない鍵によって発行された署名が含まれます。
キーホルダーに存在します。 このオプションは、 --編集キー
エクスポート前に「clean」コマンドを実行してください。ただし、キーのローカルコピーは保存されていません。
変更されました。 デフォルトは「いいえ」です。
エクスポート最小限
可能な限り最小のキーをエクスポートします。 これにより、
各ユーザー ID の最新の自己署名。 このオプションは次と同じです
実行中 --編集キー エクスポートの前にコマンド「minimize」を実行します。
キーのローカル コピーは変更されません。 デフォルトは「いいえ」です。
--コロン付き
コロンで区切られたキーのリストを出力します。 出力は次のようにエンコードされることに注意してください。
UTF-8 に関係なく --表示文字セット 設定。 この形式は、GnuPG の場合に便利です。
機械で簡単に解析できるため、スクリプトや他のプログラムから呼び出されます。 の
この形式の詳細は、ファイル「」に文書化されています。ドキュメント/詳細'が含まれています
GnuPG ソース配布にあります。
--print-pka-records
list コマンドの出力を変更して、入力に適した PKA レコードを出力します。
DNS ゾーン ファイル。 転用を可能にするために、各レコードの前に ORIGIN 行が出力されます。
レコードを対応するゾーン ファイルに追加します。
--print-dane-records
list コマンドの出力を変更して、以下に適した OpenPGP DANE レコードを出力します。
DNSゾーンファイルに入れます。 各レコードの前に ORIGIN 行が出力されます。
レコードを対応するゾーン ファイルに転送します。
--固定リストモード
プライマリ ユーザー ID とプライマリ キーをマージしないでください。 --コロン付き リストモードと印刷
すべてのタイムスタンプは 1970 年 01 月 01 日からの秒数です。 GnuPG 2.0.10 以降、このモードは
常に使用されるため、このオプションは廃止されました。 使用しても問題ありません。
--レガシーリストモード
2.1 より前の公開鍵リスト モードに戻します。 これは人間が読める形式にのみ影響します
出力であり、マシン インターフェイスではありません (つまり、 --コロン付き)。 レガシーに注意してください
形式では、楕円曲線に適した情報を伝えることができません。
--指紋付き
コマンドと同じ - 指紋 ただし、変更されるのは出力の形式のみであり、
別のコマンドと一緒に使用できます。
--icao-スペル付き
XNUMX 進数に加えて指紋の ICAO スペルを出力します。
--キーグリップ付き
キーリストにキーグリップを含めます。
--シークレット付き
公開鍵リストに秘密鍵の存在に関する情報を含めます。
--コロン付き.
OpenPGP 特定の オプション。
-NS、 --テキストモード
--no-textmode
入力ファイルをテキストとして扱い、OpenPGP の標準テキスト形式で保存します。
標準の「CRLF」行末。 これにより、通知するために必要なフラグも設定されます。
暗号化または署名されたデータがテキストであり、改行が必要な場合があることを受信者に伝えます。
ローカル システムが使用するものに変換されて戻されます。 このオプションは次の場合に役立ちます。
改行規則が異なる XNUMX つのプラットフォーム間で通信する
(UNIX のようなものを Mac に、Mac を Windows に、など)。 --no-textmode このオプションを無効にすると、
デフォルト。
--force-v3-sigs
--no-force-v3-sigs
--force-v4-certs
--no-force-v4-certs
これらのオプションは廃止され、GnuPG 2.1 以降は効果がありません。
--force-mdc
改ざん検出コードによる暗号化の使用を強制します。 これは常に使用されます
新しい暗号 (ブロックサイズが 64 ビットを超える暗号) を使用するか、すべての暗号が
受信者キーは、機能フラグで MDC サポートを示します。
--disable-mdc
改造検知コードの使用を無効にします。 このオプションを使用すると、
暗号化されたメッセージはメッセージ変更攻撃に対して脆弱になります。
--個人暗号設定 文字列
個人の暗号設定のリストを次のように設定します。 文字列。 使用 GPG2 - バージョン 取得するため
利用可能なアルゴリズムのリストと使用方法 なし 優先順位をまったく設定しないこと。 これ
ユーザーは、受信者のキーによって選択されたアルゴリズムを安全にオーバーライドできます。
GPG はすべての受信者が使用できるアルゴリズムのみを選択するためです。
このリストで最もランクの高い暗号は、 -対称
暗号化コマンド。
--個人的なダイジェスト設定 文字列
個人的なダイジェスト設定のリストを次のように設定します。 文字列。 使用 GPG2 - バージョン 取得するため
利用可能なアルゴリズムのリストと使用方法 なし 優先順位をまったく設定しないこと。 これ
ユーザーは、受信者のキーによって選択されたアルゴリズムを安全にオーバーライドできます。
GPG はすべての受信者が使用できるアルゴリズムのみを選択するためです。
このリストで最も上位にランク付けされたダイジェスト アルゴリズムは、署名時にも使用されます。
暗号化なし (例: --クリアサイン or - サイン).
--個人圧縮設定 文字列
個人の圧縮設定のリストを次のように設定します。 文字列。 使用 GPG2 - バージョン 〜へ
利用可能なアルゴリズムのリストを取得し、使用します なし 優先順位をまったく設定しないこと。 これ
ユーザーは、受信者のキーによって選択されたアルゴリズムを安全にオーバーライドできます。
GPG はすべての受信者が使用できるアルゴリズムのみを選択するためです。
このリストで最も高くランク付けされた圧縮アルゴリズムは、次の場合にも使用されます。
考慮すべき受信者キーがない (例: -対称).
--s2k-暗号アルゴリズム 名
名 パスフレーズを使用した対称暗号化の暗号アルゴリズムとして
--個人暗号設定 および --暗号アルゴリズム 与えられません。 デフォルトは
AES-128。
--s2k-ダイジェストアルゴリズム 名
名 対称のパスフレーズをマングルするために使用されるダイジェスト アルゴリズムとして
暗号化。 デフォルトは SHA-1 です。
--s2k-モード n
対称暗号化のパスフレーズをマングルする方法を選択します。 もしも n 0はプレーンです
パスフレーズ (一般的には推奨されません) が使用され、1 はソルトを追加します
(これは使用しないでください) をパスフレーズに追加し、3 (デフォルト) を指定すると、
プロセス全体を何度も(参照 --s2k-カウント).
--s2k-カウント n
対称暗号化のパスフレーズ マングリングの回数を指定します。
繰り返した。 この値の範囲は 1024 から 65011712 までです。 デフォルト
gpg-agent から問い合わせます。 すべての値が 1024 ~ 65011712 の範囲にあるわけではないことに注意してください。
は正当であり、不正な値が選択された場合、GnuPG は最も近い値に切り上げます
法的価値。 このオプションは、次の場合にのみ意味があります。 --s2k-モード のデフォルトに設定されています
3.
コンプライアンス オプション
これらのオプションは、GnuPG が何に準拠しているかを制御します。 これらのオプションのうち XNUMX つだけをアクティブにできます
一度に。 このデフォルト設定は、ほぼ常に正しい設定であることに注意してください。 を参照してください。
これらのいずれかを使用する前に、以下の「他の OPENPGP プログラムとの相互運用性」セクションを参照してください。
オプション。
--gnupg
標準の GnuPG 動作を使用します。 これは本質的に OpenPGP の動作です (「 --openpgp),
ただし、さまざまな環境での一般的な互換性問題に対する追加の回避策がいくつかあります。
PGP のバージョン。 これはデフォルトのオプションなので、通常は必要ありませんが、
gpg.conf ファイル内の別のコンプライアンス オプションをオーバーライドするのに役立つ場合があります。
--openpgp
すべてのパケット、暗号、およびダイジェストのオプションを厳密な OpenPGP 動作にリセットします。 これを使って
以前のオプションをすべてリセットするオプション --s2k-*, --暗号アルゴリズム, --ダイジェストアルゴリズム および
--圧縮アルゴリズム OpenPGP 準拠の値に変更します。 すべての PGP 回避策は無効になります。
--rfc4880
すべてのパケット、暗号、およびダイジェストのオプションを厳密な RFC-4880 の動作にリセットします。 ご了承ください
これは現在と同じことです --openpgp.
--rfc2440
すべてのパケット、暗号、およびダイジェストのオプションを厳密な RFC-2440 の動作にリセットします。
--pgp6 すべてのオプションを可能な限り PGP 6 に準拠するように設定します。 これにより、次のことが制限されます。
暗号 IDEA (IDEA プラグインがインストールされている場合)、3DES、および CAST5、ハッシュ MD5、
SHA1 と RIPEMD160、圧縮アルゴリズムは none と ZIP。 これも無効化します
--throw-keyids、および PGP 6 では署名サブキーを使用して署名を作成しない
サブキーに署名することによって作成された署名を理解します。
このオプションは、 --disable-mdc -- 行からのエスケープ.
--pgp7 すべてのオプションを可能な限り PGP 7 に準拠するように設定します。 これは次と同じです
--pgp6 ただし、MDC は無効になっておらず、許可される暗号のリストは次のとおりです。
AES128、AES192、AES256、および TWOFISH を追加するために拡張されました。
--pgp8 すべてのオプションを可能な限り PGP 8 に準拠するように設定します。 PGP 8 はそれにかなり近づいています
以前のバージョンの PGP よりも OpenPGP 標準であるため、無効にするだけです。
--throw-keyids 設定 -- 行からのエスケープ。 以下を除くすべてのアルゴリズムが許可されます。
SHA224、SHA384、および SHA512 ダイジェスト。
実行 物事 XNUMXつ 通常 しない 欲しいです 〜へ 行う。
-n
-ドライラン
変更を加えないでください (これは完全には実装されていません)。
--リストのみ
一部のコマンドの動作を変更します。 これは次のようなものです -ドライラン しかし違うのは
ある場合。 このコマンドのセマンティクスは将来拡張される可能性があります。 現在
実際の復号化パスのみをスキップするため、
暗号化キー。
-i
- 相互の作用
ファイルを上書きする前にプロンプトを表示します。
-デバッグレベル レベル
問題を調査するためのデバッグ レベルを選択します。 レベル 数値または
キーワードで:
なし デバッグはまったくありません。 1 未満の値を代わりに使用することもできます。
キーワード。
基本 いくつかの基本的なデバッグ メッセージ。 代わりに 1 ~ 2 の値を使用できます。
キーワード。
高度な
より詳細なデバッグ メッセージ。 代わりに 3 ~ 5 の値を使用できます。
キーワード。
エキスパート さらに詳しいメッセージも。 代わりに 6 ~ 8 の値を使用できます。
キーワード。
グル 取得できるすべてのデバッグ メッセージ。 8 より大きい値を使用することもできます
キーワードの代わりに。 ハッシュ トレース ファイルの作成のみが有効になります
キーワードが使用されている場合。
これらのメッセージが実際のデバッグ フラグにどのようにマップされるかは指定されておらず、
このプログラムの新しいリリースでは変更されます。 ただし、それらは最良のものを慎重に選択されています
デバッグに役立ちます。
- デバッグ フラグ
デバッグフラグを設定します。 すべてのフラグは論理和演算され、 フラグ C 構文で指定できます (例:
0x0042) またはフラグ名のコンマ区切りリストとして。 サポートされているすべてのリストを取得するには
単一の単語「ヘルプ」を使用できることを示します。
--debug-all
便利なデバッグ フラグをすべて設定します。
--debug-iolbf
stdout を行バッファー モードに設定します。 このオプションは、
コマンドライン。
--偽のシステム時間 時代
このオプションはテストの場合にのみ役立ちます。 システム時刻を前後に設定します。
時代 これは、1970 年から経過した秒数です。
時代 完全な ISO 時刻文字列 (例: "20070924T154812") として指定できます。
--進行状況フィルターを有効にする
特定の PROGRESS ステータス出力を有効にします。 このオプションを使用すると、フロントエンドで
gpg が大きなファイルを処理している間の進行状況インジケーター。 わずかにあります
それを使用するとパフォーマンスのオーバーヘッドが発生します。
--ステータス-fd n
特別なステータス文字列をファイル記述子に書き込む n。 ファイルの詳細を参照してください。
それらのリストに関するドキュメント。
--ステータスファイル file
と同じ --ステータス-fdただし、ステータスデータがファイルに書き込まれる場合を除きます。 file.
--logger-fd n
ログ出力をファイル記述子に書き込む n STDERRではありません。
-ログファイル file
--ロガーファイル file
と同じ --logger-fdただし、ロガーデータがファイルに書き込まれる場合を除きます。 file。 ご了承ください
-ログファイル は GnuPG-2 に対してのみ実装されています。
--属性-fd n
属性サブパケットをファイル記述子に書き込みます n。 これが一番使いやすいです
--ステータス-fdステータス メッセージはさまざまなメッセージを区別するために必要であるため、
ファイル記述子に配信されるストリームからのサブパケット。
--属性ファイル file
と同じ --属性-fdただし、属性データがファイルに書き込まれる場合を除きます。 file.
- コメント 文字列
- コメントはありません
文字列 クリア テキスト署名および ASCII アーマード メッセージのコメント文字列として
またはキー(を参照) - 鎧)。 デフォルトの動作では、コメント文字列は使用されません。
- コメント 複数のコメント文字列を取得するために複数回繰り返すことができます。 - 番号-
注釈 すべてのコメントを削除します。 XNUMXつの長さを維持することをお勧めします
コメントは 60 文字未満にしてください。これは、メール プログラムのラップの問題を避けるためです。
線。 コメント行は、他のすべてのヘッダー行と同様、によって保護されないことに注意してください。
サイン。
--発行バージョン
--no-emit-version
ASCII アーマード出力にバージョン文字列を強制的に含めます。 XNUMX回だけ与えた場合
プログラムの名前とメジャー番号が出力されます (デフォルト)。
マイナーも出力され、トリプルが追加されると、クワッドが動作します。
システム識別情報も出力されます。 --no-emit-version バージョンを無効にします
ライン。
--署名表記 名前=値
--証明書表記 名前=値
-NS、 --set-notation 名前=値
名前と値のペアを表記データとして署名に組み込みます。 名 構成されなければなりません
印刷可能な文字またはスペースのみで構成され、先頭に「@」文字が含まれている必要があります。
フォーム keyname@domain.example.com (適切なキー名とドメインを置き換えます)
もちろん名前です)。 これは、IETF 予約表記の汚染を防ぐためです。
名前空間。 NS - エキスパート フラグは「@」チェックをオーバーライドします。 値 印刷可能なものであれば何でもよい
弦; UTF8 でエンコードされるため、 --表示文字セット
正しく設定されています。 接頭辞を付けると 名 感嘆符 (!) が付いている表記
データにはクリティカルとしてフラグが立てられます (rfc4880:5.2.3.16)。 --署名表記 表記法を設定します
データ署名用。 --証明書表記 調号の記法を設定します
(証明書)。 --set-notation 両方を設定します。
表記名には特殊なコードが使用されます。 「%k」は展開されます
署名される鍵の鍵 ID に「%K」を署名される鍵の長い鍵 ID に
署名済みのキーのフィンガープリントに「%f」、キー ID に「%s」を入力
署名を作成するキー、「%S」を、署名を作成するキーの長いキー ID に置き換えます。
署名、「%g」をキーのフィンガープリントに挿入して署名を作成します (これは
サブキーである必要があります)、「%p」をキーの主キーのフィンガープリントに挿入します。
署名、「%c」を OpenPGP スマートカードからの署名カウントに、「%%」を
結果は単一の「%」になります。 %k、%K、%f はキーを作成する場合にのみ意味を持ちます。
署名 (証明書)、%c は OpenPGP を使用する場合にのみ意味を持ちます。
スマートカード。
--sig-policy-url 文字列
--cert-policy-url 文字列
--set-policy-url 文字列
文字列 署名のポリシー URL として (rfc4880:5.2.3.20)。 接頭辞を付けると
感嘆符 (!) を付けると、ポリシー URL パケットにクリティカルのフラグが立てられます。
--sig-policy-url データ署名のポリシー URL を設定します。 --cert-policy-url を設定します
鍵署名 (証明書) のポリシー URL。 --set-policy-url 両方を設定します。
表記データに使用されるのと同じ %-expandos がここでも使用できます。
--sig-keyserver-url 文字列
文字列 データ署名の優先キーサーバー URL として。 接頭辞を付けた場合
感嘆符 (!) を付けると、キーサーバー URL パケットにクリティカルのフラグが立てられます。
表記データに使用されるのと同じ %-expandos がここでも使用できます。
--set-ファイル名 文字列
文字列 メッセージ内に保存されるファイル名として。 これは、
デフォルトでは、暗号化されるファイルの実際のファイル名が使用されます。 使用する
の空の文字列 文字列 出力からファイル名を効果的に削除します。
- あなたの目だけに
-- 目に見えるだけでいいです
メッセージに「目に見えるだけ」フラグを設定します。 これにより、GnuPG は次のことを拒否します。
そうでない場合はファイルを保存します。 - 出力 オプションが指定されており、PGP は「安全なビューア」を使用します
メッセージを表示するには、テンペスト耐性を主張するフォントを使用します。 このオプションはオーバーライドします
--set-ファイル名. -- 目に見えるだけでいいです このオプションを無効にします。
--use-embedded-filename
--使用しない埋め込みファイル名
データに埋め込まれた名前でファイルを作成してみてください。 これは危険な場合があります
ファイルの上書きを許可するオプションです。 デフォルトは「いいえ」です。
--暗号アルゴリズム 名
名 暗号アルゴリズムとして。 コマンドでプログラムを実行する - バージョン 収量
サポートされているアルゴリズムのリスト。 これを使用しない場合、暗号アルゴリズムは次のようになります。
キーとともに保存された設定から選択されます。 一般に、そうしたくないのは、
OpenPGP 標準に違反する可能性があるため、このオプションを使用してください。 - 個人的-
暗号設定 同じことを達成する安全な方法です。
--ダイジェストアルゴリズム 名
名 メッセージダイジェストアルゴリズムとして。 コマンドでプログラムを実行する
- バージョン サポートされているアルゴリズムのリストが表示されます。 一般に、使用したくないのは、
このオプションを使用すると、OpenPGP 標準に違反する可能性があるためです。 --個人的なダイジェスト-
プ 同じことを達成する安全な方法です。
--圧縮アルゴリズム 名
圧縮アルゴリズムを使用する 名。 「zlib」は RFC-1950 ZLIB 圧縮です。 「ジップ」は
PGP で使用される RFC-1951 ZIP 圧縮。 「bzip2」はより現代的なものです
いくつかのものを zip や zlib よりも圧縮できる圧縮スキームですが、
圧縮および解凍中に使用されるメモリのコストが増加します。 「非圧縮」
または「なし」は圧縮を無効にします。 このオプションが使用されない場合、デフォルトの動作は次のようになります。
受信者のキー設定を調べて、受信者がどのアルゴリズムを使用しているかを確認します。
サポートします。 他のすべてが失敗した場合は、互換性を最大限に高めるために ZIP が使用されます。
ZLIB は、圧縮ウィンドウ サイズが大きいため、ZIP よりも優れた圧縮結果が得られる可能性があります。
8kに限定されません。 BZIP2 はそれよりもさらに優れた圧縮結果をもたらす可能性がありますが、
圧縮中にかなり大量のメモリが使用されます。
解凍中。 これは、メモリが少ない状況では重要になる可能性があります。 ただし、注意してください。
PGP (すべてのバージョン) は ZIP 圧縮のみをサポートします。 他のアルゴリズムを使用する
ZIP または "none" よりもメッセージが PGP で読めなくなります。 一般的に、あなたはそうします
このオプションは OpenPGP 標準に違反する可能性があるため、使用しないでください。
--個人圧縮設定 同じことを達成する安全な方法です。
--cert-digest-algo 名
名 キーに署名するときに使用されるメッセージ ダイジェスト アルゴリズムとして。 を実行する
コマンドでプログラムする - バージョン サポートされているアルゴリズムのリストが表示されます。 注意してください
GnuPG がサポートするが他の OpenPGP アルゴリズムを選択した場合
実装がそうでない場合、一部のユーザーは調号を使用できなくなります。
あなたが作成したもの、あるいはおそらくキー全体を作成したものです。
--暗号アルゴリズムを無効にする 名
の使用を絶対に許可しないでください 名 暗号アルゴリズムとして。 与えられた名前は、
後でロードされたアルゴリズムが引き続き無効になるようにチェックされます。
--pubkey-algo を無効にする 名
の使用を絶対に許可しないでください 名 公開鍵アルゴリズムとして。 与えられた名前は、
後でロードされたアルゴリズムが引き続き無効になるようにチェックされます。
--throw-keyids
--no-throw-keyids
受信者のキー ID を暗号化されたメッセージに含めないでください。 これは、
メッセージの受信者に影響を与えるものであり、トラフィック分析に対する限定的な対抗策です。
([ちょっとしたソーシャル エンジニアリングを使用すると、メッセージを解読できる人は誰でも、
他の受信者の XNUMX 人が彼が疑っている人物であるかどうかを確認してください。])
受信側では、利用可能なすべての情報が利用可能なため、復号化プロセスが遅くなる可能性があります。
秘密鍵を試す必要があります。 --no-throw-keyids このオプションを無効にします。 このオプションは
基本的には使用するのと同じです --非表示の受信者 すべての受信者に。
--ダッシュエスケープなし
このオプションは平文署名の動作を変更して、平文署名を使用できるようにします。
パッチファイル用。 このような保護されたファイルを電子メールで送信しないでください。
スペースと行末もハッシュ化されます。 このオプションは、次のようなデータには使用できません。
行の先頭に 5 つのダッシュがありますが、パッチ ファイルにはこれがありません。 特別な
Armor ヘッダー行は、GnuPG にこの平文署名オプションについて伝えます。
-- 行からのエスケープ
--no-escape-from-lines
メーラーによっては「From」で始まる行を「">From」に変更することがありますので、
平文署名を作成するときに、そのような行を特別な方法で処理して、
メールシステムが署名を破るのを防ぎます。 他のすべての PGP バージョンでも同様であることに注意してください。
こうやっても。 デフォルトで有効になっています。 --no-escape-from-lines このオプションを無効にします。
-- パスフレーズの繰り返し n
回数を指定してください GPG2 新しいパスフレーズの繰り返しを要求します。 これは
パスフレーズを記憶するのに役立ちます。 デフォルトは 1 回の繰り返しです。
--パスフレーズ-fd n
ファイル記述子からパスフレーズを読み取ります n。 最初の行のみが読み取られます
ファイル記述子 n。 0を使用すると、 n、パスフレーズは STDIN から読み取られます。 これ
パスフレーズが XNUMX つだけ指定されている場合にのみ使用できます。
このパスフレーズは、オプションが - バッチ も与えられています。
これは GnuPG バージョン 1.x とは異なります。
--パスフレーズファイル file
ファイルからパスフレーズを読み取る file。 最初の行のみがファイルから読み取られます
file。 これは、パスフレーズが XNUMX つだけ指定されている場合にのみ使用できます。 明らかに、
ファイルに保存されているパスフレーズは、他のユーザーが読み取ることができる場合、セキュリティが疑われます。
このファイル。 回避できる場合は、このオプションを使用しないでください。 このパスフレーズは
オプションの場合にのみ使用 - バッチ も与えられています。 これはGnuPGとは異なります
バージョン1.x。
-パスフレーズ 文字列
文字列 パスフレーズとして。 これはパスフレーズが XNUMX つだけの場合にのみ使用できます。
供給されました。 明らかに、これはマルチユーザー システムではセキュリティ上非常に疑わしいものです。
回避できる場合は、このオプションを使用しないでください。 このパスフレーズのみが使用されることに注意してください
オプションの場合 - バッチ も与えられています。 これは GnuPG のバージョンとは異なります
1.x。
--pinentry-mode モード
ピン入力モードを モード。 許可される値 モード には次の値があります:
デフォルト
エージェントのデフォルトを使用します。 頼む.
頼む Pinentry の使用を強制します。
キャンセル Pinentry のキャンセル ボタンの使用をエミュレートします。
エラー Pinentry エラー (``No Pinentry'') を返します。
ループバック
Pinentry クエリを発信者にリダイレクトします。 Pinentry とは対照的に、
ユーザーが間違ったパスワードを入力しても、再度プロンプトは表示されません。
--コマンド-fd n
これは、非推奨の共有メモリ IPC モードに代わるものです。 このオプションが
有効にすると、質問に対するユーザー入力は TTY からではなく、指定されたものから期待されます。
ファイル記述子。 と一緒に使用する必要があります --ステータス-fd。 ファイルを参照してください
使用方法の詳細については、ソース配布の doc/DETAILS を参照してください。
--コマンドファイル file
と同じ --コマンド-fdただし、コマンドはファイルから読み取られます。 file
--allow-non-selfsigned-uid
--no-allow-non-selfsigned-uid
自己署名されていないユーザー ID を持つキーのインポートと使用を許可します。 これは
自己署名されていないユーザー ID は簡単に偽造できないため、お勧めしません。 --許可しない--
自己署名 UID を無効にします。
--allow-freeform-uid
新しいユーザー ID を生成する際に、ユーザー ID のフォームに関するすべてのチェックを無効にします。 これ
このオプションは、
ユーザー ID の事実上の標準形式。
--時間の競合を無視する
GnuPG は通常、鍵と署名に関連付けられたタイムスタンプが
もっともらしい値。 ただし、署名が期限切れのキーよりも古いように見える場合があります。
時計の問題に。 このオプションを使用すると、これらのチェックが単なる警告になります。 こちらも参照
--ignore-valid-from サブキーのタイムスタンプの問題については。
--ignore-valid-from
GnuPG は通常、将来作成されるサブキーを選択して使用しません。 このオプション
はそのようなキーの使用を許可するため、1.0.7 より前の動作を示します。 あなたがすべき
クロックに何らかの問題がない限り、このオプションは使用しないでください。 こちらも参照 --時間を無視-
紛争 署名に関するタイムスタンプの問題について。
--ignore-crc-error
OpenPGP で使用される ASCII アーマーは、送信に対して CRC チェックサムによって保護されています
エラー。 場合によっては、CRC が伝送チャネル上のどこかで破損することがありますが、
実際のコンテンツ (とにかく OpenPGP プロトコルによって保護されている) はまだ
わかった。 このオプションにより、GnuPG は CRC エラーを無視できます。
--ignore-mdc-error
このオプションは、MDC 整合性保護の失敗を警告に変更します。 これは可能です
メッセージが部分的に破損している場合に便利ですが、できるだけ多くのデータを取得する必要があります
破損したメッセージを可能な限り取り除く。 ただし、MDC 保護が適用されることに注意してください。
失敗は、メッセージが意図的に改ざんされたことを意味する場合もあります。
アタッカー。
--allow-weak-digest-algos
既知の弱いダイジェスト アルゴリズムで作成された署名は、通常、
「無効なダイジェストアルゴリズム」メッセージ。 このオプションにより、次の検証が可能になります。
このような弱いアルゴリズムで作成された署名。 MD5 は唯一のダイジェスト アルゴリズムです
デフォルトでは弱いとみなされます。 こちらも参照 --弱いダイジェスト 他のダイジェストを拒否する
アルゴリズム
--弱いダイジェスト 名
指定されたダイジェスト アルゴリズムを弱いものとして扱います。 弱いダイジェストに対して作成された署名
アルゴリズムは通常拒否されます。 このオプションは、次の場合に複数回指定できます。
複数のアルゴリズムは弱いと考えるべきです。 こちらも参照 --allow-weak-digest-algos
弱いダイジェストの拒否を無効にします。 MD5 は常に弱いとみなされますが、そうではありません。
明示的にリストする必要があります。
--デフォルトのキーリングなし
デフォルトのキーリングをキーリングのリストに追加しないでください。 GnuPG はそうではないことに注意してください。
キーリングなしで動作するため、このオプションを使用して提供しない場合は、
代替キーリング - キーホルダー or --秘密のキーリング、その場合、GnuPG は引き続き
デフォルトの公開キーリングまたは秘密キーリング。
--スキップ-検証
署名検証の手順をスキップします。 これは復号化に使用される可能性があります
署名検証が必要ない場合は、より高速になります。
--キーデータ付き
コロンで区切られたキーリストを出力します(例: --コロン付き) を印刷して公開します
キーデータ。
--高速リストモード
list コマンドの出力を変更して、より高速に動作するようにします。 これは離れることで達成されます
一部が空になっています。 一部のアプリケーションはユーザー ID と信頼を必要としません
リストに記載されている情報。 このオプションを使用すると、より高速に実行できます。
リストアップ。 このオプションの正確な動作は、将来のバージョンで変更される可能性があります。 もし、あんたが
一部の情報が不足している場合は、このオプションを使用しないでください。
--リテラルなし
これは通常の使用ではありません。 ソースを使用して、何が役に立つかを確認してください。
--set-ファイルサイズ
これは通常の使用ではありません。 ソースを使用して、何が役に立つかを確認してください。
--show-セッションキー
XNUMX つのメッセージに使用されるセッション キーを表示します。 見る --オーバーライドセッションキー
このオプションに相当するもの。
私たちはキーエスクローは悪いことだと考えています。 ただし、ユーザーには自由があるはずです
刑務所に行くか、特定のメッセージの内容を明らかにするかを決定するため
XNUMX つの秘密鍵で暗号化されたすべてのメッセージを危険にさらすことはありません。
不正な暗号化されたメッセージを受信した場合にも、このオプションを使用できます
メッセージング システムの管理者に、
送信された暗号文は不適切な平文に対応しているため、
問題のあるユーザーに対するアクション。
--オーバーライドセッションキー 文字列
公開キーではなくセッションキーを使用してください 文字列。 この文字列の形式は次のとおりです。
によって印刷されたものと同じです --show-セッションキー。 このオプションは通常は使用されません
ただし、誰かが暗号化されたファイルの内容を明らかにするよう強制した場合には便利です。
メッセージ; このオプションを使用すると、秘密キーを渡さずにこれを行うことができます。
--ask-sig-expire
--no-ask-sig-expire
データ署名を作成するときに、有効期限の入力を求めるプロンプトが表示されます。 このオプションが選択されていない場合は、
指定された有効期限は、経由で設定されます --default-sig-expire 使用されている。 --ノー・アスク・シグ-
有効期限が切れる このオプションを無効にします。
--default-sig-expire
署名の有効期限に使用するデフォルトの有効期限。 有効な値は「0」です。
有効期限がない場合は、数字の後に文字 d (日)、w (週)、m を続けます。
(月の場合)、または y (年) (たとえば、2 か月の場合は「5m」、XNUMX か月の場合は「XNUMXy」)
年)、または YYYY-MM-DD 形式の絶対日付。 デフォルトは「0」です。
--ask-cert-expire
--no-ask-cert-expire
調号を作成するときに、有効期限の入力を求めるプロンプトが表示されます。 このオプションが選択されていない場合は、
指定された有効期限は、経由で設定されます --default-cert-expire 使用されている。 --質問禁止-
証明書の期限切れ このオプションを無効にします。
--default-cert-expire
調号の有効期限に使用するデフォルトの有効期限。 有効な値は次のとおりです。
「0」は有効期限なし、数字の後に文字 d (日)、w (週) が続きます。
m(月)、または y(年)(たとえば、2 か月の場合は「5m」、XNUMX か月の場合は「XNUMXy」)
年)、または YYYY-MM-DD 形式の絶対日付。 デフォルトは「0」です。
--allow-秘密キーのインポート
これは廃止されたオプションであり、どこでも使用されていません。
--複数のメッセージを許可
--no-allow-multiple-messages
単一のファイルまたはストリームに含まれる複数の OpenPGP メッセージの処理を許可します。
GPG を呼び出す一部のプログラムは、送信される複数のメッセージを処理する準備ができていません。
一緒に処理されるため、このオプションのデフォルトは no です。 以前の GPG のバージョンに注意してください。
1.4.7 までは常に複数のメッセージを許可していました。
警告: 一時的な回避策として必要な場合以外は、このオプションを使用しないでください。
--特殊ファイル名を有効にする
このオプションは、「」形式のファイル名を使用するモードを有効にします。-&n'、n は非
負の XNUMX 進数の場合は、それを含むファイルではなく、ファイル記述子 n を参照してください。
名前。
--高価な信頼チェックなし
実験的な使用のみ。
--保存-許可
秘密キーリングの権限をユーザーの読み取り/書き込み専用に戻さないでください。 使用
このオプションは、自分が何をしようとしているのかを本当に理解している場合にのみ使用してください。
--デフォルト設定リスト 文字列
デフォルト設定のリストを次のように設定します。 文字列。 この優先リストは、新しいものに使用されます。
キーを押し、編集メニューの「setpref」のデフォルトになります。
--default-keyserver-url 名
デフォルトのキーサーバー URL を次のように設定します。 名。 このキーサーバーはキーサーバーとして使用されます
キーに新しい自己署名を書き込むときの URL。これにはキーの生成と
好みを変えること。
--list-config
GnuPG のさまざまな内部設定パラメータを表示します。 このオプションの目的は、
GnuPG を呼び出してタスクを実行する外部プログラムの場合、一般的にはそうではありません。
使える。 ファイルを参照してください。ドキュメント/詳細の詳細については、ソース配布の「」を参照してください。
どの構成項目がリストされるのか。 --list-config でのみ使用できます - と-
コロン 設定します。
--list-gcrypt-config
Libgcrypt のさまざまな内部構成パラメーターを表示します。
--gpgconf-list
このコマンドは次のようなものです --list-config ただし、一般的には内部でのみ使用されます。
gpgconf ツール。
--gpgconf-テスト
これは多かれ少なかれダミーのアクションです。 ただし、構成ファイルを解析し、
構成ファイルがそれを妨げる場合、失敗を返します。 gpg 起動から。
したがって、構成ファイルの構文チェックを実行するために使用できます。
非推奨の オプション
--show-写真
--ノーショー写真
目的 -リストキー, --list-signs, --list-公開鍵, --リストの秘密キー,
署名を検証して、キーに添付されている写真付き ID (存在する場合) も表示します。 見る
また --フォトビューア。 これらのオプションは廃止されました。 使用 --リストオプション [全く見せない-
写真 および --verify-オプション [いいえ]写真を表示 を代わりにお使いください。
--show-keyring
キーリストの先頭にキーリング名を表示して、指定されたキーリングがどのキーリングであるかを示します。
キーが存在します。 このオプションは非推奨です: を使用してください --リストオプション [no-]キーリングの表示
を代わりにお使いください。
--常に信頼する
と同じ --信頼モデル 常に。 このオプションは廃止されました。
--show-notation
--ノーショー表記
署名表記を表示します --list-signs or --check-sigs リストだけでなく
表記のある署名を検証する場合。 これらのオプションは廃止されました。 使用
--リストオプション [no-]表示表記 および --verify-オプション [no-]表示表記
を代わりにお使いください。
--show-ポリシー-url
--no-show-policy-url
ポリシーの URL を表示します。 --list-signs or --check-sigs リストと時期
ポリシー URL が含まれる署名を検証します。 これらのオプションは廃止されました。 使用
--リストオプション [no-]show-policy-url および --verify-オプション [no-]show-policy-url
を代わりにお使いください。
例
gpg -se -r ボブ file
ユーザー Bob の署名と暗号化
gpg --クリアサイン file
クリアテキスト署名を作成する
gpg -sb file
切り離された署名をする
gpg -u 0x12345678 -sb file
キー0x12345678を使用して分離署名を作成します
gpg -リストキー ユーザーID
キーを表示
gpg - 指紋 ユーザーID
指紋を表示する
gpg - 確認 pgpファイル
gpg - 確認 シグファイル
ファイルの署名を検証しますが、データは出力しません。 XNUMX番目の形式は
分離された署名に使用されます。 シグファイル 分離された署名 (ASCII のいずれか)
アーマードまたはバイナリ)、署名されたデータです。 これが指定されていない場合は、その名前
署名データを保持するファイルは拡張子(「.asc」または「.asc」)を切り取って構築されます。
".sig") の シグファイル またはユーザーにファイル名を尋ねます。
HOW に 特定 A USER ID
GnuPG にユーザー ID を指定するにはさまざまな方法があります。 それらの一部は次の場合にのみ有効です
gpg 他のものはただ良いだけです gpgsm。 キーを指定する方法の全リストは次のとおりです。
By キー イド。
この形式は文字列の長さとその内容から推定されます。 0x 接頭辞。
X.509 証明書のキー ID は、SHA-64 フィンガープリントの下位 1 ビットです。
キー ID の使用は、指紋をすべて自動処理するための単なるショートカットです。
使用すべきです。
使用時 gpg 感嘆符 (!) を追加して、指定されたメソッドの使用を強制することができます。
主キーまたは副キー、どの主キーか副キーかを計算しようとしない
使用するキー。
例の最後の XNUMX 行は、内部的にキー ID を長い形式で示しています。
OpenPGP プロトコルで使用されます。 オプションを使用すると、長いキー ID を確認できます。 - と-
コロン.
234567C4
0F34E556E
01347A56A
0×AB123456
234AABBCC34567C4
0F323456784E56EAB
01AB3FED1347A5612
0x234AABBCC34567C4
By 指紋。
この形式は、文字列の長さとその内容、または 0x
接頭辞。 20 バイトのバージョンのフィンガープリントのみが利用可能であることに注意してください。 gpgsm
(つまり、証明書の SHA-1 ハッシュ)。
使用時 gpg 感嘆符 (!) を追加して、指定されたメソッドの使用を強制することができます。
主キーまたは副キー、どの主キーか副キーかを計算しようとしない
使用するキー。
キー ID を指定する最良の方法は、フィンガープリントを使用することです。 これにより、あらゆることが回避されます
キー ID が重複している場合のあいまいさ。
1234343434343434C434343434343434
123434343434343C3434343434343734349A3434
0E12343434343434343434EAB3484343434343434
0xE12343434343434343434EAB3484343434343434
gpgsm また、これは、XNUMX 進数の各ペアの間にコロンを受け入れます。
X.509 フィンガープリントの表示方法に関する事実上の標準。 gpg スペースの利用も可能です
キーリストコマンドによって出力される分離された SHA-1 フィンガープリント。
By 正確な match on OpenPGP user IDを指定します。
これは先頭の等号で示されます。 X.509では意味がありません
証明書。
=ハインリヒ・ハイネheinrichh@uni-duesseldorf.de>
By 正確な match on an email 住所。
これは、通常の方法で電子メール アドレスを左と左で囲むことによって示されます。
直角。
<heinrichh@uni-duesseldorf.de>
By 部分的な match on an email 住所。
これは、検索文字列の先頭に「 @。 これは部分文字列を使用します
検索しますが、メール アドレス (つまり山かっこ内) のみが考慮されます。
@ハインリッヒ
By 正確な match on 科目 DN。
これは、先頭のスラッシュの直後に RFC-2253 でエンコードされた DN が続くことで示されます。
主題の。 「gpgsm --list-keys」で出力される文字列は使用できないことに注意してください。
それは、読みやすくするために並べ替えられ、変更されているためです。 --with- を使用する
コロンは生の (ただし標準エスケープされた) RFC-2253 文字列を出力します。
/CN=ハインリヒ・ハイネ、O=詩人、L=パリ、C=フランス
By 正確な match on 発行者の DN。
これは、先頭のハッシュ マークの直後にスラッシュが続き、その後にスラッシュが続くことで示されます。
この直後に、rfc2253 でエンコードされた発行者の DN が続きます。 これにより、
発行者のルート証明書。 上記の注を参照してください。
#/CN=ルート証明書、O=詩人、L=パリ、C=フランス
By 正確な match on シリアル 数 および 発行者の DN。
これは、ハッシュ マークの後に続く XNUMX 進数表現によって示されます。
シリアル番号の後にスラッシュと発行者の RFC-2253 でエンコードされた DN が続きます。
上記の注を参照してください。
#4F03/CN=ルート証明書、O=詩人、L=パリ、C=フランス
By キーグリップ
これは、アンパサンドの後にキーグリップの 40 桁の XNUMX 進数が続くことによって示されます。
gpgsm コマンドの使用時にキーグリップを出力します。 -- ダンプ証明書。 まだ機能しません
OpenPGP キーの場合。
&D75F22C3F86E355877348498CDC92BD21010A480
By サブストリング 一致しています。
これはデフォルトのモードですが、アプリケーションは次の方法でこれを明示的に示したい場合があります。
アスタリスクを前に置きます。 一致では大文字と小文字は区別されません。
ハイネ
ハイネ
. および + プレフィックス
これらのプレフィックスは、末尾にアンカーされているメールを検索するためと単語のために予約されています。
検索モード。 これらはまだ実装されておらず、使用方法は未定義です。
古いバージョンで使用されていたハッシュ マーク識別子を再利用していることに注意してください。
いわゆるローカル ID を示す GnuPG バージョン。 もう使われていないし、
X.509 のものと一緒に使用する場合、競合は発生しないはずです。
RFC-2253 形式の DN を使用すると、マッピングできないという欠点があります。
元のエンコーディングに戻しますが、これを行う必要はありません。
キーデータベースは、このエンコーディングをメタデータとして保存します。
onworks.net サービスを使用してオンラインで gpg2 を使用する