gpg-agent — online w chmurze

PROGRAM:

IMIĘ

agent gpg - Tajne zarządzanie kluczami dla GnuPG

STRESZCZENIE

agent gpg [--kat.domowy reż] [--opcje filet] [Opcje]
agent gpg [--kat.domowy reż] [--opcje filet] [Opcje] --serwer
agent gpg [--kat.domowy reż] [--opcje filet] [Opcje] --demon [wiersz poleceń]

OPIS

agent gpg to demon do zarządzania tajnymi (prywatnymi) kluczami niezależnie od dowolnego protokołu. To
jest używany jako backend dla Gpg i gpgsm jak również dla kilku innych narzędzi.

Agent jest automatycznie uruchamiany na żądanie przez Gpg, gpgsm, gpgconflub gpg-connect-agent.
Dlatego nie ma powodu, aby uruchamiać go ręcznie. Jeśli chcesz użyć dołączonego Secure
Shell Agent możesz uruchomić agenta za pomocą:

gpg-connect-agent /pa

Zawsze powinieneś dodawać następujące wiersze do swojego .bashrc lub dowolny plik inicjujący
jest używany we wszystkich wywołaniach powłoki:

GPG_TTY=$(tty)
wyeksportuj GPG_TTY

Ważne jest, aby ta zmienna środowiskowa zawsze odzwierciedlała dane wyjściowe programu tty
Komenda. W przypadku systemów W32 ta opcja nie jest wymagana.

Upewnij się, że domyślnie zainstalowano odpowiedni program pinentry
nazwa pliku (która jest zależna od systemu) lub użyj opcji program pinentry określić
pełna nazwa tego programu. Często przydatne jest zainstalowanie dowiązania symbolicznego z rzeczywistego
używany pinentry (np./usr/bin/pinentry-gtk') do oczekiwanego (np
"/usr/bin/pinentry').

POLECENIA

Polecenia nie różnią się od opcji, z wyjątkiem faktu, że jest tylko jedno polecenie
dozwolone.

--wersja
Wydrukuj wersję programu i informacje o licencji. Pamiętaj, że nie możesz
skróć to polecenie.

--help

-h Wydrukuj komunikat dotyczący użycia podsumowujący najbardziej przydatne opcje wiersza polecenia. Zauważ, że
nie możesz skrócić tego polecenia.

--dump-opcje
Wydrukuj listę wszystkich dostępnych opcji i poleceń. Pamiętaj, że nie możesz
skróć to polecenie.

--serwer
Uruchom w trybie serwera i poczekaj na polecenia na stdin. Tryb domyślny to
utwórz gniazdo i nasłuchuj tam poleceń.

--demon [komenda linia]
Uruchom agenta gpg jako demona; to znaczy odłącz go od konsoli i uruchom
tło.

Alternatywnie możesz utworzyć nowy proces jako dziecko gpg-agent: agent gpg
--demon / Bin / sh. W ten sposób otrzymujesz nową powłokę z konfiguracją środowiska
odpowiednio; po wyjściu z tej powłoki gpg-agent kończy działanie w ciągu kilku
towary drugiej jakości.

OPCJE

--opcje filet
Odczytuje konfigurację z filet zamiast z domyślnej konfiguracji dla użytkownika
plik. Domyślny plik konfiguracyjny nosi nazwę „gpg-agent.conf' i spodziewane w
".gnupg' bezpośrednio pod katalogiem domowym użytkownika.

--kat.domowy reż
Ustaw nazwę katalogu domowego na reż. Jeśli ta opcja nie jest używana, dom
domyślnie katalog to '~/.gnupg„. Jest rozpoznawany tylko wtedy, gdy jest wydany na polecenie
linia. Zastępuje również każdy katalog domowy podany przez zmienną środowiskową
"GNUGHOME„lub (w systemach Windows) za pomocą wpisu do rejestru”
HKCU\Oprogramowanie\GNU\GnuPG:Katalog domowy.

W systemach Windows można zainstalować GnuPG jako przenośną aplikację. w
w tym przypadku brana jest pod uwagę tylko ta opcja wiersza poleceń, wszystkie inne sposoby ustawienia domu
katalogi są ignorowane.

Aby zainstalować GnuPG jako przenośną aplikację w systemie Windows, utwórz pustą nazwę pliku
"gpgconf.ctl' w tym samym katalogu co narzędzie 'gpgconf.exe„. Korzeń
instalacja jest niż ten katalog; albo jeśli 'gpgconf.exe' zostało zainstalowane
bezpośrednio pod katalogiem o nazwie 'kosz', jego katalog nadrzędny. Musisz także
upewnij się, że następujące katalogi istnieją i są dostępne do zapisu: 'ROOT/dom' dla
strona główna GnuPG i 'ROOT/var/cache/gnupg2' dla plików wewnętrznej pamięci podręcznej.

-v

--gadatliwy
Wyświetla dodatkowe informacje podczas pracy. Możesz zwiększyć szczegółowość poprzez
wydawanie kilku pełnych poleceń do gpgsm, na przykład „-vv”.

-q

--cichy
Staraj się być tak cicho, jak to tylko możliwe.

--seria
Nie odwołuj się do pinentry ani nie rób żadnych innych rzeczy wymagających interakcji z człowiekiem.

--sfałszowany czas systemowy epoka
Ta opcja jest przydatna tylko do testowania; ustawia czas systemowy w przód lub w tył
epoka czyli liczbę sekund, które upłynęły od roku 1970.

--poziom-debugowania poziom
Wybierz poziom debugowania do badania problemów. poziom może być wartością liczbową lub
słowo kluczowe:

Żaden Żadnego debugowania. Zamiast . można użyć wartości mniejszej niż 1
słowo kluczowe.

podstawowy Niektóre podstawowe komunikaty debugowania. Zamiast tego można użyć wartości z zakresu od 1 do 2
słowo kluczowe.

zaawansowany
Więcej szczegółowych komunikatów debugowania. Zamiast tego można użyć wartości od 3 do 5
słowo kluczowe.

ekspert Jeszcze bardziej szczegółowe komunikaty. Zamiast tego można użyć wartości od 6 do 8
słowo kluczowe.

guru Wszystkie komunikaty debugowania, które możesz otrzymać. Można użyć wartości większej niż 8
zamiast słowa kluczowego. Włączone jest tylko tworzenie plików śledzenia hash
jeśli słowo kluczowe jest używane.

Sposób, w jaki te komunikaty są mapowane na rzeczywiste flagi debugowania, nie jest określony i może
zmienić wraz z nowszymi wersjami tego programu. Są one jednak starannie dobierane do najlepszych
pomoc w debugowaniu.

--odpluskwić Flagi
Ta opcja jest przydatna tylko do debugowania, a zachowanie może się zmienić w dowolnym momencie
bez uprzedzenia. FLAGI są kodowane bitowo i mogą być podawane w zwykłej składni C. The
aktualnie zdefiniowane bity to:

0 (1) Dane związane z protokołem X.509 lub OpenPGP

1 (2) wartości dużych liczb całkowitych

2 (4) operacje kryptograficzne niskiego poziomu

5 (32) przydział pamięci

6 (64) buforowanie

7 (128)
pokaż statystyki pamięci.

9 (512)
zapisz zaszyfrowane dane do plików o nazwie dbgmd-000*

10 (1024)
prześledzić protokół Assuan

12 (4096)
omiń wszystkie walidacje certyfikatów

--debuguj-wszystko
Taki sam jak --debug=0xffffffff

--debug-czekaj n
Podczas pracy w trybie serwera poczekaj n sekund przed rozpoczęciem właściwego przetwarzania
zapętlić i wydrukować pid. Daje to czas na podłączenie debuggera.

--debug-szybkie-losowe
Ta opcja blokuje użycie bardzo bezpiecznego losowego poziomu jakości (Libgcrypt's
GCRY_VERY_STRONG_RANDOM) i obniża wszystkie żądania do standardowej losowej jakości.
Jest używany wyłącznie do testowania i nie powinien być używany do żadnych kluczy jakości produkcji.
Ta opcja jest skuteczna tylko wtedy, gdy jest podana w wierszu poleceń.

--debug-pin
Ta opcja włącza dodatkowe informacje debugowania dotyczące Pinentry. Jak na razie
jest użyteczny tylko wtedy, gdy jest używany razem z --odpluskwić 1024.

--bez odłączania
Nie odłączaj procesu od konsoli. Jest to przydatne głównie do debugowania.

-s

--cii

-c

--csz Sformatuj dane wyjściowe informacji w trybie demona do użytku ze standardową powłoką Bourne lub
Odpowiednio powłoka C. Domyślnie jest to zgadywanie na podstawie zmiennej środowiskowej
SHELL co jest poprawne w prawie wszystkich przypadkach.

--bez-chwytu
Powiedz pinentry, aby nie chwytał klawiatury i myszy. Ta opcja powinna wejść
general nie może być używany do unikania ataków typu X-sniffing.

--plik dziennika filet
Dołącz wszystkie dane wyjściowe logowania do filet. Jest to bardzo pomocne w zobaczeniu, co agent
faktycznie. Jeśli ani plik dziennika, ani deskryptor pliku dziennika nie zostały ustawione na a
Platforma Windows, wpis rejestru HKCU\Software\GNU\GnuPG:DefaultLogFileJeśli
set, służy do określenia danych wyjściowych rejestrowania.

--no-allow-mark-zaufane
Nie zezwalaj klientom na oznaczanie kluczy jako zaufanych, tj. umieszczanie ich w folderze
"lista zaufanych.txt' plik. Utrudnia to użytkownikom nieumyślne zaakceptowanie Root-
klucze CA.

--allow-preset-passphrase
Ta opcja pozwala na użycie gpg-preset-hasło zainicjować wewnętrzną pamięć podręczną
agent gpg z hasłami.

--allow-loopback-pin
Zezwalaj klientom na korzystanie z funkcji pinentry sprzężenia zwrotnego; zobacz opcję tryb pinentry
dla szczegółów.

--no-allow-external-cache
Powiedz Pinentry, aby nie włączał funkcji korzystających z zewnętrznej pamięci podręcznej dla haseł.

Niektóre środowiska komputerów wolą odblokowywać wszystkie poświadczenia za pomocą jednego hasła głównego
i mógł zainstalować Pinentry, który wykorzystuje dodatkową zewnętrzną pamięć podręczną
realizować taką politykę. Korzystając z tej opcji, Pinentry odradza się
korzystania z takiej pamięci podręcznej i zamiast tego zawsze pytaj użytkownika o żądane hasło.

--allow-emacs-pinentry
Powiedz Pinentry, aby zezwolił funkcjom na przekierowanie wpisu hasła do działającego Emacsa
instancja. Sposób, w jaki jest to dokładnie obsługiwane, zależy od wersji używanego Pinentry.

--ignore-cache-for-signing
Ta opcja pozwoli agent gpg pomiń pamięć podręczną hasła dla wszystkich podpisów
operacja. Pamiętaj, że istnieje również opcja kontrolowania tego zachowania na sesję
ale ta opcja wiersza poleceń ma pierwszeństwo.

--default-cache-ttl n
Ustaw czas ważności wpisu w pamięci podręcznej n sekundy. Wartość domyślna to 600 sekund.
Za każdym razem, gdy uzyskuje się dostęp do wpisu pamięci podręcznej, licznik czasu wpisu jest resetowany. Aby ustawić wpis
maksymalna żywotność, użytkowanie max-cache-ttl.

--default-cache-ttl-ssh n
Ustaw czas ważności wpisu pamięci podręcznej używanego dla kluczy SSH n sekundy. Wartość domyślna to
1800 sekund. Za każdym razem, gdy uzyskuje się dostęp do wpisu pamięci podręcznej, licznik czasu wpisu jest resetowany. Do
ustaw maksymalny czas życia wpisu, użyj max-cache-ttl-ssh.

--max-cache-ttl n
Ustaw maksymalny czas ważności wpisu w pamięci podręcznej n sekundy. Po tym czasie cache
wpis wygaśnie, nawet jeśli był ostatnio otwierany lub został ustawiony za pomocą
gpg-preset-hasło. Wartość domyślna to 2 godziny (7200 sekund).

--max-cache-ttl-ssh n
Ustaw maksymalny czas ważności wpisu pamięci podręcznej używanego dla kluczy SSH n sekundy. Po
tym razem wpis w pamięci podręcznej wygaśnie, nawet jeśli był ostatnio otwierany lub
został ustawiony za pomocą gpg-preset-hasło. Wartość domyślna to 2 godziny (7200 sekund).

--enforce-passphrase-ograniczenia
Wymuś ograniczenia dotyczące hasła, nie pozwalając użytkownikowi na ich ominięcie za pomocą
przycisk „Weź to mimo wszystko”.

--min-hasło-len n
Ustaw minimalną długość hasła. Podczas wprowadzania nowego hasła krótsze
niż ta wartość zostanie wyświetlone ostrzeżenie. Domyślnie 8.

--min-hasło-nonalfa n
Ustaw minimalną liczbę cyfr lub znaków specjalnych wymaganych w haśle.
Podczas wprowadzania nowego hasła o mniejszej liczbie cyfr lub specjalnego
znaków zostanie wyświetlone ostrzeżenie. Domyślnie 1.

--check-hasło-wzór filet
Sprawdź hasło pod kątem wzorca podanego w filet. Podczas wprowadzania nowego
hasło pasujące do jednego z tych wzorców, zostanie wyświetlone ostrzeżenie. filet powinien
być bezwzględną nazwą pliku. Domyślnie nie jest używany żaden plik sygnatur.

Uwaga dotycząca bezpieczeństwa: Wiadomo, że sprawdzanie hasła z listą wzorców lub
nawet w stosunku do pełnego słownika nie jest zbyt skuteczny w egzekwowaniu dobra
hasła. Użytkownicy wkrótce wymyślą sposoby na ominięcie takiej polityki. lepszy
zasadą jest edukowanie użytkowników w zakresie dobrych zachowań związanych z bezpieczeństwem i opcjonalnie uruchamianie
regularnie używaj narzędzia do łamania haseł dla wszystkich użytkowników, aby złapać bardzo proste
te.

--max-hasło-dni n
Poproś użytkownika o zmianę hasła if n dni minęło od ostatniej zmiany.
Z --enforce-passphrase-ograniczenia ustawić, użytkownik nie może ominąć tego sprawdzenia.

--włącz historię haseł
Ta opcja jeszcze nic nie daje.

--pinentry-invisible-char zwęglać
Ta opcja prosi Pinentry o użycie zwęglać do wyświetlania ukrytych znaków. zwęglać
musi być jednym ciągiem znaków UTF-8. Pinentry może, ale nie musi, uszanować tę prośbę.

--przekroczenie limitu czasu pinentry n
Ta opcja prosi Pinentry o przekroczenie limitu czasu po n sekund bez udziału użytkownika. The
domyślna wartość 0 nie powoduje przekroczenia limitu czasu pinentry, jednak pinentry może użyć
w tym przypadku własną domyślną wartość limitu czasu. Pinentry może to honorować lub nie
prośba.

--program-pinentry filename
Użyj programu filename jako wprowadzenie kodu PIN. Wartość domyślna zależy od instalacji.
Przy domyślnej konfiguracji nazwa domyślnego wpisu to „szpilka'; Jeśli
ten plik nie istnieje, ale „podstawowy' istnieje to drugie jest używane.

Na platformie Windows domyślnie jest używany pierwszy istniejący program z tego
lista: „bin\pinentry.exe","..\Gpg4win\bin\pinentry.exe","..\Gpg4win\pinentry.exe",
"..\GNU\GnuPG\pinentry.exe","..\GNU\bin\pinentry.exe","bin\pinentry-basic.exe"
gdzie nazwy plików odnoszą się do katalogu instalacyjnego GnuPG.

--pinentry-touch-file filename
Domyślnie przekazywana jest nazwa pliku gniazda gpg-agent nasłuchującego żądań
do Pinentry, aby mógł dotknąć tego pliku przed wyjściem (robi to tylko w
tryb przekleństw). Ta opcja zmienia plik przekazany do Pinentry na filename,
specjalna nazwa / dev / null można użyć do całkowitego wyłączenia tej funkcji. Zauważ to
Pinentry nie utworzy tego pliku, zmieni jedynie modyfikację i dostęp
czas.

--scdaemon-program filename
Użyj programu filename jako demon karty inteligentnej. Domyślnie jest to instalacja
zależne i mogą być pokazane za pomocą gpgconf dowództwo.

--wyłącz-scdaemona
Nie używaj narzędzia scdaemon. Ta opcja powoduje wyłączenie
możliwość wykonywania operacji na karcie inteligentnej. Pamiętaj, że włączenie tej opcji w czasie wykonywania
nie zabija już rozwidlonego scdaemona.

--wyłącz-sprawdź-własne-gniazdo
agent gpg stosuje okresowe autotesty w celu wykrycia skradzionego gniazda. To zwykle
oznacza drugą instancję agent gpg przejął gniazdo i agent gpg będzie
następnie zakończyć się. Tej opcji można użyć do wyłączenia tego autotestu dla
debugowania celów.

--użyj standardowego gniazda

--no-use-standard-gniazdo

--użyj-standardowego-gniazdka-str
Od GnuPG 2.1 zawsze używane jest standardowe gniazdo. Te opcje nie mają więcej
efekt. Komenda agent gpg --użyj-standardowego-gniazdka-str więc zawsze powróci
sukces.

--wyświetlacz ciąg

--ttyname ciąg

--ttytyp ciąg

--lc-ctyp ciąg

--lc-wiadomości ciąg

--xautorytet ciąg
Te opcje są używane w trybie serwera do przekazywania informacji o lokalizacji.

--trzymaj-tty

--zachowaj-wyświetl
Ignoruj ​​prośby o zmianę prądu tty lub system X Window DISPLAY zmienna
odpowiednio. Jest to przydatne, aby zablokować pinentry, aby pojawiał się w tty lub wyświetl
uruchomiłeś agenta.

--dodatkowe gniazdo Nazwa
Nasłuchuj także natywnych połączeń gpg-agent na danym gnieździe. Przeznaczenie
dla tego dodatkowego gniazda jest skonfigurowanie przekierowania gniazda domeny Unix ze zdalnego
maszynę do tego gniazda na maszynie lokalnej. A Gpg działa na zdalnej maszynie
może następnie połączyć się z lokalnym agentem gpg i użyć jego kluczy prywatnych. To pozwala
odszyfrować lub podpisać dane na zdalnej maszynie bez ujawniania kluczy prywatnych
zdalna maszyna.

--włącz obsługę ssh

--włącz obsługę Putty

Włącz protokół agenta OpenSSH.

W tym trybie działania agent nie tylko implementuje gpg-agent
protokół, ale także protokół agenta używany przez OpenSSH (poprzez osobne gniazdo).
W związku z tym powinno być możliwe użycie agenta gpg jako zamiennika typu „drop-in”.
dla dobrze znanego agenta ssh.

Klucze SSH, które mają być używane przez agenta, należy dodać do gpg-agent
początkowo za pomocą narzędzia ssh-add. Po dodaniu klucza ssh-add zapyta o
hasło dostarczonego pliku klucza i przesłać niezabezpieczony materiał klucza do
agent; powoduje to, że gpg-agent pyta o hasło, które ma być użyte
zaszyfrowanie nowo otrzymanego klucza i przechowywanie go w określonym katalogu gpg-agent.

Po dodaniu klucza do gpg-agent w ten sposób, gpg-agent będzie gotowy do
użyj klucza.

Uwaga: w przypadku, gdy gpg-agent otrzyma żądanie podpisu, użytkownik może potrzebować
monit o podanie hasła, które jest niezbędne do odszyfrowania przechowywanego klucza. Od
protokół ssh-agent nie zawiera mechanizmu informującego agenta, na którym
display/terminal jest uruchomiony, obsługa ssh gpg-agent użyje TTY lub X
wyświetl miejsce, w którym uruchomiono gpg-agent. Aby przełączyć ten ekran na bieżący
jeden, można użyć następującego polecenia:

gpg-connect-agent updatestartuptty /pa

Chociaż wszystkie komponenty GnuPG próbują uruchomić agenta gpg w razie potrzeby, nie jest to możliwe
za obsługę ssh, ponieważ ssh o tym nie wie. Tak więc, jeśli nie ma narzędzia GnuPG które
uzyskuje dostęp do agenta, nie ma gwarancji, że ssh będzie mógł używać gpg-agent
do uwierzytelnienia. Aby to naprawić, możesz w razie potrzeby uruchomić gpg-agent, używając tego prostego
polecenie:

gpg-connect-agent /pa

Dodawanie --gadatliwy pokazuje postęp uruchamiania agenta.

Połączenia --włącz obsługę Putty jest dostępny tylko pod Windows i pozwala na użycie gpg-agent
z implementacją ssh kit. Jest to podobne do zwykłej obsługi ssh-agent, ale
korzysta z kolejki komunikatów systemu Windows zgodnie z wymaganiami kit.

Wszystkie długie opcje można również podać w pliku konfiguracyjnym po usunięciu pliku
dwie kreski wiodące.

PRZYKŁADY

Ważne jest, aby na przykład ustawić zmienną środowiskową GPG_TTY w powłoce logowania
w '~ / .bashrc'skrypt startowy:

eksportuj GPG_TTY=$(tty)

Jeśli włączyłeś obsługę agenta Ssh, musisz również powiedzieć o tym ssh, dodając to do
twój skrypt inicjujący:

usuń ustawienie SSH_AGENT_PID
if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$]; Następnie
export SSH_AUTH_SOCK="${HOME}/.gnupg/S.gpg-agent.ssh"
fi

Korzystaj z gpg-agent online, korzystając z usług onworks.net