Este é o comando gpg2 que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas múltiplas estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online de Windows ou emulador online de MAC OS.
PROGRAMA:
NOME
gpg2 - Ferramenta de criptografia e assinatura OpenPGP
SINOPSE
gpg2 [--homedir dir] [--opções lima] [opções] comando [args]
DESCRIÇÃO
gpg2 é a parte OpenPGP do GNU Privacy Guard (GnuPG). É uma ferramenta para fornecer informações digitais
serviços de criptografia e assinatura usando o padrão OpenPGP. gpg2 apresenta chave completa
gerenciamento e todos os recursos que você pode esperar de uma implementação decente do OpenPGP.
Em contraste com o comando independente gpg do GnuPG 1.x, que pode ser mais adequado
para plataformas de servidor e embarcadas, a versão 2.x é comumente instalada com o nome
gpg2 e direcionado para desktop, pois requer a instalação de vários outros módulos.
RETORNO VALOR
O programa retorna 0 se tudo estiver bem, 1 se pelo menos uma assinatura estiver ruim e outro
códigos de erro para erros fatais.
AVISOS
Use uma senha * boa * para sua conta de usuário e uma frase-senha * boa * para proteger seu segredo
chave. Essa frase secreta é a parte mais fraca de todo o sistema. Programas para fazer dicionário
ataques ao seu chaveiro secreto são muito fáceis de escrever e, portanto, você deve proteger o seu
"~ / .gnupg /"diretório muito bem.
Tenha em mente que, se este programa for usado em uma rede (telnet), é * muito * fácil de
espie sua senha longa!
Se você for verificar assinaturas desanexadas, certifique-se de que o programa saiba disso;
forneça os dois nomes de arquivo na linha de comando ou use '-' para especificar STDIN.
INTEROPERABILIDADE
O GnuPG tenta ser uma implementação muito flexível do padrão OpenPGP. Em particular,
O GnuPG implementa muitas das partes opcionais do padrão, como o hash SHA-512 e
os algoritmos de compressão ZLIB e BZIP2. É importante estar ciente de que nem todos
Os programas OpenPGP implementam esses algoritmos opcionais e forçam seu uso por meio do
--cifra-algo, --digest-algo, --cert-digest-algoou --comprimir-algo opções no GnuPG,
é possível criar uma mensagem OpenPGP perfeitamente válida, mas que não pode ser lida por
o destinatário pretendido.
Existem dezenas de variações de programas OpenPGP disponíveis, e cada um suporta um pouco
subconjunto diferente desses algoritmos opcionais. Por exemplo, até recentemente, não (não marcado)
versão do PGP suportava o algoritmo de cifra BLOWFISH. Uma mensagem usando BLOWFISH simplesmente
não pôde ser lido por um usuário PGP. Por padrão, o GnuPG usa as preferências padrão do OpenPGP
sistema que sempre fará a coisa certa e criará mensagens que podem ser utilizadas por todos
destinatários, independentemente de qual programa OpenPGP eles usam. Apenas sobrescrever este padrão seguro
se você realmente sabe o que está fazendo.
Se você absolutamente deve substituir o padrão seguro, ou se as preferências em uma determinada chave são
inválido por algum motivo, é muito melhor usar o --pgp6, --pgp7ou --pgp8
opções. Essas opções são seguras, pois não forçam nenhum algoritmo específico em
violação do OpenPGP, mas sim reduzir os algoritmos disponíveis a uma lista "segura para PGP".
COMANDOS
Os comandos não se distinguem das opções, exceto pelo fato de que apenas um comando é
permitido.
gpg2 pode ser executado sem comandos, caso em que executará uma ação razoável
dependendo do tipo de arquivo é fornecido como entrada (uma mensagem criptografada é descriptografada, um
a assinatura é verificada, um arquivo contendo as chaves é listado).
Lembre-se de que a opção, bem como a análise do comando para assim que uma não opção for
encontrados, você pode interromper explicitamente a análise usando a opção especial --.
comandos não específico para que o função
--versão
Imprima a versão do programa e as informações de licença. Observe que você não pode
abrevie este comando.
--Socorro
-h Imprima uma mensagem de uso resumindo as opções de linha de comando mais úteis. Observe que
você não pode abreviar este comando.
--garantia
Imprima informações de garantia.
- opções de despejo
Imprima uma lista de todas as opções e comandos disponíveis. Observe que você não pode
abrevie este comando.
comandos para selecionar que o tipo of operação
--sinal
-s Faça uma assinatura. Este comando pode ser combinado com --encriptar (para um assinado e
mensagem criptografada), --simétrico (para uma mensagem assinada e criptografada simetricamente),
or --encriptar e --simétrico juntos (para uma mensagem assinada que pode ser decifrada
por meio de uma chave secreta ou senha). A chave a ser usada para assinatura é escolhida por
padrão ou pode ser definido com o --usuário local e --chave padrão opções.
--clearsign
Faça uma assinatura de texto claro. O conteúdo em uma assinatura de texto não criptografado é legível
sem nenhum software especial. O software OpenPGP só é necessário para verificar o
assinatura. Assinaturas de texto não criptografado podem modificar o espaço em branco de fim de linha para a plataforma
independência e não se destinam a ser reversíveis. A chave a ser usada para assinar
é escolhido por padrão ou pode ser definido com o --usuário local e --chave padrão opções.
--detach-sinal
-b Faça uma assinatura destacada.
--encriptar
-e Criptografe os dados. Esta opção pode ser combinada com --sinal (para um assinado e criptografado
mensagem), --simétrico (para uma mensagem que pode ser descriptografada por meio de uma chave secreta ou um
senha longa), ou --sinal e --simétrico juntos (para uma mensagem assinada que pode ser
descriptografado por meio de uma chave secreta ou senha longa).
--simétrico
-c Criptografe com uma cifra simétrica usando uma senha longa. A cifra simétrica padrão
usado é AES-128, mas pode ser escolhido com o --cifra-algo opção. Esta opção pode
ser combinado com --sinal (para uma mensagem assinada e criptografada simetricamente),
--encriptar (para uma mensagem que pode ser descriptografada por meio de uma chave secreta ou senha),
or --sinal e --encriptar juntos (para uma mensagem assinada que pode ser descriptografada através de um
chave secreta ou uma senha).
--armazenar
Armazene apenas (faça um pacote de dados literal simples).
--descriptografar
-d Descriptografe o arquivo fornecido na linha de comando (ou STDIN se nenhum arquivo for especificado) e
escreva para STDOUT (ou o arquivo especificado com --resultado) Se o arquivo descriptografado for
assinado, a assinatura também é verificada. Este comando difere do padrão
operação, uma vez que nunca grava no nome do arquivo que está incluído no arquivo e
rejeita arquivos que não começam com uma mensagem criptografada.
--verificar
Suponha que o primeiro argumento seja um arquivo assinado e verifique-o sem gerar
qualquer saída. Sem argumentos, o pacote de assinatura é lido de STDIN. Se apenas um
um argumento é fornecido, espera-se que seja uma assinatura completa.
Com mais de 1 argumento, o primeiro deve ser uma assinatura destacada e o
os arquivos restantes absorvem os dados assinados. Para ler os dados assinados de STDIN, use
'-' como o segundo nome de arquivo. Por razões de segurança, uma assinatura separada não pode ser lida
o material assinado pela STDIN sem denotá-lo da forma acima.
Nota: Se a opção --lote não é usado, gpg2 pode assumir que um único argumento é
um arquivo com uma assinatura separada e tentará encontrar um arquivo de dados correspondente
removendo certos sufixos. Usando este recurso histórico para verificar um
a assinatura é fortemente desencorajada; sempre especifique o arquivo de dados também.
Nota: Ao verificar uma assinatura de texto não criptografado, gpg verifica apenas o que compõe o
dados assinados em texto não criptografado e nenhum dado extra fora da assinatura em texto não criptografado ou
linhas de cabeçalho seguindo diretamente a linha do marcador de traço. A opção --resultado pode ser
usado para escrever os dados reais assinados; mas existem outras armadilhas com este
formato também. Sugere-se evitar assinaturas de texto não criptografado em favor de separado
assinaturas.
--multiarquivo
Isso modifica certos outros comandos para aceitar vários arquivos para processamento no
linha de comando ou ler de STDIN com cada nome de arquivo em uma linha separada. Isso permite
para muitos arquivos a serem processados de uma vez. --multiarquivo pode atualmente ser usado junto
com --verificar, --encriptar e --descriptografar. Observe que --multiarquivo --verificar talvez não seja
usado com assinaturas destacadas.
--verify-files
Idêntico a --multiarquivo --verificar.
--encrypt-arquivos
Idêntico a --multiarquivo --encriptar.
--decrypt-arquivos
Idêntico a --multiarquivo --descriptografar.
--list-chaves
-k
--list-chaves públicas
Liste todas as chaves dos chaveiros públicos ou apenas as chaves fornecidas na linha de comando.
Evite usar a saída deste comando em scripts ou outros programas, pois é provável
para mudar conforme o GnuPG muda. Ver --with-dois-pontos para uma lista de chaves analisável por máquina
comando apropriado para uso em scripts e outros programas.
--list-chaves secretas
-K Liste todas as chaves dos chaveiros secretos ou apenas aquelas fornecidas na linha de comando.
A # depois das cartas seca significa que a chave secreta não é utilizável (por exemplo, se
foi criado por meio de --exportar-secretas-subchaves).
--list-sigs
Igual a --list-chaves, mas as assinaturas também estão listadas. Este comando tem o mesmo
efeito como usar --list-chaves com --with-sig-list.
Para cada assinatura listada, existem vários sinalizadores entre a tag "sig" e
keyid. Esses sinalizadores fornecem informações adicionais sobre cada assinatura. Da esquerda para
certo, eles são os números 1-3 para o nível de verificação de certificado (ver --ask-cert-level),
"L" para uma assinatura local ou não exportável (ver --lsign-chave), "R" para um
assinatura não revogável (consulte o --edit-chave comando "nrsign"), "P" para uma assinatura
que contém um URL de política (veja --cert-policy-url), "N" para uma assinatura que
contém uma notação (veja --cert-notação), "X" para uma assinatura eXpirada (consulte --perguntar-
cert-expirar), e os números 1-9 ou "T" para 10 e acima para indicar confiança
níveis de assinatura (veja o --edit-chave comando "tsign").
--check-sigs
Igual a --list-sigs, mas as assinaturas são verificadas. Observe que para desempenho
razões pelas quais o status de revogação de uma chave de assinatura não é mostrado. Este comando tem o
mesmo efeito que usar --list-chaves com --with-sig-check.
O status da verificação é indicado por uma bandeira logo após o "sig"
tag (e, portanto, antes dos sinalizadores descritos acima para --list-sigs) UMA "!" indica
que a assinatura foi verificada com sucesso, um "-" denota uma assinatura incorreta
e um "%" é usado se ocorrer um erro durante a verificação da assinatura (por exemplo, um não
algoritmo compatível).
--locate-chaves
Localize as chaves fornecidas como argumentos. Este comando usa basicamente o mesmo algoritmo
como usado ao localizar chaves para criptografia ou assinatura e pode, portanto, ser usado para ver
quais chaves gpg2 poderia usar. Em particular, métodos externos, conforme definidos por --auto-chave-
localizar pode ser usado para localizar uma chave. Somente chaves públicas são listadas.
--impressão digital
Liste todas as chaves (ou as especificadas) junto com suas impressões digitais. Isto é o
mesma saída que --list-chaves mas com a saída adicional de uma linha com o
impressão digital. Também pode ser combinado com --list-sigs or --check-sigs. Se este
comando é dado duas vezes, as impressões digitais de todas as chaves secundárias são listadas também.
--list-pacotes
Liste apenas a sequência de pacotes. Isso é útil principalmente para depuração. Quando usado
com opção --verbose os valores reais de MPI são descartados e não apenas seus comprimentos.
--card-edit
Apresente um menu para trabalhar com um smartcard. O subcomando "help" fornece uma visão geral
nos comandos disponíveis. Para uma descrição detalhada, consulte o Card HOWTO em
https://gnupg.org/documentation/howtos.html#GnuPG-cardHOWTO .
--status do cartão
Mostra o conteúdo do cartão inteligente.
--alterar-pino
Apresentar um menu para permitir a alteração do PIN de um smartcard. Esta funcionalidade também é
disponível como o subcomando "passwd" com o --card-edit comando.
--delete-keys nome
--delete-keys nome
Remova a chave do chaveiro público. Em modo de lote também --sim é necessário ou o
a chave deve ser especificada por impressão digital. Esta é uma proteção contra acidentes
exclusão de várias chaves.
--delete-chaves secretas nome
Remova a chave do chaveiro secreto. No modo em lote, a chave deve ser especificada por
impressão digital.
--delete-secreto-e-chave pública nome
Igual a --delete-key, mas se houver uma chave secreta, ela será removida primeiro. No
modo de lote, a chave deve ser especificada por impressão digital.
--exportar
Exporte todas as chaves de todos os chaveiros (chaveiros padrão e aqueles registrados via
opção --chaveiro), ou se pelo menos um nome for fornecido, os do nome fornecido. o
as chaves exportadas são gravadas em STDOUT ou no arquivo fornecido com a opção --resultado. Usar
Juntamente com --armaduras para enviar essas chaves.
--enviar-chaves chave IDs
Semelhante a --exportar mas envia as chaves para um servidor de chaves. Impressões digitais podem ser usadas
em vez de IDs de chave. Opção --servidor de chaves deve ser usado para dar o nome deste
keyserver. Não envie seu chaveiro completo para um servidor de chaves --- selecione apenas aqueles
chaves novas ou alteradas por você. Se nenhum ID de chave for fornecido, gpg faz nada.
--exportar-chaves secretas
--exportar-secretas-subchaves
Igual a --exportar, mas exporta as chaves secretas. As chaves exportadas são
escrito em STDOUT ou no arquivo fornecido com a opção --resultado. Este comando é frequentemente
usado junto com a opção --armaduras para permitir a impressão fácil da chave para papel
cópia de segurança; porém a ferramenta externa chave de papel faz um trabalho melhor para criar backups
no papel. Observe que exportar uma chave secreta pode ser um risco de segurança se o
as chaves são enviadas por um canal inseguro.
A segunda forma do comando tem a propriedade especial de renderizar a parte secreta
da chave primária inútil; esta é uma extensão GNU para OpenPGP e outros
não se pode esperar que as implementações importem essa chave com êxito. Seu
o uso pretendido é gerar uma chave completa com uma subchave de assinatura adicional em um
máquina dedicada e, em seguida, usando este comando para exportar a chave sem o principal
chave para a máquina principal.
O GnuPG pode solicitar que você insira a senha da chave. Isto é necessário porque
o método de proteção interna da chave secreta é diferente daquele
especificado pelo protocolo OpenPGP.
--exportar-ssh-chave
Este comando é usado para exportar uma chave no formato de chave pública OpenSSH. Isso requer
a especificação de uma chave pelos meios usuais e exporta a última subchave válida
que possui capacidade de autenticação para STDOUT ou para o arquivo fornecido com a opção
--resultado. Essa saída pode ser adicionada diretamente ao ‘chave_autorizada' Arquivo.
Ao especificar a chave a ser exportada usando um ID de chave ou uma impressão digital com um sufixo
ponto de exclamação (!), uma subchave específica ou a chave primária podem ser exportadas. Esse
nem sequer exige que a chave tenha o sinalizador de capacidade de autenticação definido.
--importar
--importação rápida
Importar / mesclar chaves. Isso adiciona as chaves fornecidas ao chaveiro. A versão rápida é
atualmente apenas um sinônimo.
Existem algumas outras opções que controlam como esse comando funciona. Mais notável
aqui é o - opções de importação unir apenas opção que não insere novas chaves, mas
faz apenas a fusão de novas assinaturas, IDs de usuário e subchaves.
--recv-keys chave IDs
Importe as chaves com os IDs de chave fornecidos de um servidor de chaves. Opção --servidor de chaves devemos ser
usado para fornecer o nome deste servidor de chaves.
--refresh-keys
Solicite atualizações de um servidor de chaves para as chaves que já existem no chaveiro local.
Isso é útil para atualizar uma chave com as últimas assinaturas, IDs de usuário, etc.
Chamar isso sem argumentos atualizará todo o chaveiro. Opção --servidor de chaves
deve ser usado para dar o nome do servidor de chaves para todas as chaves que não têm
conjunto de servidores de chaves preferidos (veja --keyserver-opções honra-keyserver-url).
--chaves de pesquisa nomes
Pesquise o servidor de chaves pelos nomes dados. Vários nomes fornecidos aqui serão unidos
juntos para criar a string de pesquisa para o servidor de chaves. Opção --servidor de chaves devemos ser
usado para fornecer o nome deste servidor de chaves. Servidores de chaves que suportam pesquisas diferentes
os métodos permitem o uso da sintaxe especificada em "Como especificar um ID de usuário" a seguir. Observação
que diferentes tipos de servidor de chaves suportam diferentes métodos de pesquisa. Atualmente apenas
O LDAP oferece suporte a todos eles.
--fetch-keys URIs
Recupere as chaves localizadas nos URIs especificados. Observe que diferentes instalações de
GnuPG pode suportar diferentes protocolos (HTTP, FTP, LDAP, etc.)
--update-trustdb
Faça a manutenção do banco de dados confiável. Este comando itera sobre todas as chaves e constrói o
Teia de confiança. Este é um comando interativo porque pode ter que pedir o
valores "ownertrust" para as chaves. O usuário deve dar uma estimativa de quão longe ela
confia no proprietário da chave exibida para certificar (assinar) outras chaves corretamente. GnuPG
só pede o valor ownertrust se ainda não tiver sido atribuído a uma chave. Usando
que o --edit-chave menu, o valor atribuído pode ser alterado a qualquer momento.
--check-trustdb
Faça a manutenção do banco de dados confiável sem interação do usuário. De vez em quando, a confiança
banco de dados deve ser atualizado para que as chaves ou assinaturas expiradas e o resultado
mudanças na Web of Trust podem ser rastreadas. Normalmente, o GnuPG irá calcular quando
isso é necessário e faça-o automaticamente, a menos que --no-auto-check-trustdb é definido.
Este comando pode ser usado para forçar uma verificação do banco de dados confiável a qualquer momento. o
processamento é idêntico ao de --update-trustdb mas pula teclas com um não
ainda definido como "ownertrust".
Para uso com tarefas cron, este comando pode ser usado junto com --lote em que
caso a verificação do banco de dados confiável seja feita apenas se uma verificação for necessária. Para forçar uma corrida
mesmo no modo em lote, adicione a opção --sim.
--exportar-proprietárioconfiança
Envie os valores de ownertrust para STDOUT. Isso é útil para fins de backup como estes
os valores são os únicos que não podem ser recriados a partir de um banco de dados confiável corrompido.
Exemplo:
gpg2 --export-ownertrust > otrust.txt
--import-ownertrust
Atualize o trustdb com os valores de ownertrust armazenados em arquivos (ou STDIN se não
dado); os valores existentes serão substituídos. No caso de um banco de dados confiável gravemente danificado
e se você tiver um backup recente dos valores de confiança do proprietário (por exemplo, no arquivo
'otrust.txt', você pode recriar o banco de confiança usando estes comandos:
cd ~ / .gnupg
rm trustdb.gpg
gpg2 --import-ownertrust < otrust.txt
--rebuild-keydb-caches
Ao atualizar da versão 1.0.6 para 1.0.7, este comando deve ser usado para criar
caches de assinatura no chaveiro. Pode ser útil em outras situações também.
--print-md algo
--print-mds
Imprime o resumo da mensagem do algoritmo ALGO para todos os arquivos fornecidos ou STDIN. Com o
segunda forma (ou um "*" obsoleto como algo) resumos para todos os algoritmos disponíveis são
impresso.
--gen-aleatório 0 | 1 | 2 contar
Emitir contar bytes aleatórios de determinado nível de qualidade 0, 1 ou 2. Se contar não é dado
ou zero, uma seqüência infinita de bytes aleatórios será emitida. Se usado com --armaduras
a saída será codificada em base64. POR FAVOR, não use este comando a menos que você saiba
o que você está fazendo; pode remover a entropia preciosa do sistema!
--gen-prime modo pedaços
Use a fonte, Luke :-). O formato de saída ainda está sujeito a alterações.
--enarmor
- querido
Empacote ou descompacte uma entrada arbitrária em / de uma armadura OpenPGP ASCII. Isto é um
Extensão GnuPG para OpenPGP e em geral não muito útil.
--tofu-set-política automático | bom | desconhecido | ruim | perguntar chave...
Defina a política TOFU para todas as ligações associadas às chaves especificadas. Para
mais informações sobre o significado das políticas, consulte: [trust-model-tofu]. O
as chaves podem ser especificadas por sua impressão digital (preferencial) ou por seu keyid.
Como funciona o dobrador de carta de canal para gerencia os chaves
Esta seção explica os principais comandos para gerenciamento de chaves
--quick-gen-key ID do usuário
Este é um comando simples para gerar uma chave padrão com um ID de usuário. Em contraste
para --gen-chave a chave é gerada diretamente sem a necessidade de responder a um monte de
Comandos. A menos que a opção --sim for fornecido, a criação da chave será cancelada se
o ID de usuário fornecido já existe no conjunto de chaves.
Se invocado diretamente no console sem nenhuma opção especial, uma resposta a um
O prompt de confirmação do estilo ``Continuar?'' é necessário. Caso o ID do usuário já
existe no chaveiro, um segundo prompt para forçar a criação da chave será exibido
para cima.
Se este comando for usado com --lote, --pinentry-mode foi definido para loopback e
uma das opções de senha (--frase-senha, --frase-senha-fdou arquivo de frase-senha)
é usada, a senha fornecida é usada para a nova chave e o agente não pergunta
por isso. Para criar uma chave sem qualquer proteção --frase-senha '' pode ser usado.
--gen-chave
Gere um novo par de chaves usando os parâmetros padrão atuais. Este é o padrão
comando para criar uma nova chave. Além da chave, um certificado de revogação é
criado e armazenado no 'openpgp-revocs.d'diretório abaixo da página inicial do GnuPG
diretório.
--chave de geração completa
Gere um novo par de chaves com caixas de diálogo para todas as opções. Esta é uma versão estendida
of --gen-chave.
Há também um recurso que permite criar chaves em modo lote. Veja o
seção do manual `` Geração de chave autônoma '' sobre como usar isto.
--gen-revogar nome
Gere um certificado de revogação para a chave completa. Para revogar apenas uma subchave ou
uma armadura de clave, use o --editar comando.
Este comando apenas cria o certificado de revogação para que possa ser usado para
revogar a chave se isso for necessário. Para realmente revogar uma chave criada
o certificado de revogação precisa ser mesclado com a chave para revogar. Isto é feito por
importando o certificado de revogação usando o --importar comando. Então o revogado
a chave precisa ser publicada, o que é melhor feito enviando a chave para um servidor de chaves
(comando --send-chave) e exportando (--exportar) para um arquivo que é então enviado para
parceiros de comunicação frequentes.
--desig-revoke nome
Gere um certificado de revogação designado para uma chave. Isso permite que um usuário (com
permissão do portador da chave) para revogar a chave de outra pessoa.
--edit-chave
Apresente um menu que permite realizar a maioria das tarefas relacionadas ao gerenciamento de chaves.
Ele espera a especificação de uma chave na linha de comando.
uid n Alternar seleção de ID de usuário ou ID de usuário fotográfico com índice n. Usar * para
selecione tudo e 0 para desmarcar tudo.
chave n Alternar seleção de subchave com índice n ou ID da chave n. Usar * para selecionar tudo
e 0 para desmarcar tudo.
assinar Faça uma assinatura na chave do usuário nome Se a chave ainda não foi assinada pelo
usuário padrão (ou os usuários fornecidos com -u), o programa exibe o
informações da chave novamente, junto com sua impressão digital e pergunta se
deve ser assinado. Esta pergunta é repetida para todos os usuários especificados com
-você.
assinar O mesmo que "assinar", mas a assinatura está marcada como não exportável e será
portanto, nunca seja usado por outros. Isso pode ser usado para tornar as chaves válidas apenas
no ambiente local.
nrsign O mesmo que "assinar", mas a assinatura é marcada como não revogável e pode
portanto, nunca seja revogado.
sinal Faça uma assinatura de confiança. Esta é uma assinatura que combina as noções de
certificação (como uma assinatura regular) e confiança (como o "trust"
comando). Geralmente, só é útil em comunidades ou grupos distintos.
Observe que "l" (para local / não exportável), "nr" (para não revogável e "t" (para
confiança) pode ser livremente misturada e prefixada como "assinar" para criar uma assinatura de qualquer tipo
desejado.
Se a opção --only-sign-text-ids for especificado, então qualquer ID de usuário não baseado em texto (por exemplo,
IDs com foto) não serão selecionados para assinatura.
Delsig Exclua uma assinatura. Observe que não é possível retirar uma assinatura,
uma vez que foi enviado ao público (ou seja, a um servidor de chaves). Nesse caso você
melhor uso revisão.
revisão Revogar uma assinatura. Para cada assinatura gerada por um dos
as chaves secretas, o GnuPG pergunta se um certificado de revogação deve ser
gerado.
verificar Verifique as assinaturas em todos os IDs de usuário selecionados. Com a opção extra
autoassinatura apenas autoassinaturas são mostradas.
adicionar Crie um ID de usuário adicional.
adicionar foto
Crie uma ID de usuário fotográfica. Isso solicitará um arquivo JPEG que será
incorporado ao ID do usuário. Observe que um JPEG muito grande resultará em um
chave grande. Observe também que alguns programas exibirão seu JPEG inalterado
(GnuPG), e alguns programas irão redimensioná-lo para caber em uma caixa de diálogo (PGP).
mostrar foto
Exibe o ID do usuário fotográfico selecionado.
deluida Exclua uma ID de usuário ou ID de usuário fotográfico. Observe que não é possível
retrair um ID de usuário, uma vez que tenha sido enviado ao público (ou seja, para um
keyserver). Nesse caso é melhor você usar revuido.
revuido Revogar um ID de usuário ou ID de usuário fotográfico.
primário
Sinalizar o ID do usuário atual como o principal, remove o ID do usuário principal
sinalizar de todos os outros IDs de usuário e definir o carimbo de data / hora de todos os auto-afetados
assinaturas um segundo à frente. Observe que definir um ID de usuário com foto como principal
torna-o principal em relação a outros IDs de usuário com foto, e definindo um ID de usuário normal como
primário o torna primário em relação a outros IDs de usuário regulares.
servidor de chaves
Defina um servidor de chaves preferido para os IDs de usuário especificados. Isso permite outro
os usuários saibam de onde você prefere que consigam sua chave. Ver --servidor de chaves-
opções honra-keyserver-url para mais informações sobre como isso funciona. Definindo um valor de
"nenhum" remove um servidor de chaves preferido existente.
notação
Defina uma notação name = value para os IDs de usuário especificados. Ver --cert-notação
para mais informações sobre como isso funciona. Definir um valor de "nenhum" remove todas as notações,
definir uma notação prefixada com um sinal de menos (-) remove essa notação, e
definir um nome de notação (sem o valor =) prefixado com um sinal de menos
remove todas as notações com esse nome.
preferência Lista as preferências do ID de usuário selecionado. Isso mostra o real
preferências, sem incluir quaisquer preferências implícitas.
showpref
Lista de preferências mais detalhadas para o ID de usuário selecionado. Isso mostra o
preferências em vigor, incluindo as preferências implícitas de 3DES (cifra),
SHA-1 (resumo) e Descomprimido (compressão) se ainda não estiverem
incluídos na lista de preferências. Além disso, o servidor de chaves preferido e
notações de assinatura (se houver) são mostradas.
definir preferência corda
Defina a lista de preferências de ID de usuário para corda para todos (ou apenas os selecionados)
IDs de usuário. Chamar setpref sem argumentos define a lista de preferências para o
padrão (embutido ou definido via - lista de preferências padrão), e ligando
setpref com "none" como argumento define uma lista de preferências vazia. Usar gpg2
--versão para obter uma lista de algoritmos disponíveis. Observe que, embora você possa
alterar as preferências em um atributo de ID do usuário (também conhecido como "ID da foto"), o GnuPG faz
não selecionar chaves por meio de IDs de usuário de atributo, então essas preferências não serão usadas
por GnuPG.
Ao definir as preferências, você deve listar os algoritmos na ordem em que
você gostaria de vê-los usados por outra pessoa ao criptografar uma mensagem para
sua chave. Se você não incluir 3DES, ele será adicionado automaticamente no
fim. Observe que há muitos fatores que influenciam na escolha de um algoritmo
(por exemplo, sua chave pode não ser o único destinatário), e assim o controle remoto
O aplicativo OpenPGP usado para enviar a você pode ou não seguir o seu
ordem exata escolhida para uma determinada mensagem. No entanto, ele apenas escolherá um
algoritmo que está presente na lista de preferências de cada chave de destinatário.
Consulte também a seção INTEROPERABILIDADE COM OUTROS PROGRAMAS OPENPGP abaixo.
adicionar chave Adicione uma subchave a esta chave.
adicionar chave de cartão
Gere uma subchave em um cartão e adicione-a a esta chave.
cartão-chave
Transfira a subchave secreta selecionada (ou a chave primária se nenhuma subchave tiver
selecionado) para um cartão inteligente. A chave secreta no chaveiro será
substituído por um esboço se a chave puder ser armazenada com sucesso no cartão e
você usa o comando salvar mais tarde. Apenas certos tipos de chave podem ser transferidos para
o cartão. Um submenu permite que você selecione em qual cartão armazenar a chave.
Observe que não é possível obter essa chave de volta do cartão - se o
o cartão for quebrado, sua chave secreta será perdida a menos que você tenha um backup
em algum lugar.
cartão bkupto lima
Restaure o arquivo fornecido em um cartão. Este comando pode ser usado para restaurar um
chave de backup (conforme gerada durante a inicialização do cartão) para um novo cartão. No
quase todos os casos, essa será a chave de criptografia. Você deveria usar isto
comando apenas com a chave pública correspondente e certifique-se de que o arquivo
dado como argumento é de fato o backup a ser restaurado. Você deve então selecionar 2
para restaurar como chave de criptografia. Você primeiro será solicitado a entrar no
senha da chave de backup e, a seguir, do PIN de administrador do cartão.
Delkey Remova uma subchave (chave secundária). Observe que não é possível retrair um
subchave, uma vez que foi enviada ao público (ou seja, a um servidor de chaves). Naquilo
caso é melhor você usar chave de revisão.
chave de revisão Revogar uma subchave.
expirar Altere o tempo de expiração da chave ou subchave. Se uma subchave for selecionada, o
o tempo de expiração desta subchave será alterado. Sem seleção, a chave
a expiração da chave primária é alterada.
trust Altere o valor de confiança do proprietário para a chave. Isso atualiza o trust-db
imediatamente e nenhum salvamento é necessário.
desabiltar
permitir Desative ou ative uma chave inteira. Uma chave desabilitada normalmente não pode ser usada para
Criptografia.
addrevoker
Adicione um revogador designado à chave. Isso leva um argumento opcional:
"confidencial". Se um revogador designado for marcado como sensível, não será
exportado por padrão (veja opções de exportação).
passwd Altere a frase secreta da chave secreta.
alternancia Este é um comando fictício que existe apenas para compatibilidade com versões anteriores.
limpar Compacte (removendo todas as assinaturas, exceto o selfsig) qualquer ID de usuário que seja
não pode mais ser usado (por exemplo, revogado ou expirado). Em seguida, remova todas as assinaturas
que não podem ser usados pelos cálculos de confiança. Especificamente, isso remove
qualquer assinatura que não valide, qualquer assinatura que seja substituída por um
assinatura posterior, assinaturas revogadas e assinaturas emitidas por chaves que são
não está presente no chaveiro.
minimizar
Faça a chave o menor possível. Isso remove todas as assinaturas de cada
ID do usuário, exceto para a auto-assinatura mais recente.
certificação cruzada
Adicionar assinaturas de certificação cruzada às subchaves de assinatura que podem não ser
tê-los. As assinaturas de certificação cruzada protegem contra um ataque sutil
contra a assinatura de subchaves. Ver --require-cross-certificate. Todas as novas chaves
gerado tem essa assinatura por padrão, então esta opção só é útil para
atualize as chaves mais antigas.
salvar Salve todas as alterações nos keyrings e saia.
desistir Saia do programa sem atualizar os keyrings.
A lista mostra a chave com suas chaves secundárias e todos os IDs de usuário. o
ID de usuário primário é indicado por um ponto, e as chaves selecionadas ou IDs de usuário são indicados
por um asterisco. O valor de confiança é exibido com a chave primária: a primeira é
a confiança do proprietário atribuído e o segundo é o valor de confiança calculado. As cartas são
usado para os valores:
- Nenhuma confiança do proprietário atribuída / ainda não calculada.
e O cálculo de confiança falhou; provavelmente devido a uma chave expirada.
q Não há informações suficientes para o cálculo.
n Nunca confie nesta chave.
m Marginalmente confiável.
f Totalmente confiável.
u Em última análise, confiável.
--chave de sinal nome
Assina uma chave pública com sua chave secreta. Esta é uma versão de atalho do
subcomando "sinal" de --editar.
--lsign-chave nome
Assina uma chave pública com sua chave secreta, mas a marca como não exportável. Isto é um
versão de atalho do subcomando "lsign" de --edit-chave.
--chave de sinal rápido fpr [nomes]
--quick-lsign-key fpr [nomes]
Assine diretamente uma chave da senha sem qualquer interação adicional do usuário. O
fpr deve ser a impressão digital primária verificada de uma chave no chaveiro local. Se não
nomes são fornecidos, todos os IDs de usuário úteis são assinados; com dado [nomes] útil apenas
os IDs de usuário que correspondem a um desses nomes são assinados. O comando --quick-lsign-key
marca as assinaturas como não exportáveis. Se tal assinatura não exportável já
existe o --chave de sinal rápido transforma-o em uma assinatura exportável.
Este comando usa padrões razoáveis e, portanto, não fornece o
flexibilidade do subcomando "sinal" de --edit-chave. Seu uso pretendido é ajudar
assinatura de chave autônoma, utilizando uma lista de impressões digitais verificadas.
--quick-adduid ID do usuário novo ID de usuário
Este comando adiciona um novo ID de usuário a uma chave existente. Ao contrário do interativo
subcomando adicionar of --edit-chave que o novo ID de usuário é adicionado literalmente com apenas
espaços em branco à esquerda e à direita removidos, espera-se que seja codificado em UTF-8 e
nenhuma verificação em seu formulário é aplicada.
--passwd user_id
Altere a senha da chave secreta pertencente ao certificado especificado como
user_id. Este é um atalho para o subcomando passwd do menu da tecla de edição.
OPÇÕES
gpg2 apresenta um monte de opções para controlar o comportamento exato e para alterar o padrão
configuração.
Opções longas podem ser colocadas em um arquivo de opções (padrão "~ / .gnupg / gpg.conf"). Opção curta
nomes não funcionarão - por exemplo, "armadura" é uma opção válida para o arquivo de opções, enquanto
"a" não é. Não escreva os 2 travessões, mas simplesmente o nome da opção e qualquer um
argumentos. As linhas com um hash ('#') como o primeiro caractere de espaço não em branco são ignoradas.
Os comandos podem ser colocados neste arquivo também, mas isso geralmente não é útil porque o comando
execute automaticamente com cada execução do gpg.
Lembre-se de que a análise de opção para assim que uma não opção for encontrada, você pode
interromper explicitamente a análise usando a opção especial --.
Como funciona o dobrador de carta de canal para alterar que o • Configuração
Essas opções são usadas para alterar a configuração e geralmente são encontradas na opção
arquivo.
--chave padrão nome
Use nome como a chave padrão para assinar. Se esta opção não for usada, o padrão
key é a primeira chave encontrada no chaveiro secreto. Observe que -u or --usuário local
substitui esta opção. Esta opção pode ser dada várias vezes. Neste caso, o
a última chave para a qual uma chave secreta está disponível é usada. Se não houver chave secreta
disponível para qualquer um dos valores especificados, o GnuPG não emitirá uma mensagem de erro, mas
continue como se esta opção não tivesse sido dada.
- destinatário padrão nome
Use nome como destinatário padrão se opção --destinatário não é usado e não pergunte se
este é válido. nome não deve estar vazio.
--default-receiver-self
Use a chave padrão como destinatário padrão se a opção --destinatário não é usado e
não pergunte se este é válido. A chave padrão é a primeira do segredo
chaveiro ou aquele conjunto com --chave padrão.
--no-default-receiver
Limpar - destinatário padrão e --default-receiver-self.
-dentro, --verbose
Dê mais informações durante o processamento. Se usado duas vezes, os dados de entrada são listados em
detalhe.
--não verboso
Redefina o nível detalhado para 0.
-q, --quieto
Tente ficar o mais quieto possível.
--lote
--sem lote
Use o modo em lote. Nunca pergunte, não permita comandos interativos. --sem lote desabilita
esta opção. Observe que mesmo com um nome de arquivo fornecido na linha de comando, o gpg pode
ainda precisa ler do STDIN (em particular se o gpg descobrir que a entrada é um
assinatura desanexada e nenhum arquivo de dados foi especificado). Assim se você não quiser
para alimentar dados via STDIN, você deve conectar STDIN a ‘/ dev / null'.
--no-tty
Certifique-se de que o TTY (terminal) nunca seja usado para nenhuma saída. Esta opção é
necessário em alguns casos porque o GnuPG às vezes imprime avisos para o TTY mesmo se
--lote é usado.
--sim Suponha que "sim" na maioria das perguntas.
--não Suponha que "não" na maioria das perguntas.
--list-opções parâmetros
Este é um espaço ou string delimitado por vírgulas que fornece opções usadas ao listar as chaves
e assinaturas (isto é, --list-chaves, --list-sigs, --list-chaves públicas, --Lista-
chaves secretas, e as --edit-chave funções). As opções podem ser anexadas com um no-
(após os dois travessões) para dar o significado oposto. As opções são:
mostrar fotos
destaque --list-chaves, --list-sigs, --list-chaves públicas e --list-chaves secretas
para exibir qualquer identificação com foto anexada à chave. O padrão é não. Veja também
- visualizador de fotos. Não funciona com --with-dois-pontos: Vejo --atributo-fd para
a maneira apropriada de obter dados de fotos para scripts e outros front-ends.
mostrar-uso
Mostra informações de uso para chaves e subchaves na lista de chaves padrão.
Esta é uma lista de letras que indicam o uso permitido para uma chave
(E= criptografia, S= assinando, C= certificação, A= autenticação). Padrões para
sim.
mostrar-política-urls
Mostrar URLs de política no --list-sigs or --check-sigs listagens. Padrões para
n.
mostrar notações
mostrar notações padrão
mostre as notações do usuário
Mostrar tudo, padrão IETF ou notações de assinatura definidas pelo usuário no --Lista-
assinaturas or --check-sigs listagens. O padrão é não.
mostrar-keyserver-urls
Mostrar qualquer URL de servidor de chaves preferido no --list-sigs or --check-sigs
listagens. O padrão é não.
validade-show-uid
Exibe a validade calculada de IDs de usuário durante listagens de chaves. Padrões
para sim.
show-inutilizável-uids
Mostrar IDs de usuários revogados e expirados nas listagens de chaves. O padrão é não.
show-inutilizável-subchaves
Mostra subchaves revogadas e expiradas em listagens de chaves. O padrão é não.
mostrar chaveiro
Mostre o nome do chaveiro no topo da lista de chaves para mostrar qual chaveiro um
determinada chave reside em. O padrão é não.
mostrar-sig-expirar
Mostrar datas de expiração de assinatura (se houver) durante --list-sigs or --check-sigs
listagens. O padrão é não.
show-sig-subpacotes
Inclui subpacotes de assinatura na lista de chaves. Esta opção pode levar um
lista opcional de argumentos dos subpacotes a serem listados. Se nenhum argumento for passado,
liste todos os subpacotes. O padrão é não. Esta opção só é significativa quando
utilização --with-dois-pontos e o --list-sigs or --check-sigs.
--verify-opções parâmetros
Este é um espaço ou string delimitado por vírgulas que fornece opções usadas ao verificar
assinaturas. As opções podem ser acrescentadas a um `não- 'para dar o significado oposto. o
opções são:
mostrar fotos
Exibir todos os IDs com foto presentes na chave que emitiu a assinatura.
O padrão é não. Veja também - visualizador de fotos.
mostrar-política-urls
Mostrar URLs de política na assinatura que está sendo verificada. O padrão é sim.
mostrar notações
mostrar notações padrão
mostre as notações do usuário
Mostrar tudo, padrão IETF ou notações de assinatura definidas pelo usuário no
assinatura sendo verificada. O padrão é o padrão IETF.
mostrar-keyserver-urls
Mostra qualquer URL de servidor de chaves preferido na assinatura que está sendo verificada. Padrões
para sim.
validade-show-uid
Exibir a validade calculada dos IDs de usuário na chave que emitiu o
assinatura. O padrão é sim.
show-inutilizável-uids
Mostrar IDs de usuários revogados e expirados durante a verificação da assinatura. Padrões
para não.
mostrar-primário-uid-somente
Mostra apenas o ID do usuário primário durante a verificação da assinatura. Isso é tudo
as linhas AKA, bem como os IDs das fotos não são mostrados com a assinatura
status de verificação.
pka-pesquisas
Habilite pesquisas de PKA para verificar endereços de remetentes. Observe que PKA é baseado em
DNS, e assim habilitar esta opção pode divulgar informações sobre quando e o que
as assinaturas são verificadas ou para quem os dados são criptografados. Isso é semelhante ao
"bug da web" descrito para o recurso de recuperação automática de chave.
aumento de confiança de pka
Aumente totalmente a confiança em uma assinatura se a assinatura passar pela PKA
validação. Esta opção só é significativa se pka-lookups estiver definido.
--habilitar-grande-rsa
--disable-grande-rsa
Com --gen-key e --batch, permite a criação de chaves secretas RSA maiores do que é
geralmente recomendado (até 8192 bits). Essas teclas grandes são mais caras para
uso, e suas assinaturas e certificações também são maiores.
--enable-dsa2
--disable-dsa2
Habilite o truncamento hash para todas as chaves DSA, mesmo para chaves DSA antigas de até 1024 bits. Esse
também é o padrão com --openpgp. Observe que as versões mais antigas do GnuPG também
exigiu este sinalizador para permitir a geração de DSA maior que 1024 bits.
- visualizador de fotos corda
Esta é a linha de comando que deve ser executada para visualizar uma identificação com foto. "%Eu vou ser
expandido para um nome de arquivo contendo a foto. "% I" faz o mesmo, exceto o arquivo
não será excluído assim que o visualizador sair. Outros sinalizadores são "% k" para o ID da chave,
"% K" para o ID de chave longo, "% f" para a impressão digital da chave, "% t" para a extensão de
o tipo de imagem (por exemplo, "jpg"), "% T" para o tipo MIME da imagem (por exemplo
"image / jpeg"), "% v" para a validade calculada de um caractere da imagem que está sendo
visualizado (por exemplo, "f"), "% V" para a validade calculada como uma string (por exemplo, "completo"),
"% U" para um hash codificado em base32 do ID do usuário e "%%" para um sinal de porcentagem real.
Se nem% i nem% I estiverem presentes, a foto será fornecida ao visualizador em
entrada padrão.
O visualizador padrão é "xloadimage -fork -quiet -title 'KeyID 0x% k' STDIN". Observação
que se o seu programa visualizador de imagens não for seguro, executá-lo a partir do GnuPG
não torná-lo seguro.
--exec-caminho corda
Define uma lista de diretórios para pesquisar visualizadores de fotos e assistentes de servidor de chaves. Se
não fornecido, os ajudantes do servidor de chaves usam o diretório padrão compilado e foto
os visualizadores usam a variável de ambiente $ PATH. Observe que no sistema W32 este valor é
ignorado ao procurar ajudantes do servidor de chaves.
--chaveiro lima
Adicionar lima à lista atual de chaveiros. Se lima começa com um til e uma barra,
eles são substituídos pelo diretório $ HOME. Se o nome do arquivo não contém um
barra, presume-se que esteja no diretório inicial do GnuPG ("~ / .gnupg" E se --homedir or
$ GNUPGHOME não é usado).
Observe que isso adiciona um chaveiro à lista atual. Se a intenção for usar o
chaveiro especificado sozinho, use --chaveiro e o --sem chaveiro padrão.
--chaveiro-secreto lima
Esta é uma opção obsoleta e ignorada. Todas as chaves secretas são armazenadas no
'chaves-privadas-v1.d' abaixo do diretório inicial do GnuPG.
--chaveiro-primário lima
Designar lima como o chaveiro público primário. Isso significa que as chaves recém-importadas
(através --importar ou servidor de chaves --recv-de) irá para este chaveiro.
--trustdb-nome lima
Use lima em vez do banco de dados confiável padrão. Se lima começa com um til e uma barra,
eles são substituídos pelo diretório $ HOME. Se o nome do arquivo não contém um
barra, presume-se que esteja no diretório inicial do GnuPG ('~ / .gnupg' E se --homedir or
$ GNUPGHOME não é usado).
--homedir dir
Defina o nome do diretório inicial para dir. Se esta opção não for usada, a casa
o diretório padrão é '~ / .gnupg'. Só é reconhecido quando dado no comando
linha. Ele também substitui qualquer diretório inicial indicado por meio da variável de ambiente
'GNUPGHOME'ou (em sistemas Windows) por meio da entrada do Registro
HKCU \ Software \ GNU \ GnuPG: HomeDir.
Em sistemas Windows, é possível instalar o GnuPG como um aplicativo portátil. No
neste caso, apenas esta opção de linha de comando é considerada, todas as outras maneiras de definir uma casa
diretório são ignorados.
Para instalar o GnuPG como um aplicativo portátil no Windows, crie um nome de arquivo vazio
'gpgconf.ctl'no mesmo diretório da ferramenta'gpgconf.exe'. A raiz do
a instalação é diferente daquele diretório; ou se 'gpgconf.exe' foi instalado
diretamente abaixo de um diretório chamado 'caixa', seu diretório pai. Você também precisa
certifique-se de que os seguintes diretórios existem e são graváveis: 'ROOT / home' para
a casa do GnuPG e 'ROOT / var / cache / gnupg2'para arquivos de cache internos.
--display-charset nome
Defina o nome do conjunto de caracteres nativos. Isso é usado para converter alguns
cadeias de caracteres informativas, como IDs de usuário, para a codificação UTF-8 adequada. Observe que este
não tem nada a ver com o conjunto de caracteres dos dados a serem criptografados ou assinados; GnuPG
não recodifica dados fornecidos pelo usuário. Se esta opção não for usada, o padrão
conjunto de caracteres é determinado a partir do local atual. Um nível de detalhamento de 3 programas
o conjunto escolhido. Valores válidos para nome são:
iso-8859-1
Este é o conjunto latino 1.
iso-8859-2
O conjunto latino 2.
iso-8859-15
Este é atualmente um alias para o conjunto Latin 1.
koi8-r O conjunto russo usual (rfc1489).
UTF-8 Ignore todas as traduções e suponha que o sistema operacional use a codificação UTF-8 nativa.
--utf8-strings
--no-utf8-strings
Suponha que os argumentos da linha de comando sejam fornecidos como strings UTF8. O padrão (--não-
strings utf8) é assumir que os argumentos são codificados no conjunto de caracteres como
especificado por --display-charset. Essas opções afetam todos os argumentos a seguir. Ambos
as opções podem ser usadas várias vezes.
--opções lima
Leia as opções de lima e não tente lê-los do arquivo de opções padrão em
o homedir (ver --homedir) Esta opção é ignorada se usada em um arquivo de opções.
--sem opções
Atalho para --opções / dev / null. Esta opção é detectada antes de uma tentativa de abrir
um arquivo de opções. Usar esta opção também impedirá a criação de um '~ / .gnupg,
homedir.
-z n
--compress-nível n
--bzip2-nível de compactação n
Defina o nível de compressão para n para os algoritmos de compressão ZIP e ZLIB. O padrão
é usar o nível de compactação padrão de zlib (normalmente 6). --bzip2-comprimir-
nível define o nível de compressão para o algoritmo de compressão BZIP2 (padronizado para
6 também). Esta é uma opção diferente de --compress-nível uma vez que BZIP2 usa um
quantidade significativa de memória para cada nível de compactação adicional. -z define ambos.
Um valor de 0 para n desativa a compressão.
--bzip2-decompress-lowmem
Use um método de descompactação diferente para arquivos compactados BZIP2. Esta alternativa
O método usa um pouco mais da metade da memória, mas também funciona com metade da velocidade. Esse
é útil em circunstâncias de memória extremamente baixa quando o arquivo foi originalmente
comprimido em um alto --bzip2-nível de compactação.
--mangle-dos-filenames
--no-mangle-dos-filenames
A versão mais antiga do Windows não pode lidar com nomes de arquivos com mais de um ponto. --mangle-
nomes de arquivos dos dos faz com que o GnuPG substitua (em vez de adicionar) a extensão de um
nome do arquivo de saída para evitar esse problema. Esta opção está desativada por padrão e não tem
efeito em plataformas não Windows.
--ask-cert-level
--no-ask-cert-level
Ao fazer uma assinatura de chave, solicite um nível de certificação. Se esta opção for
não especificado, o nível de certificação usado é definido via --default-cert-level. Ver
--default-cert-level para obter informações sobre os níveis específicos e como são usados.
--no-ask-cert-level desativa esta opção. O padrão desta opção é não.
--default-cert-level n
O padrão a ser usado para o nível de verificação ao assinar uma chave.
0 significa que você não faz nenhuma reclamação em particular sobre o cuidado com que verificou a chave.
1 significa que você acredita que a chave pertence à pessoa que afirma ser sua propriedade, mas você
não pôde ou não verificou a chave. Isso é útil para uma "persona"
verificação, onde você assina a chave de um usuário com pseudônimo.
2 significa que você fez uma verificação casual da chave. Por exemplo, isso pode significar que
você verificou a impressão digital da chave e comparou o ID do usuário na chave com uma foto
ID.
3 significa que você fez uma verificação extensiva da chave. Por exemplo, isso pode significar
que você verificou a impressão digital da chave com o proprietário da chave pessoalmente, e que
você verificou, por meio de um documento difícil de falsificar com uma identificação com foto (como um
passaporte) que o nome do proprietário da chave corresponde ao nome no ID do usuário no
e, finalmente, que você verificou (por troca de e-mail) que o endereço de e-mail no
a chave pertence ao proprietário da chave.
Observe que os exemplos dados acima para os níveis 2 e 3 são apenas isso: exemplos. No
no final, cabe a você decidir o que "casual" e "extenso" significam para você.
O padrão desta opção é 0 (nenhuma reclamação em particular).
--min-cert-level
Ao construir o banco de dados confiável, trate todas as assinaturas com um nível de certificação
abaixo disso como inválido. O padrão é 2, que desconsidera as assinaturas de nível 1. Observação
que assinaturas de nível 0 "nenhuma reivindicação particular" são sempre aceitas.
--chave confiável longo chave ID
Suponha que a chave especificada (que deve ser fornecida como um ID de chave completo de 8 bytes) é como
confiável como uma de suas próprias chaves secretas. Esta opção é útil se você não quiser
para manter suas chaves secretas (ou uma delas) online, mas ainda deseja poder verificar
a validade da chave de um determinado destinatário ou signatário.
--modelo de confiança pgp|clássico|tofu|tofu+pgp|direto|sempre|auto
Defina qual modelo de confiança o GnuPG deve seguir. Os modelos são:
pgp Esta é a Web of Trust combinada com assinaturas de confiança usadas no PGP 5.x
e depois. Este é o modelo de confiança padrão ao criar uma nova confiança
base de dados.
clássico
Esta é a Web of Trust padrão introduzida pelo PGP 2.
tofu
TOFU significa Confiança no primeiro uso. Neste modelo de confiança, a primeira vez que um
a chave é vista, ela é memorizada. Se mais tarde outra chave for vista com um ID de usuário
com o mesmo endereço de e-mail, um aviso será exibido indicando que há
um conflito e que a chave pode ser uma falsificação e uma tentativa de roubo
o ataque do meio.
Como um invasor em potencial é capaz de controlar o endereço de e-mail e
contornar assim o algoritmo de detecção de conflitos usando um email
endereço de aparência semelhante a um endereço de e-mail confiável, sempre que um
mensagem é verificada, estatísticas sobre o número de mensagens assinadas com o
chave são mostradas. Desta forma, um usuário pode identificar facilmente ataques usando falsos
chaves para correspondentes regulares.
Quando comparado com a Web of Trust, o TOFU oferece significativamente mais fraco
garantias de segurança. Em particular, o TOFU apenas ajuda a garantir consistência
(ou seja, que a ligação entre uma chave e um endereço de e-mail não muda).
Uma grande vantagem do TOFU é que ele requer pouca manutenção para ser usado.
corretamente. Para usar a rede de confiança corretamente, você precisa assinar ativamente as chaves
e marcar os usuários como apresentadores confiáveis. Este é um processo demorado e
evidências anedóticas sugerem que mesmo usuários preocupados com a segurança raramente tomam
o tempo para fazer isso completamente e, em vez disso, confiar em um processo TOFU ad-hoc.
No modelo TOFU, as políticas estão associadas a ligações entre chaves e
endereços de e-mail (que são extraídos de IDs de usuários e normalizados). Lá
existem cinco políticas, que podem ser definidas manualmente usando o --tofu-política opção.
A política padrão pode ser definida usando o --tofu-default-policy .
As políticas do TOFU são: auto, Bom estado, com sinais de uso, desconhecido, ruim e perguntar. O auto política é
usado por padrão (a menos que substituído por --tofu-default-policy) e marca um
vinculativo como marginalmente confiável. O Bom estado, com sinais de uso, desconhecido e ruim políticas marcam um
vinculativo como totalmente confiável, como tendo confiança desconhecida ou como tendo confiança nunca,
respectivamente. o desconhecido a política é útil apenas para usar o TOFU para detectar
conflitos, mas nunca atribuir confiança positiva a uma ligação. O final
política, perguntar solicita que o usuário indique a confiança da ligação. Se o modo em lote
está habilitado (ou a entrada é inadequada no contexto), então o usuário não está
solicitado e o indefinido o nível de confiança é retornado.
tofu+pgp
Este modelo de confiança combina o TOFU com a Web of Trust. Isto é feito por
calculando o nível de confiança para cada modelo e, em seguida, obtendo a confiança máxima
nível onde os níveis de confiança são ordenados da seguinte forma: desconhecido < indefinido <
marginal < totalmente < final < expirado < nunca.
Pela configuração --tofu-default-policy=desconhecido, este modelo pode ser usado para
implementar a rede de confiança com o algoritmo de detecção de conflitos do TOFU, mas
sem a atribuição de valores de confiança positivos, que alguns
usuários conscientes não gostam.
diretamente A validade da chave é definida diretamente pelo usuário e não calculada através da Web de
Confie.
sempre Ignore a validação da chave e presuma que as chaves usadas são sempre totalmente válidas. Vocês
geralmente não usará isso, a menos que você esteja usando alguma validação externa
esquema. Esta opção também suprime a tag "[incerteza]" impressa com
verificações de assinatura quando não há evidência de que o ID do usuário está vinculado ao
chave. Observe que este modelo de confiança ainda não permite o uso de expirados,
chaves revogadas ou desativadas.
auto Selecione o modelo de confiança dependendo de qualquer banco de dados de confiança interno
diz. Este é o modelo padrão se esse banco de dados já existir.
--auto-key-locate parâmetros
--no-auto-key-locate
O GnuPG pode localizar e recuperar automaticamente as chaves conforme necessário usando esta opção. Esse
acontece ao criptografar para um endereço de e-mail (no "[email protegido]"formulário), e
não há [email protegido] chaves no chaveiro local. Esta opção leva qualquer
número dos seguintes mecanismos, na ordem em que devem ser experimentados:
cert Localize uma chave usando DNS CERT, conforme especificado em rfc4398.
pka Localize uma chave usando DNS PKA.
dados Localize uma chave usando DANE, conforme especificado em draft-ietf-dane-openpgpkey-05.txt.
ldap Usando o DNS Service Discovery, verifique o domínio em questão para qualquer LDAP
servidores de chaves a serem usados. Se isso falhar, tente localizar a chave usando o PGP
Método universal de verificação de 'ldap: // keys. (Thedomain)'.
servidor de chaves
Localize uma chave usando qualquer servidor de chaves definido usando o --servidor de chaves
opção.
URL do servidor de chaves
Além disso, um URL de servidor de chaves usado no --servidor de chaves opção pode ser usada
aqui para consultar esse servidor de chaves específico.
local Localize a chave usando os chaveiros locais. Este mecanismo permite selecionar
a ordem em que uma pesquisa de chave local é feita. Assim, usando '--auto-key-locate local'
é idêntico a --no-auto-key-locate.
nenhum padrão
Este sinalizador desativa a pesquisa de chave local padrão, feita antes de qualquer um dos
mecanismos definidos pelo --auto-key-locate são julgados. A posição deste
mecanismo na lista não importa. Não é necessário se local É também
usava.
remover filtragem Limpe todos os mecanismos definidos. Isso é útil para substituir mecanismos fornecidos
em um arquivo de configuração.
--keyid-formato curto | 0xshort | longo | 0xlong
Selecione como exibir IDs de chave. "short" é a ID de chave tradicional de 8 caracteres.
"long" é a ID de chave de 16 caracteres mais precisa (mas menos conveniente). Adicione um "0x"
para incluir um "0x" no início do ID da chave, como em 0x99242560.
Observe que esta opção é ignorada se a opção --with-dois-pontos for usada.
--servidor de chaves nome
Esta opção está obsoleta - use o --servidor de chaves dentro 'dirmngr.conf' em vez de.
Use nome como seu servidor de chaves. Este é o servidor que --recv-keys, --enviar-chaves e
--chaves de pesquisa irá comunicar-se com para receber chaves de, enviar chaves para e pesquisar
para as chaves. O formato do nome é um URI: `scheme: [//] keyservername [: port] 'O
esquema é o tipo de servidor de chaves: "hkp" para servidores de chaves HTTP (ou compatíveis),
"ldap" para os servidores de chaves LDAP, ou "mailto" para o servidor de chaves de e-mail Graff. Observação
que sua instalação particular do GnuPG pode ter outros tipos de servidor de chaves disponíveis
também. Os esquemas do servidor de chaves não diferenciam maiúsculas de minúsculas. Após o nome do servidor de chaves, opcional
opções de configuração do servidor de chaves podem ser fornecidas. Estes são iguais ao global
--keyserver-opções abaixo, mas se aplica apenas a este servidor de chaves específico.
A maioria dos servidores de chaves sincroniza uns com os outros, então geralmente não há necessidade de enviar
chaves para mais de um servidor. O servidor de chaves hkp: //keys.gnupg.net usa round robin
DNS para fornecer um servidor de chaves diferente a cada vez que você o usar.
--keyserver-opções nome = valor
Este é um espaço ou string delimitado por vírgulas que fornece opções para o servidor de chaves.
As opções podem ser prefixadas com um `não- 'para dar o significado oposto. Importação válida-
opções ou opções de exportação podem ser usadas aqui também para aplicar à importação (--recv-
chave) ou exportando (--send-chave) uma chave de um servidor de chaves. Embora nem todas as opções sejam
disponível para todos os tipos de servidor de chaves, algumas opções comuns são:
incluir-revogado
Ao procurar uma chave com --chaves de pesquisa, inclua as chaves marcadas em
o servidor de chaves como revogado. Observe que nem todos os servidores de chaves diferenciam entre
chaves revogadas e não revogadas, e para esses servidores de chaves esta opção é
sem significado. Observe também que a maioria dos servidores de chaves não tem criptografia
verificação de revogações de chave e, portanto, pode resultar em desativar esta opção
em ignorar chaves que estão marcadas incorretamente como revogadas.
incluir desabilitado
Ao procurar uma chave com --chaves de pesquisa, inclua as chaves marcadas em
o servidor de chaves como desabilitado. Observe que esta opção não é usada com HKP
servidores de chaves.
recuperação automática de chave
Esta opção habilita a recuperação automática de chaves de um servidor de chaves quando
verificar assinaturas feitas por chaves que não estão no chaveiro local.
Observe que esta opção possibilita um comportamento semelhante ao de um "bug da web". Servidor de chaves
operadores podem ver quais chaves você solicita, enviando-lhe uma mensagem assinada
por uma nova chave (que você naturalmente não terá em seu local
chaveiro), a operadora pode dizer seu endereço IP e a hora em que você
verificou a assinatura.
honra-keyserver-url
Ao usar --refresh-keys, se a chave em questão tiver um servidor de chaves preferido
URL e, em seguida, use esse servidor de chaves preferido para atualizar a chave. Além disso,
se a recuperação automática da chave estiver definida e a assinatura que está sendo verificada tiver um
URL do servidor de chaves preferido e, em seguida, use esse servidor de chaves preferido para buscar a chave
de. Observe que esta opção introduz um "web bug": O criador da chave
pode ver quando as chaves são atualizadas. Portanto, esta opção não é habilitada por
padrão.
registro de honra
Se a recuperação automática da chave estiver definida e a assinatura que está sendo verificada tiver um PKA
registro e, em seguida, use as informações do PKA para buscar a chave. O padrão é "sim".
incluir subchaves
Ao receber uma chave, inclua subchaves como alvos potenciais. Observe que este
opção não é usada com servidores de chaves HKP, pois eles não suportam a recuperação
chaves por id de subchave.
tempo limite
Diga ao programa auxiliar do servidor de chaves por quanto tempo (em segundos) para tentar realizar um
ação do keyserver antes de desistir. Observe que realizar várias ações em
ao mesmo tempo, usa esse valor de tempo limite por ação. Por exemplo, quando
recuperar várias chaves por meio de --recv-keys, o tempo limite se aplica separadamente a
cada recuperação de chave, e não para o --recv-keys comando como um todo. Padrões
a 30 segundos.
http-proxy = valor
Esta opção está obsoleta. Defina o proxy a ser usado para HTTP e HKP
servidores de chaves. Isso substitui qualquer proxy definido em ‘dirmngr.conf'.
detalhado
Esta opção não tem mais função desde o GnuPG 2.1. Use o dirmngr
opções de configuração.
depurar Esta opção não tem mais função desde o GnuPG 2.1. Use o dirmngr
opções de configuração.
verificar-cert
Esta opção não tem mais função desde o GnuPG 2.1. Use o dirmngr
opções de configuração.
arquivo ca-cert
Esta opção não tem mais função desde o GnuPG 2.1. Use o dirmngr
opções de configuração.
--completos-necessários n
Número de usuários totalmente confiáveis para apresentar um novo signatário (o padrão é 1).
--marginais-necessários n
Número de usuários marginalmente confiáveis para apresentar um novo signatário (o padrão é 3)
--tofu-default-policy automático | bom | desconhecido | ruim | perguntar
A política TOFU padrão (o padrão é auto). Para mais informações sobre o significado
desta opção, consulte: [trust-model-tofu].
--tofu-db-formato automático | dividido | plano
O formato do banco de dados TOFU.
O formato de arquivo dividido divide os dados em muitos bancos de dados sob o tofu.d anuário
(um por endereço de e-mail e um por chave). Isso torna mais fácil automaticamente
sincronizar os dados usando uma ferramenta como o Unison
(https://www.cis.upenn.edu/~bcpierce/unison/), já que os arquivos individuais mudam
raramente.
O formato de arquivo simples mantém todos os dados em um único arquivo tofu.db. Este formato
resulta em melhor desempenho.
Se definido como automático (que é o padrão), o GnuPG irá primeiro verificar a existência de
tofu.d e tofu.db. Se existir um deles, o formato correspondente será usado. Se
nenhum ou ambos existem, então o GnuPG usa como padrão o divisão formatar. No
último caso, um aviso é emitido.
--max-cert-profundidade n
Profundidade máxima de uma cadeia de certificação (o padrão é 5).
--no-sig-cache
Não armazene em cache o status de verificação das assinaturas de chave. Caching dá muito
melhor desempenho nas listagens principais. No entanto, se você suspeitar que seu público
o chaveiro não é salvo contra modificações de gravação, você pode usar esta opção para desabilitar
o cache. Provavelmente não faz sentido desativá-lo porque todo tipo de
danos podem ser causados se outra pessoa tiver acesso de gravação ao seu chaveiro público.
--auto-check-trustdb
--no-auto-check-trustdb
Se o GnuPG sentir que suas informações sobre a Web of Trust precisam ser atualizadas, ele
executa automaticamente o --check-trustdb comandar internamente. Pode ser um momento
processo de consumo. --no-auto-check-trustdb desativa esta opção.
--agente de uso
--agente sem uso
Esta é uma opção fictícia. gpg2 sempre requer o agente.
--gpg-agente-info
Esta é uma opção fictícia. Não tem efeito quando usado com gpg2.
--agente-programa lima
Especifique um programa de agente a ser usado para operações de chave secreta. O valor padrão
é determinado pela execução gpgconf com a opção --list-dirs. Observe que o tubo
símbolo (|) é usado para um hack de conjunto de testes de regressão e, portanto, não pode ser usado no
nome do arquivo.
--dirmngr-programa lima
Especifique um programa dirmngr a ser usado para acesso ao servidor de chaves. o valor padrão é
'/ usr / bin / dirmngr'. Isso só é usado como um fallback quando a variável de ambiente
DIRMNGR_INFO não está definido ou um dirmngr em execução não pode ser conectado.
--no-autostart
Não inicie o gpg-agent ou o dirmngr se ainda não tiver sido iniciado e seu
o serviço é necessário. Esta opção é mais útil em máquinas onde a conexão
para o gpg-agent foi redirecionado para outras máquinas. Se dirmngr for necessário em
a máquina remota, pode ser iniciado manualmente usando gpgconf --lançar dirmngr.
--bloquear uma vez
Bloqueie os bancos de dados na primeira vez que um bloqueio for solicitado e não libere o bloqueio
até que o processo termine.
--lock-múltiplo
Libere as travas sempre que uma trava não for mais necessária. Use isso para substituir um
anterior --bloquear uma vez de um arquivo de configuração.
--lock-nunca
Desative o bloqueio totalmente. Esta opção deve ser usada apenas em casos muito especiais
ambientes, onde pode ser assegurado que apenas um processo está acessando aqueles
arquivos. Um disquete inicializável com um sistema de criptografia autônomo provavelmente usará
isto. O uso impróprio desta opção pode levar à corrupção de dados e chave.
--exit-on-status-write-error
Esta opção causará erros de gravação no FD de status para encerrar imediatamente o
processo. Esse deveria ser o padrão, mas nunca funcionou dessa maneira e, portanto,
precisamos de uma opção para habilitar isso, de modo que a mudança não interrompa aplicativos que
feche o fim de um canal conectado por status fd muito cedo. Usando esta opção junto
com --enable-filtro de progresso pode ser usado para cancelar o gpg de longa duração
operações.
--limit-card-insert-tentativas n
Com o n maior que 0, o número de prompts pedindo para inserir um smartcard obtém
limitado a N-1. Assim, com um valor de 1 gpg não vai pedir para inserir um cartão se
nenhum foi inserido na inicialização. Esta opção é útil no arquivo de configuração
no caso de um aplicativo não saber sobre o suporte de smartcard e aguardar anúncio
infinito para um cartão inserido.
--no-arquivo-semente aleatório
O GnuPG usa um arquivo para armazenar seu conjunto aleatório interno sobre as invocações. Isto faz
geração aleatória mais rápida; entretanto, às vezes, as operações de gravação não são desejadas. Esse
A opção pode ser usada para conseguir isso com o custo de geração aleatória mais lenta.
--sem saudação
Suprima a mensagem de copyright inicial.
--no-seccmem-warning
Suprima o aviso sobre "usando memória insegura".
--no-permission-warning
Suprime o aviso sobre arquivo inseguro e diretório inicial (--homedir) permissões.
Observe que as verificações de permissão que o GnuPG realiza não têm a intenção de ser
autoritativos, mas simplesmente alertam sobre certas permissões comuns
problemas. Não presuma que a falta de um aviso significa que seu sistema está
seguro.
Observe que o aviso para inseguros --homedir as permissões não podem ser suprimidas no
arquivo gpg.conf, pois isso permitiria a um invasor colocar um arquivo gpg.conf não seguro em
coloque e use este arquivo para suprimir avisos sobre si mesmo. o --homedir
O aviso de permissões só pode ser suprimido na linha de comando.
--no-mdc-aviso
Suprima o aviso sobre a falta de proteção de integridade do MDC.
--require-secmem
--no-require-secmem
Recuse a execução se o GnuPG não puder obter memória segura. O padrão é não (ou seja, executar, mas dar
um aviso).
--require-cross-certificate
--no-requer-certificação cruzada
Ao verificar uma assinatura feita a partir de uma subchave, certifique-se de que a certificação cruzada
"assinatura de volta" na subchave está presente e é válida. Isso protege contra um
ataque sutil contra subchaves que podem assinar. Padrões para --requer-cruz-
certificação para gpg2.
--especialista
--não-especialista
Permitir que o usuário faça certas coisas sem sentido ou "bobas", como assinar um documento expirado
ou chave revogada, ou certas coisas potencialmente incompatíveis, como gerar uma chave incomum
tipos de chave. Isso também desativa certas mensagens de aviso sobre potencialmente
ações incompatíveis. Como o nome indica, essa opção é apenas para especialistas. Se você
não entendo totalmente as implicações do que isso permite que você faça, deixe isto
fora. --não-especialista desativa esta opção.
Chave relacionado opções
--destinatário nome
-r Criptografar para id do usuário nome. Se esta opção ou --hidden-receiver não é especificado,
O GnuPG pede o ID do usuário, a menos que - destinatário padrão é dada.
--hidden-receiver nome
-R Criptografar para ID de usuário nome, mas oculte o ID da chave deste usuário. Esta opção ajuda
para ocultar o receptor da mensagem e é uma contramedida limitada contra o tráfego
análise. Se esta opção ou --destinatário não é especificado, o GnuPG pergunta pelo usuário
ID a menos - destinatário padrão é dada.
--encrypt-to nome
Igual a --destinatário mas este se destina ao uso no arquivo de opções e pode ser
usado com seu próprio ID de usuário como um "criptografar para si mesmo". Essas chaves são usadas apenas quando
existem outros destinatários fornecidos pelo uso de --destinatário ou pelo usuário solicitado
Eu iria. Nenhuma verificação de confiança é realizada para esses IDs de usuário e até mesmo as chaves desabilitadas podem
ser usado.
--hidden-encrypt-to nome
Igual a --hidden-receiver mas este se destina ao uso no arquivo de opções e
pode ser usado com seu próprio ID de usuário como um "criptografar para si mesmo" oculto. Essas chaves são
usado apenas quando houver outros destinatários fornecidos pelo uso de --destinatário ou por
o ID de usuário solicitado. Nenhuma verificação de confiança é realizada para esses IDs de usuário e até mesmo
chaves desabilitadas podem ser usadas.
--encrypt-to-default-key
Se a chave secreta padrão for obtida de --chave padrão, então também criptografe para isso
chave.
--no-encrypt-to
Desative o uso de todos --encrypt-to e --hidden-encrypt-to chaves.
--grupo nome = valor1
Configura um grupo nomeado, que é semelhante a aliases em programas de e-mail. A qualquer momento o
o nome do grupo é um destinatário (-r or --destinatário), será expandido para os valores
Especificadas. Vários grupos com o mesmo nome são automaticamente mesclados em um
único grupo.
Os valores são chave IDs ou impressões digitais, mas qualquer descrição de chave é aceita. Observação
que um valor com espaços será tratado como dois valores diferentes. Observe também
há apenas um nível de expansão --- você não pode fazer um grupo que aponta para
outro grupo. Quando usado na linha de comando, pode ser necessário citar o
argumento para esta opção para evitar que o shell o trate como múltiplo
argumentos.
--desagrupar nome
Remova uma determinada entrada do --grupo Lista.
--não-grupos
Remova todas as entradas do --grupo Lista.
--usuário local nome
-u Use nome como a chave para assinar. Observe que esta opção substitui --chave padrão.
--try-chave secreta nome
Para destinatários ocultos, o GPG precisa saber as chaves a serem usadas para descriptografia de teste. O
conjunto de chaves com --chave padrão é sempre tentado primeiro, mas muitas vezes não é suficiente.
Esta opção permite definir mais chaves a serem usadas para descriptografia de teste. Embora qualquer
especificação de ID de usuário válida pode ser usada para nome faz sentido usar pelo menos o
keyid longo para evitar ambigüidades. Observe que o gpg-agent pode abrir uma entrada para um
lote de chaves para fazer a descriptografia de teste. Se você quiser interromper todos os testes adicionais
descriptografia, você pode usar o botão fechar janela em vez do botão cancelar.
--tente-todos-segredos
Não olhe para o ID da chave como armazenado na mensagem, mas tente todas as chaves secretas por vez
para encontrar a chave de descriptografia correta. Esta opção força o comportamento conforme usado por
destinatários anônimos (criados usando --throw-keyids or --hidden-receiver) e
pode ser útil no caso de uma mensagem criptografada conter uma ID de chave falsa.
--skip-destinatários ocultos
--no-skip-destinatários ocultos
Durante a descriptografia, ignore todos os destinatários anônimos. Esta opção ajuda no caso
que as pessoas usam o recurso de destinatários ocultos para esconder sua própria chave criptografada de
outros. Se a pessoa tiver muitas chaves secretas, isso pode ser um grande aborrecimento porque
todas as chaves são tentadas por sua vez para descriptografar algo que não foi realmente planejado para
isto. A desvantagem desta opção é que atualmente não é possível descriptografar um
mensagem que inclui destinatários anônimos reais.
Entrada e saída
--armaduras
-a Crie saída blindada ASCII. O padrão é criar o formato OpenPGP binário.
- sem armadura
Suponha que os dados de entrada não estejam no formato blindado ASCII.
--resultado lima
-o lima
Grave a saída para lima.
--max-saída n
Esta opção define um limite no número de bytes que serão gerados quando
processando um arquivo. Uma vez que o OpenPGP suporta vários níveis de compressão, é
possível que o texto simples de uma determinada mensagem seja significativamente maior do que o
mensagem OpenPGP original. Embora o GnuPG funcione corretamente com essas mensagens, há
muitas vezes um desejo de definir um tamanho máximo de arquivo que será gerado antes do processamento
é forçado a parar pelos limites do sistema operacional. O padrão é 0, o que significa "sem limite".
- opções de importação parâmetros
Este é um espaço ou string delimitado por vírgulas que fornece opções para importar chaves.
As opções podem ser acrescentadas a um `não- 'para dar o significado oposto. As opções
são:
importar-locais-sigs
Permitir a importação de assinaturas de chave marcadas como "locais". Isso não é geralmente
útil, a menos que um esquema de chaveiro compartilhado esteja sendo usado. O padrão é não.
manter a confiança do proprietário
Normalmente, os valores de confiança do proprietário ainda existentes de uma chave são apagados se um
a chave é importada. Em geral, isso é desejável para que um anteriormente excluído
a chave não ganha automaticamente valores de confiança do proprietário meramente devido à importação.
Por outro lado, às vezes é necessário reimportar um conjunto confiável de
chaves novamente, mas mantendo os valores de ownertrust já atribuídos. Isso pode ser
conseguido usando esta opção.
reparo-pks-subkey-bug
Durante a importação, tente reparar o dano causado pelo bug do servidor de chaves PKS
(pré-versão 0.9.6) que destrói as chaves com várias subchaves. Observe que este
não pode reparar completamente a chave danificada, pois alguns dados cruciais são removidos por
o servidor de chaves, mas pelo menos lhe devolve uma subchave. Padrões para não
para regular --importar e sim para o servidor de chaves --recv-keys.
unir apenas
Durante a importação, permite atualizações de chaves para chaves existentes, mas não permite nenhuma nova
chaves a serem importadas. O padrão é não.
importação limpa
Após a importação, compacte (remova todas as assinaturas, exceto a auto-assinatura) qualquer
IDs de usuário da nova chave que não podem ser usados. Em seguida, remova todas as assinaturas
da nova chave que não são utilizáveis. Isso inclui assinaturas que foram
emitido por chaves que não estão presentes no chaveiro. Esta opção é a mesma
como executando o --edit-chave comando "limpar" após a importação. O padrão é não.
importação mínima
Importe a menor chave possível. Isso remove todas as assinaturas, exceto o
auto-assinatura mais recente em cada ID de usuário. Esta opção é a mesma que
executando o --edit-chave comando "minimizar" após a importação. O padrão é não.
- opções de exportação parâmetros
Este é um espaço ou string delimitado por vírgulas que fornece opções para exportar chaves.
As opções podem ser acrescentadas a um `não- 'para dar o significado oposto. As opções
são:
exportar-local-sigs
Permitir a exportação de assinaturas de chave marcadas como "locais". Isso não é geralmente
útil, a menos que um esquema de chaveiro compartilhado esteja sendo usado. O padrão é não.
atributos de exportação
Incluir IDs de usuário de atributo (IDs de foto) durante a exportação. Isso é útil para
exportar chaves se elas forem usadas por um programa OpenPGP que não
aceitar IDs de usuário de atributo. O padrão é sim.
chaves de revisão sensíveis à exportação
Inclui informações de revogador designadas que foram marcadas como "confidenciais".
O padrão é não.
exportação limpa
Compacte (remova todas as assinaturas de) IDs de usuário na chave que está sendo exportada se
os IDs de usuário não são utilizáveis. Além disso, não exporte assinaturas que não sejam
utilizável. Isso inclui assinaturas que foram emitidas por chaves que não são
presente no chaveiro. Esta opção é a mesma que executar o --edit-chave
comando "limpar" antes de exportar, exceto que a cópia local da chave não é
modificado. O padrão é não.
exportação mínima
Exporte a menor chave possível. Isso remove todas as assinaturas, exceto o
auto-assinatura mais recente em cada ID de usuário. Esta opção é a mesma que
executando o --edit-chave comando "minimizar" antes de exportar, exceto que o
a cópia local da chave não é modificada. O padrão é não.
--with-dois-pontos
Imprima listagens de chaves delimitadas por dois pontos. Observe que a saída será codificada em
UTF-8, independentemente de qualquer --display-charset configuração. Este formato é útil quando o GnuPG
é chamado a partir de scripts e outros programas, pois é facilmente analisado por máquina. o
detalhes deste formato estão documentados no arquivo 'doc / DETALHES', que está incluído
na distribuição de código-fonte do GnuPG.
--print-pka-registros
Modifique a saída dos comandos de lista para imprimir registros PKA adequados para serem colocados em
Arquivos de zona DNS. Uma linha ORIGIN é impressa antes de cada registro para permitir o desvio
os registros para o arquivo de zona correspondente.
--print-dane-registros
Modifique a saída dos comandos de lista para imprimir registros OpenPGP DANE adequados para
colocado em arquivos de zona DNS. Uma linha ORIGIN é impressa antes de cada registro para permitir
desviando os registros para o arquivo de zona correspondente.
--modo de lista fixa
Não mescle o ID do usuário primário e a chave primária em --with-dois-pontos modo de listagem e impressão
todos os carimbos de data/hora em segundos desde 1970/01/01. Desde o GnuPG 2.0.10, este modo é
sempre usado e, portanto, esta opção está obsoleta; não faz mal usá-lo.
--legacy-list-mode
Reverta para o modo de lista de chaves públicas pré-2.1. Isso afeta apenas o legível por humanos
saída e não a interface da máquina (ou seja, --with-dois-pontos). Observe que o legado
O formato não permite transmitir informações adequadas para curvas elípticas.
--com-impressão digital
Igual ao comando --impressão digital mas muda apenas o formato da saída e pode
ser usado junto com outro comando.
--com-icao-ortografia
Imprima a grafia ICAO da impressão digital, além dos dígitos hexadecimais.
--com-keygrip
Inclua o keygrip nas listagens principais.
--com-segredo
Incluir informações sobre a presença de uma chave secreta nas listagens de chaves públicas feitas com
--with-dois-pontos.
OpenPGP protocolo específico opções.
-t, --modo de texto
--no-textmode
Trate os arquivos de entrada como texto e armazene-os no formato de texto canônico OpenPGP com
terminações de linha padrão "CRLF". Isso também define os sinalizadores necessários para informar o
destinatário que os dados criptografados ou assinados são texto e podem precisar de seus finais de linha
convertido de volta para o que quer que o sistema local use. Esta opção é útil quando
comunicação entre duas plataformas que têm convenções de finalização de linha diferentes
(Do tipo UNIX para Mac, Mac para Windows, etc). --no-textmode desativa esta opção, e é
o padrão.
--force-v3-sigs
--no-force-v3-sigs
--force-v4-certs
--no-force-v4-certs
Estas opções são obsoletas e não têm efeito desde o GnuPG 2.1.
--force-mdc
Força o uso de criptografia com um código de detecção de modificação. Isso é sempre usado
com as cifras mais recentes (aquelas com um tamanho de bloco maior que 64 bits), ou se todas
as chaves do destinatário indicam suporte MDC em seus sinalizadores de recurso.
--disable-mdc
Desative o uso do código de detecção de modificação. Observe que, ao usar esta opção,
a mensagem criptografada torna-se vulnerável a um ataque de modificação de mensagem.
--personal-cipher-preferências corda
Defina a lista de preferências pessoais de criptografia para corda. Usar gpg2 --versão para conseguir um
lista de algoritmos disponíveis e usar Nenhum para definir nenhuma preferência. Esse
permite ao usuário substituir com segurança o algoritmo escolhido pela chave do destinatário
preferências, já que o GPG só seleciona um algoritmo que pode ser usado por todos os destinatários.
A cifra mais bem classificada nesta lista também é usada para o --simétrico
comando de criptografia.
--pessoal-digest-preferências corda
Defina a lista de preferências pessoais de resumo para corda. Usar gpg2 --versão para conseguir um
lista de algoritmos disponíveis e usar Nenhum para definir nenhuma preferência. Esse
permite ao usuário substituir com segurança o algoritmo escolhido pela chave do destinatário
preferências, já que o GPG só seleciona um algoritmo que pode ser usado por todos os destinatários.
O algoritmo de resumo com melhor classificação nesta lista também é usado ao assinar
sem criptografia (por exemplo --clearsign or --sinal).
--pessoal-compress-preferências corda
Defina a lista de preferências pessoais de compressão para corda. Usar gpg2 --versão para
obter uma lista de algoritmos disponíveis e usar Nenhum para definir nenhuma preferência. Esse
permite ao usuário substituir com segurança o algoritmo escolhido pela chave do destinatário
preferências, já que o GPG só seleciona um algoritmo que pode ser usado por todos os destinatários.
O algoritmo de compressão mais bem classificado nesta lista também é usado quando há
não há chaves de destinatário a serem consideradas (por exemplo --simétrico).
--s2k-cifra-algo nome
Use nome como o algoritmo de cifra para criptografia simétrica com uma senha se
--personal-cipher-preferências e --cifra-algo não são dados. O padrão é
AES-128.
--s2k-digest-algo nome
Use nome como o algoritmo de resumo usado para alterar as senhas para simétrica
criptografia. O padrão é SHA-1.
--s2k-mode n
Seleciona como as senhas para criptografia simétrica são distorcidas. Se n é 0 uma planície
senha (que em geral não é recomendada) será usada, um 1 adiciona um sal
(que não deve ser usado) para a senha e um 3 (o padrão) itera o
todo o processo várias vezes (veja --s2k-contagem).
--s2k-contagem n
Especifique quantas vezes as senhas são confundidas para criptografia simétrica
repetido. Este valor pode variar entre 1024 e 65011712 inclusive. O padrão
é questionado pelo gpg-agent. Observe que nem todos os valores no intervalo 1024-65011712
são legais e se um valor ilegal for selecionado, o GnuPG irá arredondar para o valor mais próximo
valor jurídico. Esta opção só tem sentido se --s2k-mode está definido para o padrão de
3.
Compliance opções
Essas opções controlam o que o GnuPG é compatível. Apenas uma dessas opções pode estar ativa
de uma vez. Observe que a configuração padrão disso é quase sempre a correta. Veja o
Seção INTEROPERABILIDADE COM OUTROS PROGRAMAS OPENPGP abaixo antes de usar um destes
opções.
--gnupg
Use o comportamento padrão do GnuPG. Este é essencialmente um comportamento OpenPGP (veja --openpgp),
mas com algumas soluções alternativas adicionais para problemas comuns de compatibilidade em diferentes
versões de PGP. Esta é a opção padrão, por isso geralmente não é necessária, mas
pode ser útil para substituir uma opção de conformidade diferente no arquivo gpg.conf.
--openpgp
Redefina todas as opções de pacote, cifra e resumo para o comportamento estrito do OpenPGP. Usa isto
opção para redefinir todas as opções anteriores, como --s2k- *, --cifra-algo, --digest-algo e
--comprimir-algo para valores compatíveis com OpenPGP. Todas as soluções alternativas do PGP estão desabilitadas.
--rfc4880
Redefina todas as opções de pacote, cifra e resumo para o comportamento RFC-4880 estrito. Observe que
isso é atualmente a mesma coisa que --openpgp.
--rfc2440
Redefina todas as opções de pacote, cifra e resumo para o comportamento RFC-2440 estrito.
--pgp6 Configure todas as opções para serem o mais compatíveis possível com PGP 6. Isso o restringe ao
cifras IDEA (se o plugin IDEA estiver instalado), 3DES e CAST5, os hashes MD5,
SHA1 e RIPEMD160, e os algoritmos de compressão nenhum e ZIP. Isso também desativa
--throw-keyids, e fazendo assinaturas com subchaves de assinatura, pois PGP 6 não
entender as assinaturas feitas por subchaves de assinatura.
Esta opção implica --disable-mdc --escape-from-lines.
--pgp7 Configure todas as opções para serem o mais compatíveis com PGP 7 possível. Isso é idêntico a
--pgp6 exceto que os MDCs não estão desabilitados e a lista de cifras permitidas é
expandido para adicionar AES128, AES192, AES256 e TWOFISH.
--pgp8 Configure todas as opções para serem o mais compatíveis possível com PGP 8. PGP 8 está muito mais perto de
o padrão OpenPGP do que as versões anteriores do PGP, então tudo que isso faz é desabilitar
--throw-keyids E definir --escape-from-lines. Todos os algoritmos são permitidos, exceto para
os resumos SHA224, SHA384 e SHA512.
fazendo coisas um geralmente não queremos para fazer.
-n
--funcionamento a seco
Não faça nenhuma alteração (isso não foi totalmente implementado).
--somente lista
Altera o comportamento de alguns comandos. Isto é como --funcionamento a seco mas diferente em
alguns casos. A semântica deste comando pode ser estendida no futuro. Atualmente
ele apenas ignora a passagem de descriptografia real e, portanto, permite uma lista rápida de
as chaves de criptografia.
-i
--interativo
Avisar antes de sobrescrever qualquer arquivo.
- nível de depuração nível
Selecione o nível de depuração para investigar problemas. nível pode ser um valor numérico ou
por uma palavra-chave:
Nenhum Sem depuração. Um valor inferior a 1 pode ser usado em vez do
palavra chave.
basic Algumas mensagens básicas de depuração. Um valor entre 1 e 2 pode ser usado em vez de
a palavra-chave.
avançado
Mensagens de depuração mais detalhadas. Um valor entre 3 e 5 pode ser usado em vez de
a palavra-chave.
especialista Mensagens ainda mais detalhadas. Um valor entre 6 e 8 pode ser usado em vez de
a palavra-chave.
guru Todas as mensagens de depuração que você pode obter. Um valor maior que 8 pode ser usado
em vez da palavra-chave. A criação de arquivos de rastreamento de hash só está habilitada
se a palavra-chave for usada.
Como essas mensagens são mapeadas para os sinalizadores de depuração reais não é especificado e pode
mudar com as versões mais recentes deste programa. Eles são, no entanto, cuidadosamente selecionados para melhor
ajuda na depuração.
--depurar bandeiras
Defina sinalizadores de depuração. Todos os sinalizadores são or-ed e bandeiras pode ser fornecido na sintaxe C (por exemplo
0x0042) ou como uma lista separada por vírgulas de nomes de sinalizadores. Para obter uma lista de todos os suportados
sinaliza a única palavra "ajuda" que pode ser usada.
--debug-tudo
Defina todos os sinalizadores de depuração úteis.
--debug-iolbf
Defina stdout no modo de buffer de linha. Esta opção só é honrada quando dada no
linha de comando.
--faked-system-time época
Esta opção é útil apenas para teste; ele define o tempo do sistema para frente ou para trás para
época que é o número de segundos decorridos desde o ano de 1970. Alternativamente
época pode ser fornecido como uma string de hora ISO completa (por exemplo, "20070924T154812").
--enable-filtro de progresso
Habilite certas saídas de status PROGRESS. Esta opção permite que os frontends exibam um
indicador de progresso enquanto o gpg está processando arquivos maiores. Há um ligeiro
sobrecarga de desempenho usando-o.
--status-fd n
Grave strings de status especiais no descritor de arquivo n. Veja o arquivo DETALHES na
documentação para uma lista deles.
--arquivo de status lima
Igual a --status-fd, exceto que os dados de status são gravados no arquivo lima.
--logger-fd n
Grava a saída do registro no descritor de arquivo n e não para STDERR.
--arquivo de log lima
--logger-arquivo lima
Igual a --logger-fd, exceto que os dados do registrador são gravados no arquivo lima. Observe que
--arquivo de log é implementado apenas para GnuPG-2.
--atributo-fd n
Grava subpacotes de atributos no descritor de arquivo n. Isso é mais útil para uso
com --status-fd, uma vez que as mensagens de status são necessárias para separar os vários
subpacotes do fluxo entregue ao descritor de arquivo.
--atributo-arquivo lima
Igual a --atributo-fd, exceto que os dados do atributo são gravados no arquivo lima.
--Comente corda
--sem comentários
Use corda como uma string de comentário em assinaturas de texto não criptografado e mensagens blindadas ASCII
ou chaves (ver --armaduras) O comportamento padrão é não usar uma string de comentário.
--Comente pode ser repetido várias vezes para obter várias sequências de comentários. --não-
comentários remove todos os comentários. É uma boa ideia manter o comprimento de um único
comentário abaixo de 60 caracteres para evitar problemas com programas de e-mail envolvendo tais
linhas. Observe que as linhas de comentário, como todas as outras linhas de cabeçalho, não são protegidas por
a assinatura.
--emit-versão
--no-emit-versão
Força a inclusão da string de versão na saída blindada ASCII. Se dado apenas uma vez
o nome do programa e o número principal é emitido (padrão), dado duas vezes o
menor também é emitido, dado o triplo do micro é adicionado, e dado o quádruplo uma operação
a identificação do sistema também é emitida. --no-emit-versão desativa a versão
linha.
--notação de assinatura nome = valor
--cert-notação nome = valor
-N, --set-notação nome = valor
Coloque o par de valores de nome na assinatura como dados de notação. nome deve consistir
apenas de caracteres imprimíveis ou espaços, e deve conter um caractere '@' no
formulário [email protegido] (substituindo o nome-chave e o domínio apropriados
nome do curso). Isso é para ajudar a prevenir a poluição da notação reservada da IETF
namespace. o --especialista sinalizador substitui a verificação '@'. valor pode ser qualquer imprimível
fragmento; ele será codificado em UTF8, então você deve verificar se o seu --display-charset
está definido corretamente. Se você prefixar nome com um ponto de exclamação (!), a notação
os dados serão marcados como críticos (rfc4880: 5.2.3.16). --notação de assinatura define uma notação
para assinaturas de dados. --cert-notação define uma notação para assinaturas de chave
(certificações). --set-notação define ambos.
Existem códigos especiais que podem ser usados em nomes de notação. "% k" será expandido
no ID de chave da chave que está sendo assinada, "% K" no ID de chave longo da chave que está sendo
assinado, "% f" na impressão digital da chave sendo assinada, "% s" na ID da chave de
a chave que faz a assinatura, "% S" no ID de chave longo da chave que faz o
assinatura, "% g" na impressão digital da chave que faz a assinatura (que pode
ser uma subchave), "% p" na impressão digital da chave primária da chave que faz o
assinatura, "% c" na contagem de assinaturas do smartcard OpenPGP e "%%"
resulta em um único "%". % k,% K e% f só são significativos ao fazer uma chave
assinatura (certificação), e% c só é significativo ao usar o OpenPGP
cartão inteligente.
--sig-policy-url corda
--cert-policy-url corda
--set-policy-url corda
Use corda como um URL de política para assinaturas (rfc4880: 5.2.3.20). Se você prefixar
com um ponto de exclamação (!), o pacote de URL de política será sinalizado como crítico.
--sig-policy-url define um URL de política para assinaturas de dados. --cert-policy-url define um
URL da política para assinaturas de chave (certificações). --set-policy-url define ambos.
Os mesmos% -expandos usados para dados de notação também estão disponíveis aqui.
--sig-keyserver-url corda
Use corda como uma URL de servidor de chaves preferencial para assinaturas de dados. Se você prefixar com
um ponto de exclamação (!), o pacote de URL do servidor de chaves será marcado como crítico.
Os mesmos% -expandos usados para dados de notação também estão disponíveis aqui.
--set-nome do arquivo corda
Use corda como o nome do arquivo que é armazenado dentro das mensagens. Isso substitui o
padrão, que é usar o nome real do arquivo que está sendo criptografado. Usando
a string vazia para corda remove efetivamente o nome do arquivo da saída.
- somente para seus olhos
- não-para-seus-olhos-somente
Defina o sinalizador "somente para seus olhos" na mensagem. Isso faz com que o GnuPG se recuse a
salve o arquivo, a menos que o --resultado opção é fornecida, e PGP para usar um "visualizador seguro"
com uma fonte resistente à tempestade reivindicada para exibir a mensagem. Esta opção substitui
--set-nome do arquivo. - não-para-seus-olhos-somente desativa esta opção.
--use-nome do arquivo incorporado
--no-use-nome do arquivo incorporado
Tente criar um arquivo com um nome embutido nos dados. Isso pode ser perigoso
opção, pois permite sobrescrever arquivos. O padrão é não.
--cifra-algo nome
Use nome como algoritmo de cifra. Executando o programa com o comando --versão rendimentos
uma lista de algoritmos suportados. Se não for usado, o algoritmo de cifra é
selecionado a partir das preferências armazenadas com a tecla. Em geral, você não quer
use esta opção, pois permite violar o padrão OpenPGP. --pessoal-
preferências de cifra é a maneira segura de realizar a mesma coisa.
--digest-algo nome
Use nome como o algoritmo de resumo da mensagem. Executando o programa com o comando
--versão produz uma lista de algoritmos com suporte. Em geral, você não deseja usar
esta opção uma vez que permite violar o padrão OpenPGP. --pessoal-digerir-
preferências é a maneira segura de realizar a mesma coisa.
--comprimir-algo nome
Use algoritmo de compressão nome. "zlib" é a compactação RFC-1950 ZLIB. "zip" é
Compactação ZIP RFC-1951 que é usada pelo PGP. "bzip2" é um mais moderno
esquema de compressão que pode comprimir algumas coisas melhor do que zip ou zlib, mas em
o custo de mais memória usada durante a compactação e descompressão. "descomprimido"
ou "nenhum" desativa a compressão. Se esta opção não for usada, o comportamento padrão é
para examinar as preferências da chave do destinatário para ver quais algoritmos o destinatário
apoia. Se tudo mais falhar, o ZIP é usado para compatibilidade máxima.
ZLIB pode fornecer melhores resultados de compressão do que ZIP, pois o tamanho da janela de compressão
não está limitado a 8k. BZIP2 pode fornecer resultados de compressão ainda melhores do que isso, mas
usará uma quantidade significativamente maior de memória durante a compactação e
descomprimir. Isso pode ser significativo em situações de pouca memória. Observe, no entanto,
que PGP (todas as versões) suporta apenas compactação ZIP. Usando qualquer outro algoritmo
que ZIP ou "nenhum" tornará a mensagem ilegível com PGP. Em geral, você faz
não deseja usar esta opção, pois permite violar o padrão OpenPGP.
--pessoal-compress-preferências é a maneira segura de realizar a mesma coisa.
--cert-digest-algo nome
Use nome como o algoritmo de resumo da mensagem usado ao assinar uma chave. Executando o
programar com o comando --versão produz uma lista de algoritmos com suporte. Estar ciente
que se você escolher um algoritmo que o GnuPG suporta, mas outro OpenPGP
implementações não, então alguns usuários não serão capazes de usar as assinaturas de chave
você faz, ou possivelmente a sua chave inteira.
--disable-cifra-algo nome
Nunca permita o uso de nome como algoritmo de cifra. O nome dado não será
marcada para que um algoritmo carregado posteriormente ainda seja desabilitado.
--disable-pubkey-algo nome
Nunca permita o uso de nome como algoritmo de chave pública. O nome dado não será
marcada para que um algoritmo carregado posteriormente ainda seja desabilitado.
--throw-keyids
--no-throw-keyids
Não coloque as IDs da chave do destinatário em mensagens criptografadas. Isso ajuda a esconder o
receptores da mensagem e é uma contramedida limitada contra a análise de tráfego.
([Usando um pouco de engenharia social, qualquer pessoa que seja capaz de decifrar a mensagem pode
verifique se um dos outros destinatários é aquele que ele suspeita.]) No
lado receptor, pode retardar o processo de descriptografia porque todos os
as chaves secretas devem ser testadas. --no-throw-keyids desativa esta opção. Esta opção é
essencialmente o mesmo que usar --hidden-receiver para todos os destinatários.
--não-traço-escapado
Esta opção muda o comportamento das assinaturas em texto puro para que possam ser usadas
para arquivos de patch. Você não deve enviar um arquivo blindado por e-mail porque todos
espaços e terminações de linha também são hash. Você não pode usar esta opção para dados que
tem 5 travessões no início de uma linha, os arquivos de patch não têm isso. Um especial
a linha de cabeçalho de armadura informa ao GnuPG sobre esta opção de assinatura de texto não criptografado.
--escape-from-lines
--sem-escape-from-lines
Como alguns mailers mudam as linhas começando com "De" para "> De", é bom
lidar com essas linhas de uma maneira especial ao criar assinaturas de texto não criptografado para evitar
o sistema de e-mail de quebrar a assinatura. Observe que todas as outras versões de PGP o fazem
desta forma também. Ativado por padrão. --sem-escape-from-lines desativa esta opção.
--passphrase-repetir n
Especifique quantas vezes gpg2 irá solicitar que uma nova senha seja repetida. Isto é
útil para ajudar a memorizar uma frase secreta. O padrão é 1 repetição.
--frase-senha-fd n
Leia a senha do descritor de arquivo n. Apenas a primeira linha será lida de
descritor de arquivo n. Se você usar 0 para n, a senha será lida no STDIN. Esse
só pode ser usado se apenas uma frase-senha for fornecida.
Observe que esta senha só é usada se a opção --lote também foi dado.
Isso é diferente do GnuPG versão 1.x.
--senha-arquivo lima
Leia a frase-senha do arquivo lima. Apenas a primeira linha será lida do arquivo
lima. Isso só pode ser usado se apenas uma frase-senha for fornecida. Obviamente, um
a frase secreta armazenada em um arquivo é de segurança questionável se outros usuários puderem ler
este ficheiro. Não use esta opção se puder evitá-la. Observe que esta senha é
usado apenas se a opção --lote também foi dado. Isso é diferente do GnuPG
versão 1.x.
--frase-senha corda
Use corda como a senha longa. Isso só pode ser usado se apenas uma frase-senha for
fornecido. Obviamente, essa segurança é muito questionável em um sistema multiusuário.
Não use esta opção se puder evitá-la. Observe que esta senha só é usada
se a opção --lote também foi dado. Isso é diferente da versão GnuPG
1.x.
--pinentry-mode modo
Defina o modo pinentry para modo. Valores permitidos para modo são:
omissão
Use o padrão do agente, que é perguntar.
perguntar Forçar o uso do Pinentry.
cancelar Emule o uso do botão cancelar do Pinentry.
erro Retorna um erro de Pinentry (``No Pinentry'').
loopback
Redirecione as consultas do Pinentry para o chamador. Observe que, em contraste com Pinentry
o usuário não será solicitado novamente se inserir uma senha incorreta.
--comando-fd n
Esta é uma substituição para o modo IPC de memória compartilhada obsoleto. Se esta opção for
habilitado, a entrada do usuário nas perguntas não é esperada do TTY, mas do dado
descritor de arquivo. Deve ser usado junto com --status-fd. Veja o arquivo
doc / DETAILS na distribuição do código-fonte para obter detalhes sobre como usá-lo.
- arquivo de comando lima
Igual a --comando-fd, exceto que os comandos são lidos do arquivo lima
--allow-não-autoassinado-uid
--no-allow-non-selfsigned-uid
Permitir a importação e o uso de chaves com IDs de usuário que não sejam autoassinados. Isto é
não recomendado, pois um ID de usuário não autoassinado é fácil de falsificar. --não-permitir-não-
auto-assinado-uid desabilita.
--allow-freeform-uid
Desative todas as verificações na forma do ID do usuário ao gerar um novo. Esse
opção só deve ser usada em ambientes muito especiais, pois não garante o
formato padrão de fato de IDs de usuário.
--ignore-time-conflito
O GnuPG normalmente verifica se os carimbos de data / hora associados às chaves e assinaturas têm
valores plausíveis. No entanto, às vezes, uma assinatura parece ser mais antiga do que a chave devida
para problemas de relógio. Esta opção torna essas verificações apenas um aviso. Veja também
--ignore-válido-de para problemas de carimbo de data / hora em subchaves.
--ignore-válido-de
O GnuPG normalmente não seleciona e usa subchaves criadas no futuro. Esta opção
permite o uso de tais chaves e, portanto, exibe o comportamento pré-1.0.7. Você deve
não use esta opção a menos que haja algum problema de relógio. Veja também --ignore-tempo-
conflito para problemas de carimbo de data / hora com assinaturas.
--ignore-crc-error
A armadura ASCII usada pelo OpenPGP é protegida por um checksum CRC contra transmissão
erros. Ocasionalmente, o CRC fica danificado em algum lugar no canal de transmissão, mas
o conteúdo real (que é protegido pelo protocolo OpenPGP de qualquer maneira) ainda está
Certo. Esta opção permite que o GnuPG ignore os erros CRC.
--ignore-mdc-error
Esta opção transforma uma falha de proteção de integridade do MDC em um aviso. Isso pode ser
útil se uma mensagem estiver parcialmente corrompida, mas é necessário obter o máximo de dados
possível fora da mensagem corrompida. No entanto, esteja ciente de que uma proteção MDC
falha também pode significar que a mensagem foi adulterada intencionalmente por um
atacante.
--allow-fraco-digerir-algos
As assinaturas feitas com algoritmos de resumo fracos conhecidos são normalmente rejeitadas com um
mensagem de `` algoritmo de resumo inválido ''. Esta opção permite a verificação de
assinaturas feitas com esses algoritmos fracos. MD5 é o único algoritmo de resumo
considerado fraco por padrão. Veja também --digestão fraca rejeitar outro resumo
algoritmos.
--digestão fraca nome
Trate o algoritmo de resumo especificado como fraco. Assinaturas feitas em digestões fracas
algoritmos são normalmente rejeitados. Esta opção pode ser fornecida várias vezes se
algoritmos múltiplos devem ser considerados fracos. Veja também --allow-fraco-digerir-algos
para desativar a rejeição de digestões fracas. MD5 é sempre considerado fraco e não
precisam ser listados explicitamente.
--sem chaveiro padrão
Não adicione os chaveiros padrão à lista de chaveiros. Observe que o GnuPG não
operar sem nenhum chaveiro, então se você usar esta opção e não fornecer
chaveiros alternativos via --chaveiro or --chaveiro-secreto, então o GnuPG ainda usará o
chaveiros públicos ou secretos padrão.
--skip-verificar
Pule a etapa de verificação de assinatura. Isso pode ser usado para fazer a descriptografia
mais rápido se a verificação da assinatura não for necessária.
--com-dados-chave
Imprimir listagens de chaves delimitadas por dois pontos (como --with-dois-pontos) e imprimir ao público
data chave.
--modo de lista rápida
Altera a saída dos comandos da lista para trabalhar mais rápido; isto é conseguido saindo
algumas partes vazias. Alguns aplicativos não precisam do ID do usuário e da confiança
informações fornecidas nas listas. Ao usar essas opções, eles podem obter um acesso mais rápido
listagem. O comportamento exato desta opção pode mudar em versões futuras. Se você
estão faltando algumas informações, não use esta opção.
--não-literal
Isso não é para uso normal. Use a fonte para ver o que pode ser útil.
--set-tamanho do arquivo
Isso não é para uso normal. Use a fonte para ver o que pode ser útil.
--show-sessão-chave
Exibe a chave de sessão usada para uma mensagem. Ver --override-session-key para o
contrapartida desta opção.
Achamos que Key Escrow é uma coisa ruim; no entanto, o usuário deve ter a liberdade
para decidir se vai para a prisão ou para revelar o conteúdo de uma mensagem específica
sem comprometer todas as mensagens já criptografadas por uma chave secreta.
Você também pode usar esta opção se receber uma mensagem criptografada abusiva
ou ofensivo, para provar aos administradores do sistema de mensagens que o
o texto cifrado transmitido corresponde a um texto simples impróprio para que eles possam tomar
ação contra o usuário infrator.
--override-session-key corda
Não use a chave pública, mas a chave de sessão corda. O formato desta string é
o mesmo que o impresso por --show-sessão-chave. Esta opção normalmente não é usada
mas é útil no caso de alguém te obrigar a revelar o conteúdo de um arquivo criptografado
mensagem; usando esta opção, você pode fazer isso sem entregar a chave secreta.
--ask-sig-expire
--no-ask-sig-expire
Ao fazer uma assinatura de dados, solicite um tempo de expiração. Se esta opção não for
especificado, o tempo de expiração definido por meio de --default-sig-expire é usado. --no-ask-sig-
expirar desativa esta opção.
--default-sig-expire
O tempo de expiração padrão a ser usado para expiração de assinatura. Os valores válidos são "0"
para nenhuma expiração, um número seguido pela letra d (para dias), w (para semanas), m
(por meses), ou y (por anos) (por exemplo "2m" por dois meses, ou "5y" por cinco
anos) ou uma data absoluta no formato AAAA-MM-DD. O padrão é "0".
--ask-cert-expire
--no-ask-cert-expire
Ao fazer uma assinatura de chave, solicite um tempo de expiração. Se esta opção não for
especificado, o tempo de expiração definido por meio de --default-cert-expire é usado. - não pergunte-
cert-expirar desativa esta opção.
--default-cert-expire
O tempo de expiração padrão a ser usado para expiração de assinatura de chave. Os valores válidos são
"0" para nenhuma expiração, um número seguido pela letra d (para dias), w (para semanas),
m (por meses) ou y (por anos) (por exemplo "2m" por dois meses ou "5y" por cinco
anos) ou uma data absoluta no formato AAAA-MM-DD. O padrão é "0".
--allow-secret-key-import
Esta é uma opção obsoleta e não é usada em nenhum lugar.
--permitir-múltiplas-mensagens
--no-allow-múltiplas mensagens
Permite o processamento de várias mensagens OpenPGP contidas em um único arquivo ou fluxo.
Alguns programas que chamam GPG não estão preparados para lidar com mensagens múltiplas sendo
processados juntos, portanto, o padrão desta opção é não. Observe que as versões do GPG anteriores
a 1.4.7 sempre permitiu mensagens múltiplas.
Aviso: Não use esta opção a menos que você precise dela como uma solução temporária!
--enable-nomes-de-arquivos especiais
Esta opção ativa um modo em que os nomes dos arquivos do formulário '- & n', onde n é um não-
número decimal negativo, refere-se ao descritor de arquivo n e não a um arquivo com aquele
nome.
--não-caro-verificações de confiança
Uso experimental apenas.
--preserve-permissões
Não altere as permissões de um chaveiro secreto para somente leitura / gravação do usuário. Usar
esta opção apenas se você realmente souber o que está fazendo.
- lista de preferências padrão corda
Defina a lista de preferências padrão para corda. Esta lista de preferências é usada para novos
e se torna o padrão para "setpref" no menu de edição.
--default-keyserver-url nome
Defina o URL do servidor de chaves padrão para nome. Este servidor de chaves será usado como servidor de chaves
URL ao escrever uma nova auto-assinatura em uma chave, que inclui geração de chave e
alterar preferências.
--list-config
Exibe vários parâmetros de configuração internos do GnuPG. Esta opção é pretendida
para programas externos que chamam o GnuPG para realizar tarefas e, portanto, geralmente não
útil. Veja o arquivo 'doc / DETALHES'na distribuição da fonte para os detalhes de
quais itens de configuração podem ser listados. --list-config só pode ser usado com --com-
colons definido.
--list-gcrypt-config
Exibe vários parâmetros de configuração interna do Libgcrypt.
--gpgconf-list
Este comando é semelhante a --list-config mas, em geral, usado apenas internamente pelo
gpgconf ferramenta.
--gpgconf-teste
Esta é mais ou menos uma ação fictícia. No entanto, ele analisa o arquivo de configuração e
retorna com falha se o arquivo de configuração impedir gpg desde o início.
Portanto, ele pode ser usado para executar uma verificação de sintaxe no arquivo de configuração.
Obsoleto opções
--mostrar fotos
--no-show-fotos
destaque --list-chaves, --list-sigs, --list-chaves públicas, --list-chaves secretas e
verificar uma assinatura para exibir também a identificação com foto anexada à chave, se houver. Ver
tb - visualizador de fotos. Essas opções estão obsoletas. Usar --list-opções [no-] show-
fotos e / ou --verify-opções [sem-] mostrar fotos ao invés.
--show-chaveiro
Mostra o nome do chaveiro no topo da lista de chaves para mostrar qual chaveiro é dada
a chave reside em. Esta opção está obsoleta: use --list-opções [no-] mostrar chaveiro
ao invés.
--sempre confie
Idêntico a --modelo de confiança sempre. Esta opção está obsoleta.
--show-notação
--notação-no-show
Mostrar notações de assinatura no --list-sigs or --check-sigs listas, bem como
ao verificar uma assinatura com uma notação nela. Essas opções estão obsoletas. Usar
--list-opções [sem-] notação de exibição e / ou --verify-opções [sem-] notação de exibição
ao invés.
--show-policy-url
--no-show-policy-url
Mostrar URLs de política no --list-sigs or --check-sigs listagens, bem como quando
verificar uma assinatura com um URL de política nele. Essas opções estão obsoletas. Usar
--list-opções [no-] show-policy-url e / ou --verify-opções [no-] show-policy-url
ao invés.
EXEMPLOS
gpg -se -r Prumo lima
assinar e criptografar para o usuário Bob
gpg --clearsign lima
faça uma assinatura de texto claro
gpg -sb lima
faça uma assinatura destacada
gpg -u 0x12345678 -sb lima
faça uma assinatura separada com a chave 0x12345678
gpg --list-chaves ID do usuário
mostrar as chaves
gpg --impressão digital ID do usuário
mostrar impressão digital
gpg --verificar arquivo pgp
gpg --verificar arquivo sig
Verifique a assinatura do arquivo, mas não produza os dados. A segunda forma é
usado para assinaturas destacadas, onde arquivo sig é a assinatura separada (quer ASCII
blindado ou binário) e são os dados assinados; se não for fornecido, o nome do
arquivo que contém os dados assinados é construído cortando a extensão (".asc" ou
".sig") de arquivo sig ou pedindo ao usuário o nome do arquivo.
COMO TO ESPECIFICAMOS A USUÁRIO ID
Existem diferentes maneiras de especificar um ID de usuário para o GnuPG. Alguns deles são válidos apenas para
gpg outros são bons apenas para gpgsm. Aqui está toda a lista de maneiras de especificar uma chave:
By chave Id.
Este formato é deduzido do comprimento da string e seu conteúdo ou 0x prefixo.
A ID da chave de um certificado X.509 são os 64 bits baixos de sua impressão digital SHA-1.
O uso de IDs de teclas é apenas um atalho, para todo o processamento automatizado da impressão digital
deve ser usado.
Ao usar gpg um ponto de exclamação (!) pode ser acrescentado para forçar usando o especificado
chave primária ou secundária e não tentar calcular qual primária ou secundária
chave para usar.
As últimas quatro linhas do exemplo fornecem o ID da chave em sua forma longa como internamente
usado pelo protocolo OpenPGP. Você pode ver o ID da chave longa usando a opção --com-
colons.
234567C4
0F34E556E
01347A56A
0xAB123456
234AABBCC34567C4
0F323456784E56EAB
01AB3FED1347A5612
0x234AABBCC34567C4
By impressão digital.
Este formato é deduzido do comprimento da string e seu conteúdo ou o 0x
prefixo. Observe que apenas a impressão digital da versão de 20 bytes está disponível com gpgsm
(ou seja, o hash SHA-1 do certificado).
Ao usar gpg um ponto de exclamação (!) pode ser acrescentado para forçar usando o especificado
chave primária ou secundária e não tentar calcular qual primária ou secundária
chave para usar.
A melhor maneira de especificar um ID de chave é usando a impressão digital. Isso evita qualquer
ambigüidades no caso de haver IDs de chave duplicados.
1234343434343434C434343434343434
123434343434343C3434343434343734349A3434
0E12343434343434343434EAB3484343434343434
0xE12343434343434343434EAB3484343434343434
gpgsm também aceita dois pontos entre cada par de dígitos hexadecimais porque este é o de-
padrão de fato sobre como apresentar impressões digitais X.509. gpg também permite o uso do espaço
impressão digital SHA-1 separada, conforme impresso pelos comandos de listagem de teclas.
By exato partida on OpenPGP usuário ID.
Isso é denotado por um sinal de igual à esquerda. Não faz sentido para o X.509
certificados.
= Heinrich Heine[email protegido]>
By exato partida on an email endereço.
Isso é indicado colocando o endereço de e-mail da maneira usual com a esquerda e
Ângulos retos.
<[email protegido]>
By parcialmente partida on an email endereço.
Isso é indicado prefixando a string de pesquisa com um @. Isso usa uma substring
pesquisa, mas considera apenas o endereço de e-mail (ou seja, dentro dos colchetes angulares).
@heinrichh
By exato partida on que o assuntos DN.
Isso é indicado por uma barra, seguida diretamente pelo DN codificado em RFC-2253
do assunto. Observe que você não pode usar a string impressa por "gpgsm --list-keys"
porque aquele foi reordenado e modificado para melhor legibilidade; usar com-
dois pontos para imprimir a string RFC-2253 bruta (mas com escape padrão)
/ CN = Heinrich Heine, O = Poetas, L = Paris, C = FR
By exato partida on que o do emissor DN.
Isso é indicado por uma marca de hash à esquerda, seguida diretamente por uma barra e depois
seguido diretamente pelo DN codificado rfc2253 do emissor. Isso deve retornar o
Certificado raiz do emissor. Veja a nota acima.
# / CN = Root Cert, O = Poetas, L = Paris, C = FR
By exato partida on serial número e do emissor DN.
Isso é indicado por uma marca de hash, seguido pela representação hexadecimal do
número de série, seguido por uma barra e o DN codificado em RFC-2253 do emissor.
Veja a nota acima.
# 4F03 / CN = Root Cert, O = Poetas, L = Paris, C = FR
By aperto de tecla
Isso é indicado por um "e" comercial seguido pelos 40 dígitos hexadecimais de um keygrip.
gpgsm imprime o aperto de tecla ao usar o comando --dump-cert. Ainda não funciona
para chaves OpenPGP.
&D75F22C3F86E355877348498CDC92BD21010A480
By substring partida.
Este é o modo padrão, mas os aplicativos podem querer indicar isso explicitamente por
colocando o asterisco na frente. A correspondência não diferencia maiúsculas de minúsculas.
Heine
* Heine
. e + prefixos
Esses prefixos são reservados para procurar e-mails ancorados no final e para uma palavra
modo de pesquisa. Eles ainda não foram implementados e seu uso é indefinido.
Observe que reutilizamos o identificador da marca hash que era usado no antigo
Versões do GnuPG para indicar o chamado local-id. Não é mais usado e
não deve haver conflito quando usado com o material X.509.
Usar o formato RFC-2253 de DNs tem a desvantagem de não ser possível mapear
de volta à codificação original, no entanto, não temos que fazer isso porque nosso
O banco de dados de chaves armazena essa codificação como metadados.
Use gpg2 online usando serviços onworks.net
