gpg-agent - Online na nuvem

PROGRAMA:

NOME

agente gpg - Gerenciamento de chave secreta para GnuPG

SINOPSE

agente gpg [--homedir dir] [--opções lima] [opções]
agente gpg [--homedir dir] [--opções lima] [opções] --servidor
agente gpg [--homedir dir] [--opções lima] [opções] --daemon [linha de comando]

DESCRIÇÃO

agente gpg é um daemon para gerenciar chaves secretas (privadas) independentemente de qualquer protocolo. Isto
é usado como back-end para gpg e gpgsm bem como para alguns outros utilitários.

O agente é iniciado automaticamente sob demanda por gpg, gpgsm, gpgconfou gpg-conectar-agente.
Portanto, não há razão para iniciá-lo manualmente. Caso você queira usar o seguro incluído
Agente Shell, você pode iniciar o agente usando:

gpg-conectar-agente / tchau

Você deve sempre adicionar as seguintes linhas ao seu .bashrc ou qualquer arquivo de inicialização
é usado para todas as invocações de shell:

GPG_TTY = $ (tty)
exportar GPG_TTY

É importante que esta variável de ambiente sempre reflita a saída do tty
comando. Para sistemas W32, esta opção não é necessária.

Certifique-se de que um programa de pinentry adequado foi instalado sob o padrão
nome do arquivo (que depende do sistema) ou use a opção programa pinentry para especificar o
nome completo desse programa. Muitas vezes é útil instalar um link simbólico a partir do real
pinentry usado (por exemplo, '/ usr / bin / pinentry-gtk') para o esperado (por exemplo
'/ usr / bin / pinentry').

COMANDOS

Os comandos não se distinguem das opções, exceto pelo fato de que apenas um comando é
permitido.

--versão
Imprima a versão do programa e as informações de licença. Observe que você não pode
abrevie este comando.

--Socorro

-h Imprima uma mensagem de uso resumindo as opções de linha de comando mais úteis. Observe que
você não pode abreviar este comando.

- opções de despejo
Imprima uma lista de todas as opções e comandos disponíveis. Observe que você não pode
abrevie este comando.

--servidor
Execute no modo de servidor e aguarde os comandos no stdin. O modo padrão é
crie um soquete e ouça os comandos lá.

--daemon [comando linha]
Inicie o gpg-agent como um daemon; ou seja, desconecte-o do console e execute-o em
o fundo.

Como alternativa, você pode criar um novo processo como filho do gpg-agent: agente gpg
--daemon / Bin / sh. Desta forma, você obtém um novo shell com a configuração do ambiente
devidamente; depois de sair deste shell, o gpg-agent termina em alguns
segundos.

OPÇÕES

--opções lima
Lê a configuração de lima em vez da configuração padrão por usuário
Arquivo. O arquivo de configuração padrão é denominado 'gpg-agent.conf'e esperado no
'.gnupg'diretório diretamente abaixo do diretório inicial do usuário.

--homedir dir
Defina o nome do diretório inicial para dir. Se esta opção não for usada, a casa
o diretório padrão é '~ / .gnupg'. Só é reconhecido quando dado no comando
linha. Ele também substitui qualquer diretório inicial indicado por meio da variável de ambiente
'GNUPGHOME'ou (em sistemas Windows) por meio da entrada do Registro
HKCU \ Software \ GNU \ GnuPG: HomeDir.

Em sistemas Windows, é possível instalar o GnuPG como um aplicativo portátil. No
neste caso, apenas esta opção de linha de comando é considerada, todas as outras maneiras de definir uma casa
diretório são ignorados.

Para instalar o GnuPG como um aplicativo portátil no Windows, crie um nome de arquivo vazio
'gpgconf.ctl'no mesmo diretório da ferramenta'gpgconf.exe'. A raiz do
a instalação é diferente daquele diretório; ou se 'gpgconf.exe' foi instalado
diretamente abaixo de um diretório chamado 'caixa', seu diretório pai. Você também precisa
certifique-se de que os seguintes diretórios existem e são graváveis: 'ROOT / home' para
a casa do GnuPG e 'ROOT / var / cache / gnupg2'para arquivos de cache internos.

-v

--verbose
Emite informações adicionais durante a execução. Você pode aumentar a verbosidade
dando vários comandos verbosos para gpgsm, como '-vv'.

-q

--quieto
Tente ficar o mais quieto possível.

--lote
Não invoque uma pinentry ou faça qualquer outra coisa que requeira interação humana.

--faked-system-time época
Esta opção é útil apenas para teste; ele define o tempo do sistema para frente ou para trás para
época que é o número de segundos decorridos desde o ano de 1970.

- nível de depuração nível
Selecione o nível de depuração para investigar problemas. nível pode ser um valor numérico ou
uma palavra-chave:

Nenhum Sem depuração. Um valor inferior a 1 pode ser usado em vez do
palavra chave.

basic Algumas mensagens básicas de depuração. Um valor entre 1 e 2 pode ser usado em vez de
a palavra-chave.

avançado
Mensagens de depuração mais detalhadas. Um valor entre 3 e 5 pode ser usado em vez de
a palavra-chave.

especialista Mensagens ainda mais detalhadas. Um valor entre 6 e 8 pode ser usado em vez de
a palavra-chave.

guru Todas as mensagens de depuração que você pode obter. Um valor maior que 8 pode ser usado
em vez da palavra-chave. A criação de arquivos de rastreamento de hash só está habilitada
se a palavra-chave for usada.

Como essas mensagens são mapeadas para os sinalizadores de depuração reais não é especificado e pode
mudar com as versões mais recentes deste programa. Eles são, no entanto, cuidadosamente selecionados para melhor
ajuda na depuração.

--depurar bandeiras
Esta opção sóéútil para depuração e o comportamento pode mudar a qualquer momento
sem aviso prévio. Os FLAGS são codificados por bits e podem ser fornecidos na sintaxe C usual. o
bits atualmente definidos são:

0 (1) Dados relacionados ao protocolo X.509 ou OpenPGP

1 (2) valores de números inteiros grandes

2 (4) operações criptográficas de baixo nível

5 (32) alocação de memória

6 (64) cache

7 (128)
mostrar estatísticas de memória.

9 (512)
gravar dados com hash em arquivos nomeados dbgmd-000 *

10 (1024)
traçar protocolo Assuan

12 (4096)
ignorar toda a validação de certificado

--debug-tudo
Igual a --debug = 0xffffffff

--debug-espera n
Ao executar no modo de servidor, espere n segundos antes de entrar no processamento real
loop e imprimir o pid. Isso dá tempo para anexar um depurador.

--debug-rápido-aleatório
Esta opção inibe o uso do nível de qualidade aleatório muito seguro (Libgcrypt's
GCRY_VERY_STRONG_RANDOM) e degrada todas as solicitações para a qualidade aleatória padrão.
É usado apenas para teste e não deve ser usado para nenhuma chave de qualidade de produção.
Esta opção só tem efeito quando fornecida na linha de comando.

--debug-pinentry
Esta opção habilita informações extras de depuração pertencentes ao Pinentry. A partir de agora
só é útil quando usado junto com --depurar 1024.

--não-desanexar
Não desconecte o processo do console. Isso é útil principalmente para depuração.

-s

--sh

-c

--csh Formate a saída de informações no modo daemon para uso com o shell Bourne padrão ou o
C-shell respectivamente. O padrão é adivinhá-lo com base na variável de ambiente
SHELL o que está correto em quase todos os casos.

--não agarrar
Diga ao pinentry para não agarrar o teclado e o mouse. Esta opção deve ser
geral não deve ser usado para evitar ataques X-sniffing.

--arquivo de log lima
Anexar todas as saídas de registro a lima. Isso é muito útil para ver o que o agente
realmente faz. Se nem um arquivo de log nem um descritor de arquivo de log foi definido em um
Plataforma Windows, a entrada do Registro HKCU \ Software \ GNU \ GnuPG: DefaultLogFile, Se
definido, é usado para especificar a saída de registro.

--no-allow-mark-confiável
Não permita que os clientes marquem as chaves como confiáveis, ou seja, coloque-as no
'lista de confiança.txt' Arquivo. Isso torna mais difícil para os usuários aceitarem inadvertidamente o Root-
Chaves CA.

--allow-preset-senha
Esta opção permite o uso de senha predefinida gpg para semear o cache interno de
agente gpg com senhas.

--allow-loopback-pinentry
Permitir que os clientes usem os recursos de pinentry de loopback; veja a opção modo pinentry
para obter detalhes.

--no-allow-external-cache
Diga ao Pinentry para não habilitar recursos que usam um cache externo para frases secretas.

Alguns ambientes de desktop preferem desbloquear todas as credenciais com uma senha mestra
e pode ter instalado um Pinentry que emprega um cache externo adicional para
implementar tal política. Ao usar esta opção, o Pinentry é aconselhado a não fazer
use esse cache e, em vez disso, sempre peça ao usuário a frase-senha solicitada.

--allow-emacs-pinentry
Diga ao Pinentry para permitir que recursos desviem a entrada da frase-senha para um Emacs em execução
instância. Como isso é feito exatamente depende da versão do Pinentry usado.

--ignore-cache-para-assinatura
Esta opção permitirá agente gpg ignorar o cache de senha para todas as assinaturas
Operação. Observe que também há uma opção por sessão para controlar este comportamento
mas esta opção de linha de comando tem precedência.

--default-cache-ttl n
Defina a hora em que uma entrada de cache é válida n segundos. O padrão é 600 segundos.
Cada vez que uma entrada de cache é acessada, o cronômetro da entrada é zerado. Para definir uma entrada
vida máxima, use max-cache-ttl.

--default-cache-ttl-ssh n
Defina a hora em que uma entrada de cache usada para chaves SSH é válida n segundos. O padrão é
1800 segundos. Cada vez que uma entrada de cache é acessada, o cronômetro da entrada é zerado. Para
definir a vida útil máxima de uma entrada, usar max-cache-ttl-ssh.

--max-cache-ttl n
Defina o tempo máximo que uma entrada de cache é válida para n segundos. Após este tempo, um cache
a entrada irá expirar mesmo que tenha sido acessada recentemente ou tenha sido configurada usando
senha predefinida gpg. O padrão é 2 horas (7200 segundos).

--max-cache-ttl-ssh n
Defina o tempo máximo que uma entrada de cache usada para chaves SSH é válida para n segundos. Depois de
desta vez, uma entrada de cache irá expirar mesmo que tenha sido acessada recentemente ou
foi definido usando senha predefinida gpg. O padrão é 2 horas (7200 segundos).

--enforce-frase-senha-restrições
Aplique as restrições de senha, não permitindo que o usuário as contorne usando
o botão `` Pegar assim mesmo ''.

--min-senha-len n
Defina o comprimento mínimo de uma frase secreta. Ao inserir uma nova senha mais curta
do que este valor, um aviso será exibido. O padrão é 8.

--min-senha-nonalpha n
Defina o número mínimo de dígitos ou caracteres especiais necessários em uma frase secreta.
Ao inserir uma nova senha com menos que este número de dígitos ou especial
caracteres um aviso será exibido. O padrão é 1.

--check-passphrase-padrão lima
Verifique a senha contra o padrão fornecido em lima. Ao entrar em um novo
Se a frase secreta corresponder a um desses padrões, um aviso será exibido. lima rede de apoio social
ser um nome de arquivo absoluto. O padrão é não usar nenhum arquivo de padrão.

Observação de segurança: sabe-se que verificar uma senha longa em relação a uma lista de padrões ou
mesmo contra um dicionário completo, não é muito eficaz para impor boas
senhas. Os usuários logo descobrirão maneiras de contornar essa política. Um melhor
política é educar os usuários sobre um bom comportamento de segurança e, opcionalmente, executar um
cracker de senha longa regularmente em todas as senhas de usuários para pegar o muito simples
onas.

--max-passphrase-dias n
Peça ao usuário para alterar a senha se n dias se passaram desde a última mudança.
Com o --enforce-frase-senha-restrições definido, o usuário não pode ignorar esta verificação.

--enable-histórico da frase secreta
Esta opção não faz nada ainda.

--pinentry-invisível-char carbonizar
Esta opção pede ao Pinentry para usar carbonizar para exibir caracteres ocultos. carbonizar
deve ser uma string UTF-8 de um caractere. Um Pinentry pode ou não honrar este pedido.

--pinentry-timeout n
Esta opção faz com que o Pinentry atinja o tempo limite após n segundos sem entrada do usuário. o
o valor padrão de 0 não pede que o pinentry atinja o tempo limite, no entanto, um pinentry pode usar
seu próprio valor de tempo limite padrão neste caso. Um Pinentry pode ou não honrar este
solicitação.

--pinentry-programa nome do arquivo
Use o programa nome do arquivo como a entrada do PIN. O padrão depende da instalação.
Com a configuração padrão, o nome da pinentria padrão é 'pinenteria'; E se
esse arquivo não existe, mas um 'pinentry-básico'existe o último é usado.

Em uma plataforma Windows, o padrão é usar o primeiro programa existente deste
lista: 'bin \ pinentry.exe','.. \ Gpg4win \ bin \ pinentry.exe','.. \ Gpg4win \ pinentry.exe',
'.. \ GNU \ GnuPG \ pinentry.exe','.. \ GNU \ bin \ pinentry.exe','bin \ pinentry-basic.exe,
onde os nomes dos arquivos são relativos ao diretório de instalação do GnuPG.

--pinentry-touch-arquivo nome do arquivo
Por padrão, o nome do arquivo do socket gpg-agent está escutando os pedidos é passado
para Pinentry, para que ele possa tocar naquele arquivo antes de sair (ele faz isso apenas em
modo de maldições). Esta opção altera o arquivo passado para Pinentry para nome do arquivo. O
nome especial / dev / null pode ser usado para desativar completamente este recurso. Observe que
A Pinentry não criará esse arquivo, apenas mudará a modificação e o acesso
tempo.

--scdaemon-programa nome do arquivo
Use o programa nome do arquivo como o daemon de cartão inteligente. O padrão é instalação
dependente e pode ser mostrado com o gpgconf comando.

--disable-scdaemon
Não faça uso da ferramenta scdaemon. Esta opção tem o efeito de desativar o
capacidade de fazer operações de smartcard. Observe que habilitar esta opção em tempo de execução
não mata um scdaemon já bifurcado.

--disable-check-own-socket
agente gpg emprega um autoteste periódico para detectar um soquete roubado. Isso geralmente
significa uma segunda instância de agente gpg assumiu o controle do soquete e agente gpg precisarão
em seguida, encerrar-se. Esta opção pode ser usada para desativar este autoteste para
fins de depuração.

--use-soquete padrão

--no-use-soquete padrão

--use-soquete-padrão-p
Desde o GnuPG 2.1, o soquete padrão é sempre usado. Essas opções não têm mais
efeito. O comando agente gpg --use-soquete-padrão-p irá, portanto, sempre retornar
sucesso.

--exibição corda

--ttynome corda

--ttype corda

--lc-ctype corda

--lc-mensagens corda

--xautoridade corda
Essas opções são usadas com o modo de servidor para passar informações de localização.

--keep-tty

--manter-display
Ignore os pedidos para alterar o atual tty ou sistema X window DISPLAY variável
respectivamente. Isso é útil para travar o pinentry para aparecer no tty ou exibir
você iniciou o agente.

--soquete extra nome
Também escute nas conexões do agente gpg nativo no soquete fornecido. O uso pretendido
para este soquete extra é configurar um soquete de domínio Unix encaminhando de um remoto
máquina para este soquete na máquina local. UMA gpg rodando na máquina remota
pode então se conectar ao agente gpg local e usar suas chaves privadas. Isso permite
descriptografar ou assinar dados em uma máquina remota sem expor as chaves privadas ao
máquina remota.

--enable-ssh-suporte

--enable-putty-suporte

Ative o protocolo do OpenSSH Agent.

Neste modo de operação, o agente não implementa apenas o gpg-agent
protocolo, mas também o protocolo do agente usado pelo OpenSSH (por meio de um soquete separado).
Consequentemente, deve ser possível usar o agente gpg como um substituto imediato
para o conhecido agente ssh.

Chaves SSH, que devem ser usadas por meio do agente, precisam ser adicionadas ao agente gpg
inicialmente por meio do utilitário ssh-add. Quando uma chave é adicionada, o ssh-add irá pedir
a senha do arquivo de chave fornecido e enviar o material da chave desprotegida para o
agente; isso faz com que o agente gpg solicite uma senha, que será usada para
criptografar a chave recém-recebida e armazená-la em um diretório específico do agente gpg.

Assim que uma chave for adicionada ao gpg-agent desta forma, o gpg-agent estará pronto para
use a chave.

Observação: caso o gpg-agent receba uma solicitação de assinatura, o usuário pode precisar ser
solicitada uma frase-senha, que é necessária para descriptografar a chave armazenada. Desde a
o protocolo ssh-agent não contém um mecanismo para informar ao agente no qual
display / terminal está rodando, o ssh-support do gpg-agent usará o TTY ou X
exibir onde o gpg-agent foi iniciado. Para mudar esta exibição para o atual
um, o seguinte comando pode ser usado:

gpg-connect-agent updatestartuptty / bye

Embora todos os componentes do GnuPG tentem iniciar o gpg-agent conforme necessário, isso não é possível
para o suporte ssh porque ssh não sabe sobre isso. Portanto, se nenhuma ferramenta GnuPG
acessa o agente foi executado, não há garantia de que o ssh seja capaz de usar o gpg-agent
para autenticação. Para corrigir isso, você pode iniciar o gpg-agent, se necessário, usando este simples
comando:

gpg-conectar-agente / tchau

Adicionando o --verbose mostra o andamento da inicialização do agente.

A --enable-putty-suporte está disponível apenas no Windows e permite o uso do gpg-agent
com a implementação ssh massa de vidraceiro. Isso é semelhante ao suporte ssh-agent regular, mas
faz uso da fila de mensagens do Windows, conforme exigido por massa de vidraceiro.

Todas as opções longas também podem ser fornecidas no arquivo de configuração após remover o
dois travessões iniciais.

EXEMPLOS

É importante definir a variável de ambiente GPG_TTY em seu shell de login, por exemplo
no '~ / .bashrc'script de inicialização:

export GPG_TTY = $ (tty)

Se você habilitou o Suporte do Agente Ssh, você também precisa informar ao ssh sobre isso adicionando isto a
seu script de inicialização:

não definir SSH_AGENT_PID
if ["$ {gnupg_SSH_AUTH_SOCK_by: -0}" -ne $$]; então
export SSH_AUTH_SOCK = "$ {HOME} /. gnupg / S.gpg-agent.ssh"
fi

Use gpg-agent online usando serviços onworks.net