Это команда gpg2, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
gpg2 - Инструмент шифрования и подписи OpenPGP
СИНТАКСИС
gpg2 [--homedir директория] [--параметры файл] [кредита] команду [арг]
ОПИСАНИЕ
gpg2 является частью OpenPGP GNU Privacy Guard (GnuPG). Это инструмент для предоставления цифровых
сервисы шифрования и подписи с использованием стандарта OpenPGP. gpg2 особенности полный ключ
управление и все навороты, которые вы можете ожидать от достойной реализации OpenPGP.
В отличие от отдельной команды gpg из GnuPG 1.x, которая может быть лучше подходит
для серверных и встроенных платформ версия 2.x обычно устанавливается под именем
gpg2 и ориентирован на рабочий стол, поскольку требует установки нескольких других модулей.
ВЕРНУТЬ VALUE
Программа возвращает 0, если все в порядке, 1, если хотя бы подпись плохая, и другие
коды ошибок для фатальных ошибок.
ПРЕДУПРЕЖДЕНИЯ
Используйте * хороший * пароль для своей учетной записи и * хорошую * парольную фразу, чтобы защитить свой секрет
ключ. Эта кодовая фраза - самая слабая часть всей системы. Программы для словаря
атаки на ваш секретный брелок очень легко написать, поэтому вы должны защитить свой
"~ / .gnupg /"Справочник очень хорошо.
Имейте в виду, что, если эта программа используется в сети (telnet), ее * очень * легко
шпионить за своей кодовой фразой!
Если вы собираетесь проверять отдельные подписи, убедитесь, что программа знает об этом;
либо укажите оба имени файла в командной строке, либо используйте '-' для указания STDIN.
ВЗАИМОДЕЙСТВИЕ
GnuPG пытается быть очень гибкой реализацией стандарта OpenPGP. Особенно,
GnuPG реализует многие дополнительные части стандарта, такие как хэш SHA-512 и
алгоритмы сжатия ZLIB и BZIP2. Важно знать, что не все
Программы OpenPGP реализуют эти необязательные алгоритмы, заставляя их использовать
--cipher-алго, --дайджест-алго, --cert-дайджест-алгоили --compress-алго варианты в GnuPG, это
можно создать совершенно корректное сообщение OpenPGP, но такое, которое не может быть прочитано
предполагаемый получатель.
Доступны десятки вариантов программ OpenPGP, каждая из которых немного поддерживает
различное подмножество этих необязательных алгоритмов. Например, до недавнего времени нет (не взломано)
версия PGP поддерживала алгоритм шифрования BLOWFISH. Сообщение с использованием BLOWFISH просто
не может быть прочитан пользователем PGP. По умолчанию GnuPG использует стандартные настройки OpenPGP.
система, которая всегда будет поступать правильно и создавать сообщения, доступные всем
получатели, независимо от того, какую программу OpenPGP они используют. Только переопределить это безопасное значение по умолчанию
если вы действительно знаете, что делаете.
Если вам абсолютно необходимо отменить безопасное значение по умолчанию, или если настройки для данного ключа
недействителен по какой-то причине, вам гораздо лучше использовать --pgp6, --pgp7или --pgp8
опции. Эти параметры безопасны, поскольку они не заставляют выполнять какие-либо конкретные алгоритмы.
нарушение OpenPGP, а скорее сокращение доступных алгоритмов до «безопасного для PGP» списка.
КОМАНДЫ
Команды не отличаются от опций, за исключением того факта, что только одна команда
допускается.
gpg2 может быть запущен без команд, и в этом случае он выполнит разумное действие
в зависимости от типа файла он подается на вход (расшифровывается зашифрованное сообщение,
подпись проверена, указан файл с ключами).
Помните, что этот параметр, а также анализ команд останавливаются, как только параметр не указан.
вы можете явно остановить синтаксический анализ, используя специальную опцию --.
Команды не конкретный в домен функция
--версия
Распечатайте версию программы и информацию о лицензировании. Обратите внимание, что вы не можете
сократите эту команду.
--Помогите
-h Распечатайте сообщение об использовании, в котором перечислены наиболее полезные параметры командной строки. Обратите внимание, что
вы не можете сокращать эту команду.
--гарантия
Распечатайте информацию о гарантии.
--dump-параметры
Распечатайте список всех доступных опций и команд. Обратите внимание, что вы не можете
сократите эту команду.
Команды в выберите домен напишите of операция
--подписать
-s Сделайте подпись. Эту команду можно комбинировать с --шифровать (для подписанного и
зашифрованное сообщение), --симметричный (для подписанного и симметрично зашифрованного сообщения),
or --шифровать и --симметричный вместе (для подписанного сообщения, которое может быть расшифровано
через секретный ключ или парольную фразу). Ключ, который будет использоваться для подписи, выбирает
по умолчанию или может быть установлен с помощью --local-пользователь и - ключ по умолчанию настройки.
--clearsign
Сделайте подпись открытым текстом. Контент в текстовой подписи читается
без специального программного обеспечения. Программное обеспечение OpenPGP необходимо только для проверки
подпись. Подписи в виде открытого текста могут изменять пробелы в конце строки для платформы
независимость и не должны быть обратимыми. Ключ, который будет использоваться для подписи
выбрано по умолчанию или может быть установлено с помощью --local-пользователь и - ключ по умолчанию настройки.
--detach-знак
-b Сделайте отдельную подпись.
--шифровать
-e Зашифруйте данные. Этот вариант можно комбинировать с --подписать (для подписанного и зашифрованного
сообщение), --симметричный (для сообщения, которое можно расшифровать с помощью секретного ключа или
кодовая фраза), или --подписать и --симметричный вместе (для подписанного сообщения, которое может быть
расшифровывается с помощью секретного ключа или парольной фразы).
--симметричный
-c Зашифровать симметричным шифром с использованием ключевой фразы. Симметричный шифр по умолчанию
используется AES-128, но его можно выбрать с помощью --cipher-алго вариант. Этот вариант может
быть объединенным с --подписать (для подписанного и симметрично зашифрованного сообщения),
--шифровать (для сообщения, которое можно расшифровать с помощью секретного ключа или парольной фразы),
or --подписать и --шифровать вместе (для подписанного сообщения, которое может быть расшифровано с помощью
секретный ключ или кодовую фразу).
--хранить
Только хранить (сделать простой буквальный пакет данных).
- расшифровать
-d Расшифруйте файл, указанный в командной строке (или STDIN, если файл не указан) и
записать его в STDOUT (или в файл, указанный с помощью --выход). Если расшифрованный файл
подписано, подпись также проверяется. Эта команда отличается от команды по умолчанию
операции, так как она никогда не записывает имя файла, включенного в файл, и
отклоняет файлы, которые не начинаются с зашифрованного сообщения.
--проверять
Предположим, что первый аргумент - это подписанный файл, и проверьте его, не создавая
любой выход. Без аргументов пакет подписи считывается из STDIN. Если бы только
приводится один аргумент, ожидается, что это будет полная подпись.
Если аргумент больше 1, первая должна быть отдельной подписью, а
Остальные файлы сохраняют подписанные данные. Чтобы прочитать подписанные данные из STDIN, используйте
'-' как второе имя файла. По соображениям безопасности отдельная подпись не может быть прочитана
подписанный материал от STDIN без обозначения его вышеупомянутым способом.
Примечание: если опция --партия не используется, gpg2 может предположить, что единственный аргумент
файл с отдельной подписью, и он попытается найти соответствующий файл данных с помощью
удаление определенных суффиксов. Использование этой исторической особенности для проверки отсоединенного
подпись категорически не рекомендуется; всегда указывайте и файл данных.
Примечание. При проверке подписи открытым текстом GPG проверяет только то, что составляет
данные, подписанные открытым текстом, а не какие-либо дополнительные данные за пределами подписи открытого текста или
строки заголовка, следующие непосредственно за линией маркера. Опция --выход может быть
используется для записи собственно подписанных данных; но есть и другие подводные камни с этим
формат тоже. Предлагается избегать подписей в открытом виде в пользу отдельных
подписи.
--мультифайл
Это изменяет некоторые другие команды, чтобы принимать несколько файлов для обработки на
в командной строке или читать из STDIN с каждым именем файла в отдельной строке. Это позволяет
для одновременной обработки множества файлов. --мультифайл в настоящее время может использоваться вместе
--проверять, --шифроватькачества - расшифровать, Обратите внимание, что --мультифайл --проверять может не быть
используется с отдельными подписями.
--verify-файлы
Идентично --мультифайл --проверять.
--encrypt-файлы
Идентично --мультифайл --шифровать.
--decrypt-файлы
Идентично --мультифайл - расшифровать.
--список ключей
-k
--list-открытые-ключи
Перечислите все ключи из общедоступных ключей или только ключи, указанные в командной строке.
Избегайте использования вывода этой команды в сценариях или других программах, так как это вероятно
изменяться по мере изменения GnuPG. Видеть --с двоеточием для машинно-анализируемого списка ключей
команда, подходящая для использования в сценариях и других программах.
--list-секретные-ключи
-K Перечислите все ключи из секретных ключей или только те, которые указаны в командной строке.
A # после писем сек означает, что секретный ключ нельзя использовать (например, если
он был создан через --export-secret-подключи).
--list-подписи
Такой же как --список ключей, но подписи тоже указаны. Эта команда имеет то же самое
эффект как использование --список ключей --with-sig-список.
Для каждой указанной подписи между тегом "sig" и
keyid. Эти флаги предоставляют дополнительную информацию о каждой подписи. Слева на
справа, это цифры 1-3 для уровня проверки сертификата (см. --ask-cert-level),
"L" для локальной или неэкспортируемой подписи (см. --lsign-ключ), "R" для a
неотменяемая подпись (см. --edit-ключ команда "nrsign"), "P" для подписи
который содержит URL-адрес политики (см. --cert-policy-url), «N» для подписи, которая
содержит обозначение (см. --cert-нотация), «X» - для уже созданной подписи (см. --просить-
срок действия сертификата), а цифры 1–9 или «T» для 10 и выше указывают на доверие.
уровни подписи (см. --edit-ключ команда "tsign").
--check-sigs
Такой же как --list-подписи, но подписи проверены. Обратите внимание, что для производительности
причины, по которым статус отзыва ключа подписи не отображается. Эта команда имеет
тот же эффект, что и при использовании --список ключей --с-подписью-проверкой.
Статус проверки обозначается флажком, который следует сразу за "sig".
тег (и, следовательно, перед флагами, описанными выше для --list-подписи). А "!" указывает
что подпись была успешно проверена, знак "-" означает плохую подпись
и "%" используется, если при проверке подписи произошла ошибка (например, не
поддерживаемый алгоритм).
--locate-ключи
Найдите ключи, указанные в качестве аргументов. Эта команда в основном использует тот же алгоритм
используется при поиске ключей для шифрования или подписи и, таким образом, может использоваться для просмотра
какие ключи gpg2 может использовать. В частности, внешние методы, как определено --автоматический ключ-
разместить может использоваться для поиска ключа. Перечислены только открытые ключи.
- отпечаток пальца
Перечислите все ключи (или указанные) вместе с их отпечатками пальцев. Это
тот же результат, что и --список ключей но с дополнительным выводом строки с
отпечаток пальца. Также может сочетаться с --list-подписи or --check-sigs. Если это
команда дается дважды, также отображаются отпечатки всех вторичных ключей.
--list-пакеты
Перечислить только последовательность пакетов. Это в основном полезно для отладки. При использовании
с опцией --подробный сбрасываются фактические значения MPI, а не только их длина.
--card-edit
Представьте меню для работы со смарт-картой. Подкоманда "help" предоставляет обзор
по доступным командам. Подробное описание см. В Card HOWTO по адресу
https://gnupg.org/documentation/howtos.html#GnuPG-cardHOWTO .
--card-status
Показать содержимое смарт-карты.
- сменный штифт
Представьте меню, позволяющее изменить PIN-код смарт-карты. Эта функция также
доступна как подкоманда "passwd" с --card-edit команда.
--удалить-ключи имя
--удалить-ключи имя
Удалите ключ из связки открытых ключей. В пакетном режиме либо --да требуется или
ключ должен быть указан по отпечатку пальца. Это защита от случайного
удаление нескольких ключей.
--удалить-секретные-ключи имя
Удалите ключ из секретного брелка. В пакетном режиме ключ должен быть указан
отпечаток пальца.
--delete-секрет-и-открытый-ключ имя
Такой же как - удалить-ключ, но если секретный ключ существует, он будет сначала удален. В
В пакетном режиме ключ должен быть указан по отпечатку пальца.
- экспорт
Либо экспортируйте все ключи из всех связок ключей (наборы ключей по умолчанию и те, которые зарегистрированы через
вариант --брелок для ключей), или, если дано хотя бы одно имя, имена данного имени. В
экспортированные ключи записываются в STDOUT или в файл, указанный с опцией --выход. Используйте
вместе с - броня отправить эти ключи по почте.
--отправить-ключи ключ Идентификаторы
Похожий на что - экспорт но отправляет ключи на сервер ключей. Отпечатки пальцев могут быть использованы
вместо идентификаторов ключей. Вариант --сервер должен использоваться, чтобы дать имя этому
сервер ключей. Не отправляйте всю связку ключей на сервер - выберите только те
новые или измененные вами ключи. Если идентификаторы ключей не указаны, GPG ничего не делает.
--экспорт секретных ключей
--export-secret-подключи
Такой же как - экспорт, но вместо этого экспортирует секретные ключи. Экспортируемые ключи
записывается в STDOUT или в файл, указанный с опцией --выход. Эта команда часто
используется вместе с опцией - броня чтобы можно было легко распечатать ключ для бумаги
резервный; однако внешний инструмент бумажный ключ лучше справляется с созданием резервных копий
на бумаге. Обратите внимание, что экспорт секретного ключа может представлять угрозу безопасности, если экспортированный
ключи отправляются по незащищенному каналу.
Вторая форма команды имеет специальное свойство для отображения секретной части.
первичный ключ бесполезен; это расширение GNU для OpenPGP и других
нельзя ожидать, что реализации успешно импортируют такой ключ. Его
предполагаемое использование - создание полного ключа с дополнительным подключом подписи на
выделенный компьютер, а затем с помощью этой команды экспортировать ключ без первичного
ключ от основной машины.
GnuPG может попросить вас ввести кодовую фразу для ключа. Это необходимо, потому что
метод внутренней защиты секретного ключа отличается от такового
указанный протоколом OpenPGP.
--export-ssh-ключ
Эта команда используется для экспорта ключа в формат открытого ключа OpenSSH. Это требует
спецификация одного ключа обычными средствами и экспорт последнего действующего подключа
который имеет возможность аутентификации в STDOUT или в файл, указанный с опцией
--выход. Этот вывод можно напрямую добавить в ssh 'авторизованный_ ключ' файл.
Указав ключ для экспорта с использованием идентификатора ключа или отпечатка пальца с суффиксом
восклицательный знак (!), можно экспортировать определенный подключ или первичный ключ. Этот
даже не требует, чтобы для ключа был установлен флаг возможности аутентификации.
--Импортировать
--fast-import
Импорт / объединение ключей. Это добавляет данные ключи в связку ключей. Быстрая версия
на данный момент просто синоним.
Есть несколько других параметров, которые определяют, как работает эта команда. Наиболее примечательный
здесь --import-параметры только слияние опция, которая не вставляет новые ключи, а
выполняет только объединение новых подписей, идентификаторов пользователей и подключей.
--recv-ключи ключ Идентификаторы
Импортируйте ключи с заданными идентификаторами ключей с сервера ключей. Вариант --сервер должен быть
используется для присвоения имени этому серверу ключей.
--обновить-ключи
Запросить обновления с сервера ключей для ключей, которые уже существуют в локальной связке ключей.
Это полезно для обновления ключа последними подписями, идентификаторами пользователей и т. Д.
Вызов этого без аргументов обновит всю связку ключей. Вариант --сервер
должен использоваться, чтобы дать имя сервера ключей для всех ключей, которые не имеют
набор предпочтительных серверов ключей (см. --keyserver-параметры адрес-адрес-сервера-ключа).
- ключи поиска имена
Найдите на сервере ключей указанные имена. Несколько имен, приведенных здесь, будут объединены
вместе, чтобы создать строку поиска для сервера ключей. Вариант --сервер должен быть
используется для присвоения имени этому серверу ключей. Серверы ключей, поддерживающие другой поиск
методы позволяют использовать синтаксис, указанный в «Как указать идентификатор пользователя» ниже. Примечание
что разные типы серверов ключей поддерживают разные методы поиска. Только в настоящее время
LDAP поддерживает их все.
--fetch-ключи URI
Получить ключи, расположенные по указанным URI. Обратите внимание, что разные установки
GnuPG может поддерживать разные протоколы (HTTP, FTP, LDAP и т. Д.)
--update-trustdb
Доверяйте обслуживание базы данных. Эта команда перебирает все ключи и строит
Сеть доверия. Это интерактивная команда, потому что она может запрашивать
«Доверие к владельцу» для ключей. Пользователь должен оценить, насколько далеко он
доверяет владельцу отображаемого ключа правильно сертифицировать (подписывать) другие ключи. GnuPG
запрашивает значение доверия только к владельцу, если оно еще не было присвоено ключу. С использованием
домен --edit-ключ меню, присвоенное значение может быть изменено в любое время.
--check-trustdb
Доверительное обслуживание базы данных без вмешательства пользователя. Время от времени доверие
база данных должна быть обновлена, чтобы просроченные ключи или подписи и полученные
изменения в сети доверия можно отслеживать. Обычно GnuPG вычисляет, когда
это необходимо и делает это автоматически, если --no-auto-check-trustdb установлен.
Эту команду можно использовать для принудительной проверки базы данных доверия в любое время. В
обработка идентична обработке --update-trustdb но он пропускает клавиши с не
пока не определил "доверие собственнику".
Для использования с заданиями cron эту команду можно использовать вместе с --партия , в которой
в случае, если проверка базы данных доверия выполняется только в том случае, если проверка необходима. Чтобы заставить бежать
даже в пакетном режиме добавить опцию --да.
--export-ownertrust
Отправьте значения доверия владельцу в STDOUT. Это полезно для целей резервного копирования, так как эти
значения - единственные, которые нельзя воссоздать из поврежденной базы данных trustdb.
Пример:
gpg2 --export-ownertrust> otrust.txt
--import-ownertrust
Обновите trustdb значениями доверия к владельцу, хранящимися в файлов (или STDIN, если нет
данный); существующие значения будут перезаписаны. В случае сильно поврежденного trustdb
и если у вас есть недавняя резервная копия значений доверия к владельцу (например, в файле
"otrust.txt', вы можете воссоздать trustdb, используя следующие команды:
cd ~ / .gnupg
rm Trustdb.gpg
gpg2 --import-ownertrust <otrust.txt
--rebuild-keydb-кеши
При обновлении с версии 1.0.6 до 1.0.7 эту команду следует использовать для создания
кеши подписей в связке ключей. Это может пригодиться и в других ситуациях.
--print-md что-то
--print-mds
Распечатать дайджест сообщения алгоритма ALGO для всех заданных файлов или STDIN. С
вторая форма (или устаревший "*" как алгоритм) дайджесты для всех доступных алгоритмов:
распечатаны.
--gen-случайный 0 | 1 | 2 считать
Испускают считать случайные байты заданного уровня качества 0, 1 или 2. Если считать не дано
или ноль, будет выдана бесконечная последовательность случайных байтов. Если используется с - броня
вывод будет закодирован в base64. ПОЖАЛУЙСТА, не используйте эту команду, если не знаете
что ты делаешь; он может удалить драгоценную энтропию из системы!
--генпрайм Режим биты
Используйте исходник, Люк :-). Формат вывода все еще может быть изменен.
- броня
- броня
Упакуйте или распакуйте произвольный ввод в / из брони OpenPGP ASCII. Это
Расширение GnuPG для OpenPGP и вообще не очень полезно.
--tofu-set-policy авто | хорошее | неизвестно | плохое | спросить ключ...
Установите политику TOFU для всех привязок, связанных с указанными ключами. За
дополнительную информацию о значении политик см .: [trust-model-tofu]. В
ключи могут быть указаны либо по их отпечатку пальца (предпочтительно), либо по идентификатору ключа.
Как в управлять надежная ключи
В этом разделе объясняются основные команды для управления ключами.
--quick-gen-ключ Идентификатор пользователя
Это простая команда для генерации стандартного ключа с одним идентификатором пользователя. В отличие
в --ген-ключ ключ генерируется напрямую, без необходимости отвечать на кучу
подсказки. Если только вариант --да задано, создание ключа будет отменено, если
данный идентификатор пользователя уже существует в связке ключей.
При вызове непосредственно на консоли без каких-либо специальных опций ответ на
Требуется запрос подтверждения стиля `` Продолжить? ''. Если идентификатор пользователя уже
существует в связке ключей, появится вторая подсказка для принудительного создания ключа.
вверх.
Если эта команда используется с --партия, --pinentry-режим был установлен на петлевойкачества
один из вариантов парольной фразы (--парольная фраза, --passphrase-fdили файл-пароль)
, предоставленная кодовая фраза используется для нового ключа, и агент не спрашивает
для этого. Чтобы создать ключ без какой-либо защиты --парольная фраза '' может быть использовано.
--ген-ключ
Создайте новую пару ключей, используя текущие параметры по умолчанию. Это стандарт
команда для создания нового ключа. Помимо ключа, имеется сертификат отзыва.
создан и хранится вopenpgp-revocs.d'под главной страницей GnuPG
каталог.
--full-gen-ключ
Создайте новую пару ключей с диалоговыми окнами для всех параметров. Это расширенная версия
of --ген-ключ.
Также есть функция, позволяющая создавать ключи в пакетном режиме. Увидеть
раздел руководства `` Автоматическая генерация ключей '' о том, как это использовать.
--gen-отозвать имя
Создайте сертификат отзыва для полного ключа. Чтобы отозвать только подключ или
ключевую подпись, используйте --редактировать команда.
Эта команда просто создает сертификат отзыва, чтобы его можно было использовать для
отозвать ключ, если это когда-либо понадобится. Чтобы фактически отозвать ключ, созданный
сертификат отзыва необходимо объединить с ключом, который нужно отозвать. Это делается
импорт сертификата отзыва с помощью --Импортировать команда. Тогда отозванный
ключ должен быть опубликован, что лучше всего сделать, отправив ключ на сервер ключей
(команда - отправить ключ) и путем экспорта (- экспорт) его в файл, который затем отправляется в
частые партнеры по общению.
--desig-отозвать имя
Создайте назначенный сертификат отзыва для ключа. Это позволяет пользователю (с
разрешение держателя ключа) отозвать чужой ключ.
--edit-ключ
Представьте меню, которое позволяет вам выполнять большинство задач, связанных с управлением ключами.
Ожидается указание ключа в командной строке.
UID n Переключить выбор идентификатора пользователя или фотографического идентификатора пользователя с индексом n. Используйте * в
выберите все и 0 чтобы отменить выбор всего.
ключ n Переключить выделение подраздела с индексом n или идентификатор ключа n. Используйте * выбрать все
и 0 чтобы отменить выбор всего.
подпись Сделайте подпись на ключе пользователя имя Если ключ еще не подписан
пользователя по умолчанию (или пользователей, заданных с помощью -u), программа отображает
информация о ключе снова вместе с его отпечатком пальца и спрашивает,
он должен быть подписан. Этот вопрос повторяется для всех пользователей, указанных с помощью
-у.
lзнак То же, что и "подпись", но подпись помечена как неэкспортируемая и будет
поэтому никогда не использоваться другими. Это можно использовать только для того, чтобы сделать ключи действительными.
в местной среде.
нрзнак То же, что и "подписать", но подпись помечена как неотзывная и может
поэтому никогда не может быть отменен.
знак Сделайте доверительную подпись. Это подпись, сочетающая в себе понятия
заверение (например, обычная подпись) и доверие (например, «доверие»
команда). Обычно это полезно только в отдельных сообществах или группах.
Обратите внимание, что «l» (для локальных / неэкспортируемых), «nr» (для не подлежащих отмене) и «t» (для
trust) можно свободно смешивать с префиксом "подписать" для создания подписи любого типа.
желательно.
Если вариант --only-sign-text-id указывается, то любые идентификаторы пользователей, не основанные на тексте (например,
удостоверения личности с фотографиями) не будут выбраны для подписи.
Delsig Удалить подпись. Обратите внимание, что отозвать подпись нельзя,
после того, как он был отправлен общественности (то есть на сервер ключей). В этом случае вы
лучше использовать оборот.
оборот Отзыв подписи. Для каждой подписи, созданной одним из
секретные ключи, GnuPG спрашивает, должен ли быть сертификат отзыва
генерируется.
проверка Проверьте подписи на всех выбранных идентификаторах пользователей. С дополнительной опцией
самоподпись отображаются только собственные подписи.
аддуид Создайте дополнительный идентификатор пользователя.
добавить фото
Создайте фотографический идентификатор пользователя. Будет запрошен файл JPEG, который будет
встроен в идентификатор пользователя. Обратите внимание, что очень большой JPEG будет очень
большой ключ. Также обратите внимание, что некоторые программы будут отображать ваш JPEG без изменений.
(GnuPG), а некоторые программы масштабируют его, чтобы подогнать под диалоговое окно (PGP).
показать фото
Отобразить выбранный фотографический идентификатор пользователя.
заблуждающийся Удалите идентификатор пользователя или фотографический идентификатор пользователя. Обратите внимание, что невозможно
отозвать идентификатор пользователя после того, как он был опубликован (т.е.
сервер ключей). В этом случае вам лучше использовать пересматривать.
пересматривать Отзыв идентификатора пользователя или фотографического идентификатора пользователя.
первичный
Пометить текущий идентификатор пользователя как основной, удаляет основной идентификатор пользователя
от всех других идентификаторов пользователей и устанавливает отметку времени для всех затронутых
подписи на секунду вперед. Обратите внимание, что установка идентификатора пользователя с фотографией в качестве основного
делает его основным по сравнению с другими идентификаторами пользователей с фотографиями и устанавливает обычный идентификатор пользователя как
primary делает его основным по сравнению с другими идентификаторами обычных пользователей.
сервер ключей
Установите предпочтительный сервер ключей для указанных идентификаторов пользователей. Это позволяет другим
пользователи, чтобы знать, где вы предпочитаете, чтобы они получили ваш ключ. Видеть --сервер-
кредита адрес-адрес-сервера-ключа чтобы узнать больше о том, как это работает. Установка значения
«none» удаляет существующий предпочитаемый сервер ключей.
обозначение
Установите обозначение имя = значение для указанных идентификаторов пользователей. Видеть --cert-нотация
чтобы узнать больше о том, как это работает. Установка значения "none" удаляет все обозначения,
установка обозначения с префиксом минус (-) удаляет это обозначение, и
установка имени записи (без значения =) с префиксом минус
удаляет все обозначения с этим именем.
преф Перечислить предпочтения от выбранного идентификатора пользователя. Это показывает фактическое
предпочтения, без включения каких-либо подразумеваемых предпочтений.
шоупреф
Более подробный список настроек для выбранного идентификатора пользователя. Это показывает
действующие предпочтения, включая подразумеваемые предпочтения 3DES (шифр),
SHA-1 (дайджест) и несжатый (сжатие), если они еще не были
включен в список предпочтений. Кроме того, предпочтительный сервер ключей и
обозначения подписи (если есть) показаны.
setpref string
Установите для списка предпочтений идентификатора пользователя значение string для всех (или только для избранных)
идентификаторы пользователей. Вызов setpref без аргументов устанавливает список предпочтений на
по умолчанию (либо встроено, либо устанавливается через - список предпочтений по умолчанию), и звонки
setpref с "none" в качестве аргумента устанавливает пустой список предпочтений. Использовать gpg2
--версия чтобы получить список доступных алгоритмов. Обратите внимание, что пока вы можете
изменить настройки атрибута идентификатора пользователя (также известного как «идентификатор фотографии»), GnuPG делает
не выбирать ключи через идентификаторы пользователей атрибутов, поэтому эти настройки не будут использоваться
пользователя GnuPG.
При настройке предпочтений вы должны перечислить алгоритмы в том порядке, в котором
вы хотели бы, чтобы они использовались кем-то другим при шифровании сообщения для
твой ключ. Если вы не включите 3DES, он будет автоматически добавлен в
конец. Обратите внимание, что есть много факторов, которые влияют на выбор алгоритма.
(например, ваш ключ может быть не единственным получателем), поэтому удаленный
Приложение OpenPGP, используемое для отправки вам, может или не может следовать вашему
точно выбранный порядок для данного сообщения. Однако он выберет только
алгоритм, который присутствует в списке предпочтений каждого ключа получателя.
См. Также раздел ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ПРОГРАММАМИ OPENPGP ниже.
добавочный ключ Добавьте к этому ключу подключ.
ключ карты
Сгенерируйте подключ на карточке и добавьте его к этому ключу.
карта
Перенести выбранный секретный подключ (или первичный ключ, если ни один подключ не
был выбран) на смарт-карту. Секретный ключ в связке ключей будет
заменяется заглушкой, если ключ может быть успешно сохранен на карте и
вы используете команду сохранения позже. Только определенные типы ключей могут быть переданы в
карта. Подменю позволяет выбрать, на какой карте хранить ключ.
Обратите внимание, что вернуть этот ключ с карты невозможно - если
карта сломается, ваш секретный ключ будет потерян, если у вас нет резервной копии
где-то.
банковская карта файл
Восстановите данный файл на карту. Эта команда может использоваться для восстановления
резервный ключ (созданный при инициализации карты) для новой карты. В
почти во всех случаях это будет ключ шифрования. Вы должны использовать это
только с соответствующим открытым ключом и убедитесь, что файл
приведенный в качестве аргумента действительно является резервной копией для восстановления. Затем вы должны выбрать 2
восстановить как ключ шифрования. Сначала вам будет предложено ввести
пароль для резервного ключа, а затем для ПИН-кода администратора карты.
Delkey Удалите подключ (вторичный ключ). Обратите внимание, что отозвать нельзя.
подключ после того, как он был отправлен в открытый доступ (то есть на сервер ключей). В этом
если тебе лучше использовать ревкей.
ревкей Отозвать подключ.
истекать Измените срок действия ключа или подключи. Если выбран подраздел,
время истечения этого подключа будет изменено. Без выбора ключ
срок действия первичного ключа изменен.
доверять Измените значение доверия владельца для ключа. Это обновляет trust-db
немедленно и никаких сохранений не требуется.
запрещать
включить Отключить или включить весь ключ. Отключенный ключ обычно не может использоваться для
шифрование.
адресат
Добавьте к ключу назначенного отзывающего. Это требует одного необязательного аргумента:
"чувствительный". Если назначенный отозватель помечен как конфиденциальный, он не будет
экспортируется по умолчанию (см. параметры экспорта).
ПАРОЛЬ Измените парольную фразу секретного ключа.
тумблер Это фиктивная команда, которая существует только для обратной совместимости.
чистым Сжать (удалив все подписи, кроме собственной подписи) любой идентификатор пользователя, который
больше не может использоваться (например, отозвано или просрочено). Затем удалите все подписи
которые нельзя использовать при расчетах доверия. В частности, это удаляет
любая подпись, которая не проверяется, любая подпись, которая заменена
более поздняя подпись, отозванные подписи и подписи, выданные ключами, которые
отсутствует на брелоке.
минимизировать
Сделайте ключ как можно меньше. Это удалит все подписи из каждого
идентификатор пользователя, за исключением самой последней самоподписи.
перекрестная сертификация
Добавьте подписи перекрестной сертификации к подразделам подписи, которые в настоящее время не могут
есть их. Подписи перекрестной сертификации защищают от тонкой атаки
против подписания подключей. Видеть - требовать перекрестной сертификации. Все новые ключи
сгенерированные имеют эту подпись по умолчанию, поэтому эта опция полезна только для
обновить старые ключи.
спасти Сохраните все изменения в связке ключей и выйдите.
выход Закройте программу, не обновляя связки ключей.
В листинге показан ключ с его вторичными ключами и всеми идентификаторами пользователей. В
основной идентификатор пользователя указывается точкой, а выбранные ключи или идентификаторы пользователя указываются
звездочкой. Значение доверия отображается с первичным ключом: первый -
назначенное доверие владельца, а второе - рассчитанное значение доверия. Письма
используется для значений:
- Доверие собственника не присвоено / еще не рассчитано.
e Расчет доверия не удался; вероятно из-за просроченного ключа.
q Недостаточно информации для расчета.
n Никогда не доверяйте этому ключу.
m Незначительно доверял.
f Полностью доверяет.
u В конечном итоге доверял.
--знак-ключ имя
Подписывает открытый ключ своим секретным ключом. Это сокращенная версия
подкоманда "знак" из --редактировать.
--lsign-ключ имя
Подписывает открытый ключ вашим секретным ключом, но отмечает его как неэкспортируемый. Это
сокращенная версия подкоманды "lsign" из --edit-ключ.
--быстрый знак-клавиша ФПР [имена]
--quick-lsign-ключ ФПР [имена]
Непосредственно подпишите ключ из ключевой фразы без дальнейшего взаимодействия с пользователем. В
ФПР должен быть подтвержденным первичным отпечатком ключа в локальной связке ключей. Если нет
имена даны, все полезные идентификаторы пользователей подписаны; с данным [имена] только полезно
подписываются идентификаторы пользователей, соответствующие одному из этих имен. Команда --quick-lsign-ключ
отмечает подписи как неэкспортируемые. Если такая неэкспортируемая подпись уже
существует --быстрый знак-клавиша превращает его в экспортируемую подпись.
Эта команда использует разумные значения по умолчанию и, следовательно, не предоставляет полную
гибкость подкоманды "знак" из --edit-ключ. Его предназначение - помочь
автоматическое подписание ключа с использованием списка проверенных отпечатков пальцев.
--quick-adduid Идентификатор пользователя новый-идентификатор-пользователя
Эта команда добавляет новый идентификатор пользователя к существующему ключу. В отличие от интерактивного
подкоманда аддуид of --edit-ключ домен новый-идентификатор-пользователя дословно добавляется только
начальные и конечные пробелы удалены, ожидается, что он будет закодирован в UTF-8, и
никакие проверки по его форме не применяются.
--passwd user_id
Измените парольную фразу секретного ключа, принадлежащего сертификату, указанному как
user_id. Это ярлык для подкоманды ПАРОЛЬ меню клавиши редактирования.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
gpg2 имеет множество опций для точного управления поведением и изменения настроек по умолчанию
конфигурации.
Длинные параметры можно поместить в файл параметров (по умолчанию "~ / .gnupg / gpg.conf"). Короткий вариант
имена не будут работать - например, "броня" - допустимая опция для файла параметров, а
«а» нет. Не пишите 2 тире, а просто название опции и любые необходимые
аргументы. Строки с решёткой ('#') в качестве первого символа, отличного от пробела, игнорируются.
Команды также могут быть помещены в этот файл, но обычно это бесполезно, так как команда будет
выполняется автоматически при каждом запуске gpg.
Помните, что анализ опций останавливается, как только обнаруживается не опцион, вы можете
явно прекратить синтаксический анализ, используя специальную опцию --.
Как в изменение домен конфигурация
Эти параметры используются для изменения конфигурации и обычно находятся в параметре
.
- ключ по умолчанию имя
Используйте имя в качестве ключа по умолчанию для подписи. Если этот параметр не используется, по умолчанию
key - это первый ключ в связке секретных ключей. Обратите внимание, что -u or --local-пользователь
отменяет эту опцию. Этот вариант можно использовать несколько раз. В этом случае
используется последний ключ, для которого доступен секретный ключ. Если нет секретного ключа
доступно для любого из указанных значений, GnuPG не выдаст сообщение об ошибке, но
продолжить, как если бы эта опция не была указана.
- получатель по умолчанию имя
Используйте имя как получатель по умолчанию, если опция --получатель не используется и не спрашивайте, если
это действительный. имя не должно быть пустым.
--по умолчанию-получатель-сам
Использовать ключ по умолчанию в качестве получателя по умолчанию, если опция --получатель не используется и
не спрашивайте, действительно ли это. Ключ по умолчанию - первый из секретных.
брелок или набор с - ключ по умолчанию.
--нет-по умолчанию-получатель
Сброс - получатель по умолчанию и --по умолчанию-получатель-сам.
-в, --подробный
Предоставьте дополнительную информацию во время обработки. При двукратном использовании входные данные перечислены в
подробно.
- без подробностей
Сбросить уровень подробности до 0.
-д, --тихий
Постарайтесь вести себя как можно тише.
--партия
- без партии
Используйте пакетный режим. Никогда не спрашивайте, не разрешайте интерактивные команды. - без партии отключает
этот вариант. Обратите внимание, что даже если имя файла указано в командной строке, gpg может
по-прежнему необходимо читать из STDIN (в частности, если gpg считает, что ввод
отдельная подпись и файл данных не указан). Таким образом, если вы не хотите
чтобы передавать данные через STDIN, вы должны подключить STDIN к '/ DEV / нуль.
--нет-тти
Убедитесь, что TTY (терминал) никогда не используется для вывода. Этот вариант
необходимо в некоторых случаях, потому что GnuPG иногда выводит предупреждения в TTY, даже если
--партия используется.
--да Считайте «да» на большинство вопросов.
--нет Считайте «нет» на большинство вопросов.
--список-опций параметры
Это строка, разделенная пробелами или запятыми, которая дает параметры, используемые при перечислении ключей.
и подписи (то есть --список ключей, --list-подписи, --list-открытые-ключи, --список-
секретные ключи, и --edit-ключ функции). Опции могут быть добавлены с нет-
(после двух тире), чтобы придать противоположное значение. Возможные варианты:
шоу-фотографии
Причины --список ключей, --list-подписи, --list-открытые-ключикачества --list-секретные-ключи
для отображения любых удостоверений личности с фотографией, прикрепленных к ключу. По умолчанию нет. Смотрите также
--фото-зритель. Не работает с --с двоеточием: видеть --атрибут-fd для
подходящий способ получить данные о фотографиях для скриптов и других интерфейсов.
шоу-использование
Показать информацию об использовании ключей и подключей в стандартном списке ключей.
Это список букв, обозначающих допустимое использование ключа.
(E= шифрование, S= подписание, C= сертификация, A= аутентификация). По умолчанию
да.
показать-политики-URL
Показывать URL-адреса политик в --list-подписи or --check-sigs списки. По умолчанию
нет.
шоу-обозначения
показать стандартные обозначения
показать-пользовательские-обозначения
Показать все, стандартные IETF или определяемые пользователем обозначения подписи в --список-
SIGs or --check-sigs списки. По умолчанию нет.
показать-keyserver-urls
Показать любой предпочтительный URL-адрес сервера ключей в --list-подписи or --check-sigs
списки. По умолчанию нет.
показать-uid-действительность
Отображение рассчитанной достоверности идентификаторов пользователей во время списков ключей. По умолчанию
да.
показать-неиспользуемые-uids
Показывать отозванные и просроченные идентификаторы пользователей в списках ключей. По умолчанию нет.
показать-неиспользуемые-подключи
Показывать отозванные и просроченные подключи в списках ключей. По умолчанию нет.
шоу-брелок
Отображение имени связки ключей в заголовке списков ключей, чтобы показать, какой набор ключей
данный ключ находится на. По умолчанию нет.
шоу-сигн-истекает
Показать даты истечения срока действия подписи (если есть) во время --list-подписи or --check-sigs
списки. По умолчанию нет.
шоу-сигн-подпакеты
Включите подпакеты подписи в список ключей. Этот вариант может принимать
необязательный список аргументов для перечисляемых подпакетов. Если аргумент не передан,
перечислить все подпакеты. По умолчанию нет. Эта опция имеет смысл только тогда, когда
через --с двоеточием вместе с --list-подписи or --check-sigs.
--verify-параметры параметры
Это строка, разделенная пробелами или запятыми, которая дает параметры, используемые при проверке
подписи. Опции могут быть добавлены с «no-» для придания противоположного значения. В
варианты:
шоу-фотографии
Покажите все удостоверения личности с фотографией, присутствующие на ключе, на котором была подписана подпись.
По умолчанию нет. Смотрите также --фото-зритель.
показать-политики-URL
Показывать URL-адреса политики в проверяемой подписи. По умолчанию да.
шоу-обозначения
показать стандартные обозначения
показать-пользовательские-обозначения
Показать все, стандартные IETF или определяемые пользователем обозначения подписи в
подпись проверяется. По умолчанию стандарт IETF.
показать-keyserver-urls
Показывать любой предпочтительный URL-адрес сервера ключей в проверяемой подписи. По умолчанию
да.
показать-uid-действительность
Отобразить рассчитанную достоверность идентификаторов пользователей для ключа, выдавшего
подпись. По умолчанию да.
показать-неиспользуемые-uids
Показывать отозванные и просроченные идентификаторы пользователей во время проверки подписи. По умолчанию
к нет.
показать только первичный uid
Показывать только основной идентификатор пользователя во время проверки подписи. Вот и все
строки AKA, а также идентификаторы фотографий не отображаются с подписью
статус проверки.
pka-поиск
Включите поиск PKA для проверки адресов отправителя. Обратите внимание, что PKA основан на
DNS, поэтому включение этой опции может раскрывать информацию о том, когда и что
подписи проверены или кому данные зашифрованы. Это похоже на
"веб-ошибка", описанная для функции автоматического получения ключа.
pka-trust-увеличение
Повысить доверие к подписи до полного, если подпись проходит PKA
Проверка. Эта опция имеет смысл, только если установлен pka-lookups.
--enable-большой-rsa
--отключить-большой-rsa
С помощью --gen-key и --batch разрешите создание секретных ключей RSA большего размера, чем
обычно рекомендуется (до 8192 бит). Эти большие ключи дороже в
использование, а их подписи и сертификаты также крупнее.
--enable-dsa2
--отключить-dsa2
Включите усечение хэша для всех ключей DSA даже для старых ключей DSA длиной до 1024 бит. Этот
также по умолчанию с --openpgp. Обратите внимание, что более старые версии GnuPG также
требовал, чтобы этот флаг позволял генерировать DSA размером более 1024 бит.
--фото-зритель string
Это командная строка, которую следует запустить для просмотра удостоверения личности с фотографией. "%я буду
расширяется до имени файла, содержащего фотографию. "% I" делает то же самое, за исключением файла
не будут удалены после выхода из программы просмотра. Другие флаги - "% k" для идентификатора ключа,
«% K» для длинного идентификатора ключа, «% f» для отпечатка ключа, «% t» для расширения
тип изображения (например, «jpg»), «% T» для типа MIME изображения (например,
"image / jpeg"), "% v" для вычисляемой достоверности односимвольного изображения
просмотрено (например, «f»), «% V» для вычисленной достоверности в виде строки (например, «полный»),
«% U» - хэш идентификатора пользователя в кодировке base32, а «%%» - фактический знак процента.
Если ни% i, ни% I не присутствуют, фотография будет предоставлена зрителю на
стандартный ввод.
Программа просмотра по умолчанию - «xloadimage -fork -quiet -title 'KeyID 0x% k' STDIN». Примечание
что если ваша программа просмотра изображений небезопасна, то ее выполнение из GnuPG делает
не сделать это безопасным.
--exec-путь string
Устанавливает список каталогов для поиска программ просмотра фотографий и помощников сервера ключей. Если
не предоставляется, помощники сервера ключей используют скомпилированный каталог по умолчанию, а фото
зрители используют переменную окружения $ PATH. Обратите внимание, что в системе W32 это значение равно
игнорируется при поиске помощников сервера ключей.
--брелок для ключей файл
Добавить файл к текущему списку связок ключей. Если файл начинается с тильды и косой черты,
они заменяются каталогом $ HOME. Если имя файла не содержит
косая черта, предполагается, что он находится в домашнем каталоге GnuPG ("~ / .gnupg" если --homedir or
$ GNUPGHOME не используется).
Обратите внимание, что это добавляет связку ключей в текущий список. Если вы намерены использовать
только указанный брелок, используйте --брелок для ключей вместе с --no-default-keyring.
- секретный брелок файл
Это устаревший вариант, и его игнорируют. Все секретные ключи хранятся в
"частные ключи-v1.d'под домашним каталогом GnuPG.
- первичный брелок файл
Обозначьте файл в качестве первичной связки открытых ключей. Это означает, что недавно импортированные ключи
(через --Импортировать или сервер ключей --recv-от) перейдет на этот брелок.
--trustdb-имя файл
Используйте файл вместо trustdb по умолчанию. Если файл начинается с тильды и косой черты,
они заменяются каталогом $ HOME. Если имя файла не содержит
косая черта, предполагается, что он находится в домашнем каталоге GnuPG ('~ / .gnupg' если --homedir or
$ GNUPGHOME не используется).
--homedir директория
Установите имя домашнего каталога на директория. Если этот вариант не используется, дом
каталог по умолчанию '~ / .gnupg'. Он распознается только при вводе команды
линия. Он также отменяет любой домашний каталог, указанный в переменной среды.
"ГНУПГХОМ'или (в системах Windows) с помощью записи в реестре
HKCU \ Программное обеспечение \ GNU \ GnuPG: HomeDir.
В системах Windows можно установить GnuPG как портативное приложение. В
в этом случае рассматривается только этот параметр командной строки, все другие способы установки дома
каталог игнорируются.
Чтобы установить GnuPG как портативное приложение под Windows, создайте пустое имя файла
"gpgconf.ctl'в том же каталоге, что и инструмент'gpgconf.exe'. Корень
установка чем этот каталог; или если 'gpgconf.exe' был установлен
непосредственно под каталогом с именем 'бункер', его родительский каталог. Вам также необходимо
убедитесь, что следующие каталоги существуют и доступны для записи: 'ROOT / home' для
дом GnuPG и 'КОРЕНЬ / var / cache / gnupg2'для файлов внутреннего кеша.
--display-кодировка имя
Задайте имя собственного набора символов. Это используется для преобразования некоторых
информационные строки, такие как идентификаторы пользователей, в правильной кодировке UTF-8. Обратите внимание, что это
не имеет ничего общего с набором символов данных, которые должны быть зашифрованы или подписаны; GnuPG
не перекодирует данные, введенные пользователем. Если этот параметр не используется, по умолчанию
набор символов определяется из текущего языкового стандарта. Уровень детализации 3 показывает
выбранный набор. Допустимые значения для имя составляют:
исо-8859-1
Это набор Latin 1.
исо-8859-2
Набор Latin 2.
исо-8859-15
В настоящее время это псевдоним набора Latin 1.
кои8-р Обычный русский набор (rfc1489).
UTF-8 Обойдите все переводы и предположите, что ОС использует собственную кодировку UTF-8.
--utf8-струны
--no-utf8-строки
Предположим, что аргументы командной строки заданы как строки UTF8. По умолчанию (--нет-
utf8-строки) означает предположить, что аргументы закодированы в наборе символов как
указано --display-кодировка. Эти параметры влияют на все следующие аргументы. Оба
параметры можно использовать несколько раз.
--параметры файл
Читать варианты из файл и не пытайтесь прочитать их из файла опций по умолчанию в
хомедир (см. --homedir). Эта опция игнорируется, если используется в файле опций.
--без параметров
Ярлык для --параметры / DEV / нуль. Эта опция обнаруживается перед попыткой открыть
файл опций. Использование этой опции также предотвратит создание '~ / .gnupg"
хомедир.
-z n
- уровень сжатия n
--bzip2-уровень сжатия n
Установите уровень сжатия на n для алгоритмов сжатия ZIP и ZLIB. По умолчанию
- использовать уровень сжатия zlib по умолчанию (обычно 6). --bzip2-сжать-
уровень устанавливает уровень сжатия для алгоритма сжатия BZIP2 (по умолчанию
6). Этот вариант отличается от - уровень сжатия поскольку BZIP2 использует
значительный объем памяти для каждого дополнительного уровня сжатия. -z устанавливает оба.
Значение 0 для n отключает сжатие.
--bzip2-распаковать-lowmem
Используйте другой метод распаковки для сжатых файлов BZIP2. Этот альтернативный
использует чуть больше половины памяти, но также работает с половинной скоростью. Этот
полезен в условиях крайней нехватки памяти, когда файл был изначально
сжатый на высоком --bzip2-уровень сжатия.
--mangle-dos-имена файлов
--no-mangle-dos-имена файлов
Старая версия Windows не может обрабатывать имена файлов, содержащие более одной точки. - клубок-
имена файлов досок заставляет GnuPG заменять (а не добавлять) расширение
выходное имя файла, чтобы избежать этой проблемы. Эта опция по умолчанию отключена и не имеет
эффект на платформах, отличных от Windows.
--ask-cert-level
--no-ask-уровень сертификата
При подписании ключа запрашивайте уровень сертификации. Если эта опция
не указано, используемый уровень сертификации устанавливается через --уровень сертификата по умолчанию. Посмотреть
--уровень сертификата по умолчанию для получения информации о конкретных уровнях и о том, как они используются.
--no-ask-уровень сертификата отключает эту опцию. По умолчанию для этого параметра установлено значение «Нет».
--уровень сертификата по умолчанию n
Значение по умолчанию, используемое для уровня проверки при подписании ключа.
0 означает, что вы не делаете никаких особых заявлений относительно того, насколько тщательно вы проверили ключ.
1 означает, что вы считаете, что ключ принадлежит человеку, который утверждает, что владеет им, но вы
не смогла или не проверила ключ вообще. Это полезно для "персонажа"
верификация, где вы подписываете ключ псевдонимного пользователя.
2 означает, что вы провели случайную проверку ключа. Например, это могло означать, что
вы проверили отпечаток ключа и проверили идентификатор пользователя на ключе по фотографии
Я БЫ.
3 означает, что вы выполнили тщательную проверку ключа. Например, это может означать
что вы лично сверили отпечаток ключа с владельцем ключа, и что
вы проверили с помощью трудно подделываемого документа с фотографией (например,
паспорт), что имя владельца ключа совпадает с именем в идентификаторе пользователя на
ключ, и, наконец, что вы подтвердили (путем обмена электронной почтой), что адрес электронной почты на
ключ принадлежит владельцу ключа.
Обратите внимание, что приведенные выше примеры для уровней 2 и 3 являются всего лишь примерами. В
В конце концов, вам решать, что для вас значит «случайный» и «обширный».
По умолчанию эта опция равна 0 (без особых претензий).
--min-сертификат-уровень
При создании базы данных доверия относитесь к любым подписям с уровнем сертификации.
ниже это как недействительное. По умолчанию 2, что игнорирует сигнатуры уровня 1. Примечание
всегда принимаются подписи уровня 0 "без особых требований".
- доверенный-ключ длинной ключ ID
Предположим, что указанный ключ (который должен быть указан как полный 8-байтовый идентификатор ключа) имеет вид
заслуживает доверия как один из ваших секретных ключей. Эта опция полезна, если вы не хотите
хранить свои секретные ключи (или один из них) в сети, но при этом иметь возможность проверить
действительность ключа получателя или подписывающего лица.
- доверительная модель pgp | classic | tofu | tofu + pgp | direct | always | auto
Установите, какой модели доверия должен придерживаться GnuPG. Модели бывают:
PGP Это сеть доверия в сочетании с подписями доверия, которые используются в PGP 5.x.
и позже. Это модель доверия по умолчанию при создании нового доверия.
база данных.
классический
Это стандартная сеть доверия, представленная PGP 2.
Тофу
TOFU означает доверие при первом использовании. В этой модели доверия впервые
ключ виден, он запоминается. Если позже будет виден другой ключ с идентификатором пользователя
с тем же адресом электронной почты отображается предупреждение о том, что существует
конфликт и что ключ может быть подделкой и попыткой злоумышленника
средняя атака.
Поскольку потенциальный злоумышленник может контролировать адрес электронной почты и
тем самым обойти алгоритм обнаружения конфликтов, используя электронную почту
адрес, внешний вид которого похож на доверенный адрес электронной почты, когда
сообщение проверено, статистика о количестве сообщений, подписанных
показаны ключи. Таким образом, пользователь может легко идентифицировать атаки, используя поддельные
ключи для постоянных корреспондентов.
По сравнению с сетью доверия TOFU предлагает значительно более слабые
гарантии безопасности. В частности, TOFU только помогает обеспечить согласованность
(то есть связь между ключом и адресом электронной почты не меняется).
Основным преимуществом TOFU является то, что он требует минимального обслуживания для использования.
правильно. Чтобы правильно использовать сеть доверия, вам необходимо активно подписывать ключи
и отмечать пользователей как доверенных лиц. Это трудоемкий процесс и
неофициальные данные свидетельствуют о том, что даже пользователи, заботящиеся о безопасности, редко принимают
время сделать это тщательно и вместо этого полагаться на специальный процесс TOFU.
В модели TOFU политики связаны с привязками между ключами и
адреса электронной почты (которые извлекаются из идентификаторов пользователей и нормализуются). Там
пять политик, которые можно настроить вручную с помощью --тофу-политика опцию.
Политику по умолчанию можно установить с помощью --tofu-default-policy Политика.
Политика TOFU: автоматический, хорошо, неизвестный, плохой и спросить, автоматический политика
используется по умолчанию (если не отменено --tofu-default-policy) и отмечает
привязка как мало доверяемая. В хорошо, неизвестный и плохой политики отмечают
привязка как полностью доверенная, как имеющая неизвестное доверие или как никогда не имеющая доверия,
соответственно. неизвестный политика полезна просто для использования TOFU для обнаружения
конфликты, но никогда не назначать положительное доверие привязке. Финал
политика, спросить предлагает пользователю указать доверие привязки. Если пакетный режим
включен (или ввод неуместен в контексте), то пользователь не
подсказал и не определено уровень доверия возвращается.
тофу + пгп
Эта модель доверия сочетает TOFU с Web of Trust. Это делается
вычисление уровня доверия для каждой модели, а затем получение максимального доверия
уровень, на котором уровни доверия упорядочены следующим образом: неизвестный < не определено <
маргинальный < полностью < окончательный < истекший < никогда.
Установив --tofu-default-policy = неизвестно, эту модель можно использовать для
реализовать сеть доверия с помощью алгоритма обнаружения конфликтов TOFU, но
без присвоения им положительных значений доверия, что в некоторой степени
сознательные пользователи не любят.
направлять Срок действия ключа устанавливается непосредственно пользователем и не рассчитывается через Интернет
Доверие.
всегда Пропустите проверку ключа и предполагайте, что используемые ключи всегда полностью действительны. Ты
обычно не будет использовать это, если вы не используете внешнюю проверку
схема. Этот параметр также подавляет тег «[неопределенный]», напечатанный с
подпись проверяет, когда нет доказательств того, что идентификатор пользователя привязан к
ключ. Обратите внимание, что эта модель доверия по-прежнему не позволяет использовать просроченные,
отозванные или отключенные ключи.
автоматический Выберите модель доверия в зависимости от внутренней базы данных доверия
говорит. Это модель по умолчанию, если такая база данных уже существует.
--auto-key-locate параметры
--no-auto-key-locate
GnuPG может автоматически находить и извлекать ключи по мере необходимости, используя эту опцию. Этот
происходит при шифровании на адрес электронной почты (в "[электронная почта защищена]"форма"), и
нет [электронная почта защищена] ключи на локальном связке ключей. Этот вариант принимает любые
количество следующих механизмов в том порядке, в котором они должны быть опробованы:
верняк Найдите ключ с помощью DNS CERT, как указано в rfc4398.
ПКА Найдите ключ с помощью DNS PKA.
данные Найдите ключ с помощью DANE, как указано в draft-ietf-dane-openpgpkey-05.txt.
LDAP Используя DNS Service Discovery, проверьте интересующий домен на наличие LDAP.
серверы ключей для использования. Если это не удается, попробуйте найти ключ с помощью PGP.
Универсальный метод проверки ldap: // keys. (Thedomain).
сервер ключей
Найдите ключ, используя любой сервер ключей, определенный с помощью --сервер
опцию.
URL-адрес сервера-ключа
Кроме того, URL-адрес сервера ключей, используемый в --сервер опция может быть использована
здесь, чтобы запросить этот конкретный сервер ключей.
локальным Найдите ключ, используя локальные связки ключей. Этот механизм позволяет выбрать
порядок выполнения поиска локального ключа. Таким образом, используя '--auto-key-locate local'
идентично --no-auto-key-locate.
не по умолчанию
Этот флаг отключает стандартный поиск локального ключа, выполняемый перед любым из
механизмы, определенные --auto-key-locate пробовали. Положение этого
механизм в списке значения не имеет. Не требуется, если локальным Также
используемый.
Очистить Очистить все определенные механизмы. Это полезно для переопределения механизмов, заданных
в файле конфигурации.
--keyid-формат короткий | 0xshort | длинный | 0xlong
Выберите способ отображения идентификаторов ключей. «короткий» - это традиционный 8-значный идентификатор ключа.
«длинный» - более точный (но менее удобный) 16-значный идентификатор ключа. Добавьте "0x"
либо включить «0x» в начало идентификатора ключа, как в 0x99242560.
Обратите внимание, что этот параметр игнорируется, если используется параметр --with-colons.
--сервер имя
Эта опция устарела - используйте --сервер в 'dirmngr.conf' вместо.
Используйте имя как ваш сервер ключей. Это сервер, который --recv-ключи, --отправить-ключикачества
- ключи поиска будет связываться с, чтобы получать ключи, отправлять ключи и искать
для ключей на. Формат имя является URI: `scheme: [//] keyservername [: port] '
схема - это тип сервера ключей: "hkp" для HTTP (или совместимых) серверов ключей,
ldap для серверов ключей LDAP или mailto для сервера ключей электронной почты Graff. Примечание
что в вашей конкретной установке GnuPG могут быть доступны другие типы серверов ключей
также. В схемах серверов ключей регистр не учитывается. После имени сервера ключей, необязательно
Могут быть предоставлены параметры конфигурации сервера ключей. Это то же самое, что и глобальный
--keyserver-параметры снизу, но применимо только к этому конкретному серверу ключей.
Большинство серверов ключей синхронизируются друг с другом, поэтому, как правило, нет необходимости отправлять
ключи к более чем одному серверу. Сервер ключей hkp: //keys.gnupg.net использует круговой алгоритм
DNS, чтобы каждый раз использовать другой сервер ключей.
--keyserver-параметры имя = значение
Это строка, разделенная пробелами или запятыми, которая дает параметры для сервера ключей.
Опции могут иметь префикс «no-», чтобы придать противоположное значение. Действительный импорт-
options или export-options могут быть использованы здесь, чтобы применить к импорту (--recv-
ключ) или экспорт (- отправить ключ) ключ от сервера ключей. Хотя не все варианты
доступны для всех типов серверов ключей, некоторые общие параметры:
включить-отозвать
При поиске ключа с - ключи поиска, включите ключи, отмеченные на
сервер ключей отозван. Обратите внимание, что не все серверы ключей различают
отозванные и неотозванные ключи, и для таких серверов ключей эта опция
бессмысленно. Также обратите внимание, что большинство серверов ключей не имеют криптографических
проверка отзыва ключей, поэтому отключение этой опции может привести к
в пропуске ключей, которые неправильно помечены как отозванные.
включить-отключено
При поиске ключа с - ключи поиска, включите ключи, отмеченные на
сервер ключей отключен. Обратите внимание, что эта опция не используется с HKP.
серверы ключей.
автоматический поиск ключа
Эта опция включает автоматическое получение ключей с сервера ключей, когда
проверка подписей, сделанных ключами, не входящими в локальную связку ключей.
Обратите внимание, что эта опция делает возможным поведение, подобное "веб-ошибке". Keyserver
операторы могут видеть, какие ключи вы запрашиваете, поэтому, отправив вам сообщение с подписью
новым ключом (которого у вас, естественно, не будет на вашем локальном
keyring), оператор может сообщить как ваш IP-адрес, так и время, когда вы
проверил подпись.
адрес-адрес-сервера-ключа
Когда используешь --обновить-ключи, если у рассматриваемого ключа есть предпочтительный сервер ключей
URL-адрес, затем используйте этот предпочтительный сервер ключей для обновления ключа. Кроме того,
если установлено автоматическое получение ключа и проверяемая подпись имеет
предпочтительный URL-адрес сервера ключей, затем используйте этот предпочтительный сервер ключей для получения ключа
от. Обратите внимание, что эта опция вводит "веб-ошибку": создатель ключа
может видеть, когда ключи обновляются. Таким образом, эта опция не включена
по умолчанию.
честь-pka-record
Если установлено автоматическое получение ключа и проверяемая подпись имеет PKA
запись, затем используйте информацию PKA для получения ключа. По умолчанию "да".
включить-подключи
При получении ключа включите подключи в качестве потенциальных целей. Обратите внимание, что это
опция не используется с серверами ключей HKP, так как они не поддерживают получение
ключи по идентификатору подключей.
Тайм-аут
Сообщите вспомогательной программе сервера ключей, как долго (в секундах) пытаться выполнить
действие сервера ключей перед отказом. Обратите внимание, что выполнение нескольких действий на
в то же время использует это значение тайм-аута для каждого действия. Например, когда
получение нескольких ключей через --recv-ключи, тайм-аут применяется отдельно к
каждое извлечение ключа, а не --recv-ключи команда в целом. По умолчанию
до 30 секунд.
http-proxy = значение
Эта опция устарела. Установите прокси для использования для HTTP и HKP
серверы ключей. Это отменяет любой прокси, определенный в 'dirmngr.conf.
подробный
Эта опция больше не работает с GnuPG 2.1. Использовать дирмнгр
параметры конфигурации вместо этого.
отлаживать Эта опция больше не работает с GnuPG 2.1. Использовать дирмнгр
параметры конфигурации вместо этого.
чек-сертификат
Эта опция больше не работает с GnuPG 2.1. Использовать дирмнгр
параметры конфигурации вместо этого.
ca-cert-файл
Эта опция больше не работает с GnuPG 2.1. Использовать дирмнгр
параметры конфигурации вместо этого.
--полный-необходимый n
Количество полностью доверенных пользователей, которым будет назначен новый подписывающий (по умолчанию 1).
- маргиналы-необходимы n
Количество пользователей с ограниченным доверием, которые представят нового подписывающего лица (по умолчанию 3)
--tofu-default-policy авто | хорошее | неизвестно | плохое | спросить
Политика TOFU по умолчанию (по умолчанию автоматический). Для получения дополнительной информации о значении
об этой опции см .: [модель-доверия-тофу].
--tofu-дб-формат авто | сплит | квартира
Формат для БД TOFU.
Формат разделенного файла разделяет данные по множеству БД под тофу. d каталог
(по одному на адрес электронной почты и по одному на ключ). Это упрощает автоматическое
синхронизировать данные с помощью такого инструмента, как Unison
(https://www.cis.upenn.edu/~bcpierce/unison/), поскольку отдельные файлы меняются
редко.
В формате плоского файла все данные хранятся в одном файле. тофу.db. Этот формат
приводит к лучшей производительности.
Если установлено значение auto (по умолчанию), GnuPG сначала проверяет наличие
тофу. d и тофу.db. Если один из них существует, используется соответствующий формат. Если
ни один из них или оба не существуют, то GnuPG по умолчанию использует раскол формат. в
В последнем случае выдается предупреждение.
--max-cert-глубина n
Максимальная глубина цепочки сертификации (по умолчанию 5).
--no-sig-кэш
Не кэшировать статус проверки ключевых подписей. Кеширование дает много
лучшая производительность в ключевых списках. Однако, если вы подозреваете, что ваша публика
брелок не защищен от изменений записи, вы можете использовать эту опцию, чтобы отключить
кеширование. Вероятно, нет смысла отключать его, потому что всякие
ущерб может быть нанесен, если кто-то другой имеет доступ на запись к вашей связке открытых ключей.
--auto-check-trustdb
--no-auto-check-trustdb
Если GnuPG считает, что его информацию о Web of Trust необходимо обновить, он
автоматически запускает --check-trustdb командовать внутри. Это может быть время
потребляющий процесс. --no-auto-check-trustdb отключает эту опцию.
--use-агент
--не использовать-агент
Это фиктивный вариант. gpg2 всегда требует агента.
--gpg-агент-информация
Это фиктивный вариант. Не действует при использовании с gpg2.
--агент-программа файл
Укажите программу агента, которая будет использоваться для операций с секретным ключом. Значение по умолчанию
определяется бегом gpgconf с возможностью --список-каталогов. Обратите внимание, что труба
символ (|) используется для взлома набора регрессионных тестов и, следовательно, не может использоваться в
имя файла.
--dirmngr-программа файл
Укажите программу dirmngr, которая будет использоваться для доступа к серверу ключей. Значение по умолчанию -
"/ usr / bin / dirmngr'. Это используется только в качестве запасного варианта, когда переменная среды
ДИРМНГР_ИНФО не установлен или работающий dirmngr не может быть подключен.
--нет-автозапуск
Не запускайте gpg-agent или dirmngr, если он еще не запущен и его
требуется сервис. Эта опция в основном полезна на машинах, где соединение
to gpg-agent был перенаправлен на другие машины. Если dirmngr требуется на
удаленный компьютер, его можно запустить вручную, используя gpgconf --запуск дирмнгр.
--локировать-один раз
Заблокируйте базы данных при первом запросе блокировки и не снимайте блокировку
пока процесс не завершится.
--lock-множественный
Снимайте замки каждый раз, когда в замке больше нет необходимости. Используйте это, чтобы переопределить
предыдущий --локировать-один раз из файла конфигурации.
- блокировать-никогда
Полностью отключить блокировку. Эту опцию следует использовать только в очень специальных
среды, где можно быть уверенным, что только один процесс обращается к этим
файлы. Загрузочная дискета с автономной системой шифрования, вероятно, будет использовать
это. Неправильное использование этой опции может привести к повреждению данных и ключей.
--exit-on-статус-запись-ошибка
Эта опция вызовет ошибки записи в статусном FD, чтобы немедленно прекратить
процесс. На самом деле это должно быть по умолчанию, но так никогда не работало и, следовательно,
нам нужна опция, чтобы включить это, чтобы изменение не повлияло на приложения, которые
закрыть свой конец канала состояния fd connected слишком рано. Используя эту опцию вместе
- включить-прогресс-фильтр может использоваться для полной отмены длительной работы gpg
операций.
--limit-card-insert-try n
Доступно n больше 0 количество запросов на вставку смарт-карты получает
ограничивается N-1. Таким образом, при значении 1 gpg вообще не будет просить вставить карту, если
при запуске ничего не было вставлено. Эта опция полезна в файле конфигурации
в случае, если приложение не знает о поддержке смарт-карты и ждет объявления
infinitum для вставленной карты.
--no-random-seed-файл
GnuPG использует файл для хранения своего внутреннего случайного пула при вызовах. Это делает
рандомная генерация быстрее; однако иногда операции записи нежелательны. Этот
Опция может быть использована для достижения этого за счет более медленной генерации случайных чисел.
- нет приветствия
Подавить исходное сообщение об авторских правах.
--no-secmem-предупреждение
Подавить предупреждение об «использовании небезопасной памяти».
--нет-разрешения-предупреждение
Подавить предупреждение о небезопасном файле и домашнем каталоге (--homedir) разрешения.
Обратите внимание, что проверки разрешений, выполняемые GnuPG, не предназначены для
авторитетные, а они просто предупреждают о некоем общем разрешении
проблемы. Не думайте, что отсутствие предупреждения означает, что ваша система
обеспечить.
Обратите внимание, что предупреждение о небезопасных --homedir разрешения не могут быть подавлены в
gpg.conf, так как это позволит злоумышленнику разместить небезопасный файл gpg.conf в
place и использовать этот файл для подавления предупреждений о себе. В --homedir
предупреждение о разрешениях может быть подавлено только в командной строке.
--no-mdc-предупреждение
Подавить предупреждение об отсутствии защиты целостности MDC.
--require-secmem
--no-require-secmem
Отказаться от запуска, если GnuPG не может получить защищенную память. По умолчанию нет (т.е. запустить, но дать
предупреждение).
- требовать перекрестной сертификации
- не требует перекрестной сертификации
При проверке подписи, сделанной из подключей, убедитесь, что перекрестная сертификация
"обратная подпись" в подключе присутствует и действительна. Это защищает от
тонкая атака на подключи, которые могут подписывать. По умолчанию - требовать-крест-
сертификация для gpg2.
--эксперт
- не эксперт
Разрешить пользователю делать определенные бессмысленные или "глупые" вещи, например подписывать просроченный
или отозванный ключ, или некоторые потенциально несовместимые вещи, такие как создание необычных
ключевые типы. Это также отключает некоторые предупреждающие сообщения о потенциально
несовместимые действия. Как следует из названия, эта опция предназначена только для экспертов. если ты
не совсем понимаете последствия того, что он позволяет вам делать, оставьте это
выкл. - не эксперт отключает эту опцию.
Основные Связанный кредита
--получатель имя
-r Зашифровать для идентификатора пользователя имя. Если этот вариант или --hidden-получатель не указано,
GnuPG запрашивает идентификатор пользователя, если - получатель по умолчанию дано.
--hidden-получатель имя
-R Зашифровать для идентификатора пользователя имя, но скрыть идентификатор ключа этого ключа пользователя. Эта опция помогает
чтобы скрыть получателя сообщения и является ограниченным средством противодействия трафику
анализ. Если этот вариант или --получатель не указан, GnuPG запрашивает пользователя
ID, если - получатель по умолчанию дано.
--encrypt-to имя
Такой же как --получатель но этот предназначен для использования в файле опций и может быть
используется с вашим собственным идентификатором пользователя как «зашифровать для себя». Эти ключи используются только тогда, когда
есть и другие получатели, указанные либо с использованием --получатель или запрошенным пользователем
я бы. Для этих идентификаторов пользователей не выполняется проверка доверия, и даже отключенные ключи могут
использоваться.
--hidden-encrypt-to имя
Такой же как --hidden-получатель но этот предназначен для использования в файле опций и
может использоваться с вашим собственным идентификатором пользователя в качестве скрытого "encrypt-to-self". Эти ключи
используется только тогда, когда есть другие получатели, указанные либо с помощью --получатель или путем
запрашиваемый идентификатор пользователя. Для этих идентификаторов пользователей не выполняется проверка доверия и даже
отключенные ключи могут быть использованы.
--encrypt-to-default-key
Если секретный ключ по умолчанию взят из - ключ по умолчанию, затем также зашифровать к этому
.
--no-шифровать-к
Отключить использование всех --encrypt-to и --hidden-encrypt-to ключи.
--группа имя = значение1
Устанавливает именованную группу, которая похожа на псевдонимы в почтовых программах. В любое время
название группы - получатель (-r or --получатель), он будет расширен до значений
указано. Несколько групп с одинаковым именем автоматически объединяются в одну
одиночная группа.
Ценности ключ Идентификаторы или отпечатки пальцев, но допускается любое ключевое описание. Примечание
что значение с пробелами будет рассматриваться как два разных значения. Обратите внимание также
есть только один уровень расширения --- вы не можете создать группу, которая указывает на
другая группа. При использовании из командной строки может потребоваться заключить в кавычки
аргумент этой опции, чтобы оболочка не воспринимала его как несколько
аргументы.
--унгруппа имя
Удалить данную запись из --группа .
--нет групп
Удалите все записи из --группа .
--local-пользователь имя
-u Используйте имя как ключ для подписи. Обратите внимание, что этот параметр имеет приоритет над - ключ по умолчанию.
- попытка секретного ключа имя
Для скрытых получателей GPG необходимо знать ключи, которые будут использоваться для пробной расшифровки. В
набор ключей с - ключ по умолчанию всегда проверяется первым, но этого часто бывает недостаточно.
Эта опция позволяет установить больше ключей, которые будут использоваться для пробной расшифровки. Хотя любой
допустимая спецификация идентификатора пользователя может использоваться для имя имеет смысл использовать хотя бы
длинный ключ, чтобы избежать двусмысленности. Обратите внимание, что gpg-agent может вывести на экран пин-запись для
много ключей для пробной расшифровки. Если вы хотите прекратить все дальнейшие испытания
расшифровки вы можете использовать кнопку закрытия окна вместо кнопки отмены.
- все секреты
Не смотрите на идентификатор ключа, хранящийся в сообщении, а попробуйте все секретные ключи по очереди.
чтобы найти правильный ключ дешифрования. Эта опция заставляет поведение, используемое
анонимные получатели (созданные с помощью --throw-keyids or --hidden-получатель) и расширение
может пригодиться в случае, если зашифрованное сообщение содержит фиктивный идентификатор ключа.
- пропустить скрытые получатели
--no-skip-скрытые-получатели
При расшифровке пропускаем всех анонимных получателей. Этот вариант помогает в том случае, если
что люди используют функцию скрытых получателей, чтобы скрыть собственный ключ шифрования от
другие. Если у вас есть много секретных ключей, это может вызвать серьезное раздражение, потому что
все ключи по очереди пытаются расшифровать то, что на самом деле не предназначалось для
Это. Недостатком этого варианта является то, что в настоящее время невозможно расшифровать
сообщение, которое включает реальных анонимных получателей.
вход и Результат
- броня
-a Создайте бронированный вывод ASCII. По умолчанию создается двоичный формат OpenPGP.
- без брони
Предположим, что входные данные не в армированном формате ASCII.
--выход файл
-o файл
Записать вывод в файл.
--max-выход n
Эта опция устанавливает ограничение на количество байтов, которые будут сгенерированы при
обработка файла. Поскольку OpenPGP поддерживает различные уровни сжатия, он
возможно, что открытый текст данного сообщения может быть значительно больше, чем
исходное сообщение OpenPGP. Хотя GnuPG правильно работает с такими сообщениями, есть
часто возникает желание установить максимальный размер файла, который будет сгенерирован перед обработкой
вынужден остановиться из-за ограничений ОС. По умолчанию 0, что означает «без ограничений».
--import-параметры параметры
Это строка, разделенная пробелами или запятыми, которая дает параметры для импорта ключей.
Опции могут быть добавлены с «no-» для придания противоположного значения. Варианты
составляют:
импорт-локальные-сигналы
Разрешить импорт подписей ключей, помеченных как «локальные». Это обычно не так
полезно, если не используется общая схема связки ключей. По умолчанию нет.
доверие собственнику
Обычно возможные все еще существующие значения доверия владельцу очищаются, если
ключ импортирован. Обычно это желательно, чтобы ранее удаленный
key не получает автоматически доверительные значения владельца только из-за импорта.
С другой стороны, иногда необходимо повторно импортировать доверенный набор
ключи снова, но сохраняя уже присвоенные значения доверия владельцу. Это может быть
достигается с помощью этой опции.
ремонт-ПК-подключ-ошибка
Во время импорта попытайтесь устранить повреждения, вызванные ошибкой сервера ключей PKS.
(до версии 0.9.6), которая манипулирует ключами с несколькими подключами. Обратите внимание, что это
не может полностью восстановить поврежденный ключ, так как некоторые важные данные удаляются
сервер ключей, но он, по крайней мере, возвращает вам один подключ. По умолчанию нет
для обычного --Импортировать и да для сервера ключей --recv-ключи.
только слияние
Во время импорта разрешите обновление ключей для существующих ключей, но не разрешайте новые
ключи для импорта. По умолчанию нет.
импортно-чистый
После импорта сжать (удалить все подписи, кроме самоподписи) любые
идентификаторы пользователей из нового ключа, которые нельзя использовать. Затем удалите все подписи
из нового ключа, которые нельзя использовать. Сюда входят подписи, которые были
выдается ключами, которых нет на связке ключей. Этот вариант такой же
как управляющий --edit-ключ команда "очистить" после импорта. По умолчанию нет.
минимальный импорт
Импортируйте наименьший возможный ключ. Это удаляет все подписи, кроме
Самая последняя самоподпись для каждого идентификатора пользователя. Этот вариант аналогичен
работает --edit-ключ команда "свернуть" после импорта. По умолчанию нет.
--экспорт-параметры параметры
Это строка, разделенная пробелами или запятыми, которая дает параметры для экспорта ключей.
Опции могут быть добавлены с «no-» для придания противоположного значения. Варианты
составляют:
экспорт-местные-подписи
Разрешить экспорт подписей ключей, помеченных как «локальные». Это обычно не так
полезно, если не используется общая схема связки ключей. По умолчанию нет.
экспортные атрибуты
Включите атрибутные идентификаторы пользователей (идентификаторы фотографий) при экспорте. Это полезно для
ключи экспорта, если они будут использоваться программой OpenPGP, которая не
принимать идентификаторы пользователей атрибутов. По умолчанию да.
revkeys, чувствительные к экспорту
Включите указанную информацию об аннулировании, помеченную как "конфиденциальная".
По умолчанию нет.
экспортно-чистый
Сжать (удалить все подписи) идентификаторы пользователей на экспортируемом ключе, если
идентификаторы пользователей не используются. Кроме того, не экспортируйте подписи, которые не
годный к употреблению. Это включает подписи, которые были выпущены ключами, которые не
присутствует на брелоке. Этот вариант аналогичен запуску --edit-ключ
команда "очистить" перед экспортом, за исключением того, что локальная копия ключа не
изменен. По умолчанию нет.
экспорт-минимальный
Экспортируйте наименьший возможный ключ. Это удаляет все подписи, кроме
Самая последняя самоподпись для каждого идентификатора пользователя. Этот вариант аналогичен
работает --edit-ключ команду "свернуть" перед экспортом, за исключением того, что
локальная копия ключа не модифицируется. По умолчанию нет.
--с двоеточием
Распечатайте ключевые списки, разделенные двоеточиями. Обратите внимание, что вывод будет закодирован в
UTF-8 независимо от любого --display-кодировка параметр. Этот формат полезен, когда GnuPG
вызывается из скриптов и других программ, так как он легко анализируется машиной. В
подробности этого формата задокументированы в файле 'doc / ДЕТАЛИ', который включен
в исходном дистрибутиве GnuPG.
--print-pka-записи
Измените вывод команд списка для печати записей PKA, подходящих для размещения в
Файлы зоны DNS. Строка ORIGIN печатается перед каждой записью, чтобы разрешить переадресацию
записи в соответствующий файл зоны.
--print-датчанин-записи
Измените вывод команд списка для печати записей OpenPGP DANE, подходящих для
поместить в файлы зоны DNS. Строка ORIGIN печатается перед каждой записью, чтобы разрешить
переадресация записей в соответствующий файл зоны.
--фиксированный-список-режим
Не объединяйте первичный идентификатор пользователя и первичный ключ в --с двоеточием режим листинга и печать
все временные метки в секундах с 1970. Начиная с GnuPG 01, этот режим
всегда используется, поэтому эта опция устарела; хотя использовать это не вредит.
- legacy-list-mode
Вернитесь в режим списка открытых ключей до версии 2.1. Это влияет только на удобочитаемость
вывод, а не машинный интерфейс (т.е. --с двоеточием). Обратите внимание, что наследие
формат не позволяет передать подходящую информацию для эллиптических кривых.
--с отпечатком пальца
То же, что и команда - отпечаток пальца но изменяет только формат вывода и может
использоваться вместе с другой командой.
--with-icao-написанием
Напечатайте написание ИКАО отпечатка пальца в дополнение к шестнадцатеричным цифрам.
--с ключом
Включите ручку для ключей в списки ключей.
--with-секрет
Включите информацию о наличии секретного ключа в списки открытых ключей, выполненные с
--с двоеточием.
OpenPGP протокол конкретный настройки.
-т, --textmode
--нет-текстовый режим
Рассматривайте входные файлы как текст и сохраняйте их в канонической текстовой форме OpenPGP с помощью
стандартные окончания строк "CRLF". Это также устанавливает необходимые флаги для информирования
получатель, что зашифрованные или подписанные данные являются текстовыми и могут нуждаться в окончании строк
преобразован обратно во все, что использует локальная система. Эта опция полезна, когда
связь между двумя платформами, которые имеют разные соглашения о завершении строк
(UNIX-подобные для Mac, Mac для Windows и т. Д.). --нет-текстовый режим отключает эту опцию и является
по умолчанию.
--force-v3-сигс
--no-force-v3-sigs
--force-v4-сертификаты
--no-force-v4-сертификаты
Эти параметры устарели и не действуют с GnuPG 2.1.
--force-MDC
Принудительное использование шифрования с помощью кода обнаружения модификации. Это всегда используется
с новыми шифрами (с размером блока более 64 бит) или если все
ключи получателя указывают на поддержку MDC в своих флагах функций.
--отключить-MDC
Отключите использование кода обнаружения модификации. Обратите внимание, что, используя эту опцию,
зашифрованное сообщение становится уязвимым для атаки с изменением сообщения.
--персональные-шифр-предпочтения string
Установите для списка личных предпочтений шифров значение string. Используйте gpg2 --версия чтобы получить
список доступных алгоритмов и использование никто чтобы вообще не устанавливать никаких предпочтений. Этот
позволяет пользователю безопасно переопределить алгоритм, выбранный ключом получателя
предпочтения, так как GPG выберет только алгоритм, который будет использоваться всеми получателями.
Шифр с самым высоким рейтингом в этом списке также используется для --симметричный
команда шифрования.
--персональные-дайджест-предпочтения string
Установите для списка предпочтений личного дайджеста значение string. Используйте gpg2 --версия чтобы получить
список доступных алгоритмов и использование никто чтобы вообще не устанавливать никаких предпочтений. Этот
позволяет пользователю безопасно переопределить алгоритм, выбранный ключом получателя
предпочтения, так как GPG выберет только алгоритм, который будет использоваться всеми получателями.
Алгоритм дайджеста с самым высоким рейтингом в этом списке также используется при подписании
без шифрования (например, --clearsign or --подписать).
--персональные-компрессионные-предпочтения string
Установите для списка личных предпочтений сжатия значение string. Используйте gpg2 --версия в
получить список доступных алгоритмов и использовать никто чтобы вообще не устанавливать никаких предпочтений. Этот
позволяет пользователю безопасно переопределить алгоритм, выбранный ключом получателя
предпочтения, так как GPG выберет только алгоритм, который будет использоваться всеми получателями.
Алгоритм сжатия с самым высоким рейтингом в этом списке также используется, когда
не являются ключами получателя, которые следует учитывать (например, --симметричный).
--s2k-шифр-алгоритм имя
Используйте имя как алгоритм шифрования для симметричного шифрования с парольной фразой, если
--персональные-шифр-предпочтения и --cipher-алго не даны. По умолчанию
АЕС-128.
--s2k-дайджест-алгоритм имя
Используйте имя как дайджест-алгоритм, используемый для искажения парольных фраз для симметричных
шифрование. По умолчанию - SHA-1.
--s2k-режим n
Выбирает способ изменения парольных фраз для симметричного шифрования. Если n 0 равнина
будет использоваться кодовая фраза (которая, как правило, не рекомендуется), 1 добавляет соль
(который не следует использовать) к парольной фразе, а 3 (по умолчанию) повторяет
весь процесс несколько раз (см. --s2k-количество).
--s2k-количество n
Укажите, сколько раз парольные фразы искажаются для симметричного шифрования.
повторяется. Это значение может находиться в диапазоне от 1024 до 65011712 включительно. По умолчанию
запрашивается у gpg-agent. Обратите внимание, что не все значения в диапазоне 1024-65011712
допустимы, и если выбрано недопустимое значение, GnuPG округлит до ближайшего
юридическое значение. Эта опция имеет смысл, только если --s2k-режим установлен по умолчанию
3.
Комплаенс кредита
Эти параметры определяют соответствие GnuPG. Может быть активен только один из этих вариантов.
вовремя. Обратите внимание, что настройка по умолчанию почти всегда правильная. Увидеть
ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ПРОГРАММАМИ OPENPGP раздел ниже перед использованием одной из этих
настройки.
--gnupg
Используйте стандартное поведение GnuPG. По сути, это поведение OpenPGP (см. --openpgp),
но с некоторыми дополнительными обходными путями для общих проблем совместимости в разных
версии PGP. Это вариант по умолчанию, поэтому обычно он не нужен, но он
может быть полезно переопределить другой параметр соответствия в файле gpg.conf.
--openpgp
Сбросьте все параметры пакетов, шифров и дайджеста на строгое поведение OpenPGP. Использовать это
возможность сбросить все предыдущие параметры, например --s2k- *, --cipher-алго, --дайджест-алго и
--compress-алго к значениям, совместимым с OpenPGP. Все обходные пути PGP отключены.
--rfc4880
Сбросьте все параметры пакета, шифрования и дайджеста до строгого режима RFC-4880. Обратите внимание, что
в настоящее время это то же самое, что и --openpgp.
--rfc2440
Сбросьте все параметры пакетов, шифров и дайджеста в соответствии со строгим поведением RFC-2440.
--pgp6 Настройте все параметры так, чтобы они были максимально совместимы с PGP 6. Это ограничивает вас
шифры IDEA (если установлен плагин IDEA), 3DES и CAST5, хеши MD5,
SHA1 и RIPEMD160, а также алгоритмы сжатия none и ZIP. Это также отключает
--throw-keyids, и создание подписей с помощью подключей подписи, поскольку PGP 6 не поддерживает
понимать подписи, сделанные путем подписания подключей.
Этот вариант подразумевает --отключить-MDC --escape-из-строк.
--pgp7 Настройте все параметры так, чтобы они были максимально совместимы с PGP 7. Это идентично
--pgp6 за исключением того, что MDC не отключены, а список допустимых шифров
расширен, чтобы добавить AES128, AES192, AES256 и TWOFISH.
--pgp8 Настройте все параметры так, чтобы они были максимально совместимы с PGP 8. PGP 8 намного ближе к
стандарт OpenPGP, чем предыдущие версии PGP, поэтому все это отключает
--throw-keyids и установить --escape-из-строк. Разрешены все алгоритмы, кроме
дайджесты SHA224, SHA384 и SHA512.
дела вещи one обычно не хотеть в делать.
-n
--прогон, репетиция
Не вносите никаких изменений (это реализовано не полностью).
- только список
Изменяет поведение некоторых команд. Это похоже на --прогон, репетиция но разные в
некоторые случаи. Семантика этой команды может быть расширена в будущем. В настоящее время
он пропускает только фактический проход дешифрования и, следовательно, позволяет быстро перечислить
ключи шифрования.
-i
- интерактивный
Подскажите, прежде чем перезаписывать какие-либо файлы.
- уровень отладки уровень
Выберите уровень отладки для исследования проблем. уровень может быть числовым значением или
по ключевому слову:
никто Никакой отладки. Вместо
ключевое слово.
основной Некоторые основные отладочные сообщения. Вместо
ключевое слово.
продвинутый
Более подробные отладочные сообщения. Вместо
ключевое слово.
эксперту Еще более подробные сообщения. Вместо
ключевое слово.
гуру Все сообщения отладки, которые вы можете получить. Можно использовать значение больше 8
вместо ключевого слова. Разрешено только создание файлов трассировки хэшей.
если используется ключевое слово.
Как эти сообщения сопоставляются с фактическими флагами отладки, не указано и может
измените с более новыми выпусками этой программы. Однако они тщательно отбираются, чтобы
помощь в отладке.
--отлаживать Флаги
Установите флаги отладки. Все флаги имеют or-ed и Флаги может быть дан в синтаксисе C (например,
0x0042) или в виде списка имен флагов, разделенных запятыми. Чтобы получить список всех поддерживаемых
flags можно использовать одно слово "help".
--debug-все
Установите все полезные отладочные флаги.
--debug-iolbf
Установите stdout в режим строчной буферизации. Этот вариант применяется только в том случае, если он указан на
командная строка.
--faked-системное время эпоха
Эта опция полезна только для тестирования; он устанавливает системное время назад или вперед на
эпоха что представляет собой количество секунд, прошедших с 1970 года. В качестве альтернативы
эпоха может быть задан как полная строка времени ISO (например, «20070924T154812»).
- включить-прогресс-фильтр
Включите определенные выходы статуса PROGRESS. Эта опция позволяет интерфейсам отображать
индикатор выполнения, пока gpg обрабатывает файлы большего размера. Есть небольшое
накладные расходы на производительность при его использовании.
--status-fd n
Записать специальные строки состояния в файловый дескриптор n. См. Файл ПОДРОБНОСТИ в
документация для их перечисления.
--статус-файл файл
Такой же как --status-fd, за исключением того, что данные о состоянии записываются в файл файл.
--logger-fd n
Записать вывод журнала в файловый дескриптор n а не в STDERR.
--лог-файл файл
--logger-файл файл
Такой же как --logger-fd, за исключением того, что данные регистратора записываются в файл файл, Обратите внимание, что
--лог-файл реализован только для GnuPG-2.
--атрибут-fd n
Записать подпакеты атрибутов в файловый дескриптор n. Это наиболее полезно для использования
--status-fd, поскольку сообщения о состоянии необходимы для разделения различных
подпакеты из потока, доставленные файловому дескриптору.
--attribute-файл файл
Такой же как --атрибут-fd, за исключением того, что данные атрибутов записываются в файл файл.
--комментарий string
--без комментариев
Используйте string в виде строки комментария в текстовых подписях и защищенных сообщениях ASCII
или ключи (см. - броня). По умолчанию строка комментария не используется.
--комментарий может повторяться несколько раз, чтобы получить несколько строк комментария. --нет-
Комментарии удаляет все комментарии. Рекомендуется сохранять длину одного
комментарий ниже 60 символов, чтобы избежать проблем с переносом в почтовые программы таких
линий. Обратите внимание, что строки комментариев, как и все другие строки заголовков, не защищены
подпись.
--emit-версия
--no-эмит-версия
Принудительное включение строки версии в защищенный вывод ASCII. Если дать только один раз
выдается имя программы и старший номер (по умолчанию), удваиваемый
также испускается минор, при тройном добавлении микро, а при четверном - действующем
также выводится системная идентификация. --no-эмит-версия отключает версию
линии.
- подпись имя = значение
--cert-нотация имя = значение
-Н, --set-нотация имя = значение
Поместите пару имя-значение в подпись как данные нотации. имя должен состоять
только печатаемых символов или пробелов и должен содержать символ '@' в
форма [электронная почта защищена] (подставив соответствующее имя ключа и домен
имя, конечно). Это сделано для предотвращения загрязнения зарезервированной нотации IETF.
пространство имен. В --эксперт флаг отменяет проверку '@'. ценностное может быть любой печатной
нить; он будет закодирован в UTF8, поэтому вы должны проверить, что ваш --display-кодировка
установлен правильно. Если поставить префикс имя с восклицательным знаком (!), обозначение
данные будут помечены как критические (rfc4880: 5.2.3.16). - подпись устанавливает обозначение
для подписей данных. --cert-нотация устанавливает обозначение для ключевых подписей
(сертификаты). --set-нотация устанавливает оба.
Существуют специальные коды, которые можно использовать в обозначениях имен. "% k" будет расширен
в идентификатор ключа подписываемого ключа, "% K" в длинный идентификатор ключа
подписано, «% f» - в отпечаток подписываемого ключа, «% s» - в идентификатор ключа
ключ, составляющий подпись, "% S" в длинный идентификатор ключа ключа, создающего
подпись, "% g" в отпечаток ключа, составляющего подпись (что может
быть подключом), "% p" в отпечаток первичного ключа ключа, создающего
подпись, "% c" в счетчик подписей со смарт-карты OpenPGP и "%%"
приводит к одному "%". % k,% K и% f имеют значение только при создании ключа
подпись (сертификация), а% c имеет смысл только при использовании OpenPGP
интеллектуальная карточка.
--sig-политика-url string
--cert-policy-url string
--set-policy-url string
Используйте string как URL политики для подписей (rfc4880: 5.2.3.20). Если вы поставите префикс
с восклицательным знаком (!) пакет URL политики будет помечен как критический.
--sig-политика-url устанавливает URL-адрес политики для подписей данных. --cert-policy-url устанавливает
URL политики для ключевых подписей (сертификатов). --set-policy-url устанавливает оба.
Те же% -expandos, используемые для данных нотации, также доступны здесь.
--sig-keyserver-url string
Используйте string в качестве предпочтительного URL-адреса сервера ключей для подписей данных. Если вы поставите перед ним префикс
восклицательный знак (!), URL-пакет сервера ключей будет помечен как критический.
Те же% -expandos, используемые для данных нотации, также доступны здесь.
--set-имя-файла string
Используйте string как имя файла, которое хранится внутри сообщений. Это отменяет
по умолчанию, который должен использовать фактическое имя файла зашифрованного файла. С использованием
пустая строка для string эффективно удаляет имя файла из вывода.
--только для твоих глаз
- только для ваших глаз
Установите в сообщении флаг "только для ваших глаз". Это заставляет GnuPG отказываться
сохраните файл, если --выход дается опция, и PGP использует "безопасную программу просмотра"
с заявленным Tempest-устойчивым шрифтом для отображения сообщения. Эта опция отменяет
--set-имя-файла. - только для ваших глаз отключает эту опцию.
--use-embedded-имя-файла
--no-use-embedded-filename
Попробуйте создать файл с именем, встроенным в данные. Это может быть опасно
вариант, так как он позволяет перезаписывать файлы. По умолчанию нет.
--cipher-алго имя
Используйте имя как алгоритм шифрования. Запуск программы с командой --версия доходность
список поддерживаемых алгоритмов. Если это не используется, алгоритм шифрования
выбирается из предпочтений, сохраненных с помощью ключа. В общем, вы не хотите
используйте эту опцию, поскольку она позволяет нарушить стандарт OpenPGP. --личный-
шифровальные предпочтения это безопасный способ сделать то же самое.
--дайджест-алго имя
Используйте имя как алгоритм дайджеста сообщения. Запуск программы с командой
--версия дает список поддерживаемых алгоритмов. В общем, вы не хотите использовать
этот вариант, поскольку он позволяет нарушить стандарт OpenPGP. --персональный-дайджест-
предпочтения это безопасный способ сделать то же самое.
--compress-алго имя
Использовать алгоритм сжатия имя. «zlib» - это сжатие ZLIB RFC-1950. "zip" - это
RFC-1951 сжатие ZIP, которое используется PGP. "bzip2" - более современный
схема сжатия, которая может сжимать некоторые вещи лучше, чем zip или zlib, но при
стоимость большего объема памяти, используемого во время сжатия и распаковки. "несжатый"
или "none" отключает сжатие. Если этот параметр не используется, поведение по умолчанию -
чтобы изучить настройки ключа получателя, чтобы увидеть, какие алгоритмы получатель
поддерживает. Если ничего не помогает, для максимальной совместимости используется ZIP.
ZLIB может дать лучшие результаты сжатия, чем ZIP, так как размер окна сжатия
не ограничивается 8к. BZIP2 может дать даже лучшие результаты сжатия, чем этот, но
будет использовать значительно больший объем памяти при сжатии и
декомпрессия. Это может быть значительным при нехватке памяти. Обратите внимание, однако,
что PGP (все версии) поддерживает только сжатие ZIP. Используя любой алгоритм, другой
чем ZIP или "none" сделает сообщение нечитаемым с помощью PGP. В общем, вы делаете
не хочу использовать эту опцию, поскольку она позволяет вам нарушать стандарт OpenPGP.
--персональные-компрессионные-предпочтения это безопасный способ сделать то же самое.
--cert-дайджест-алго имя
Используйте имя как алгоритм дайджеста сообщения, используемый при подписании ключа. Запуск
программа с командой --версия дает список поддерживаемых алгоритмов. Быть в курсе
что если вы выберете алгоритм, который поддерживает GnuPG, но другой OpenPGP
реализации нет, то некоторые пользователи не смогут использовать ключевые подписи
вы делаете, или, возможно, весь ваш ключ.
--отключить-шифр-алго имя
Никогда не позволяйте использовать имя как алгоритм шифрования. Имя не будет
проверено, чтобы алгоритм, загруженный позже, по-прежнему отключался.
--disable-pubkey-алго имя
Никогда не позволяйте использовать имя как алгоритм открытого ключа. Имя не будет
проверено, чтобы алгоритм, загруженный позже, по-прежнему отключался.
--throw-keyids
--no-throw-keyids
Не помещайте идентификаторы ключа получателя в зашифрованные сообщения. Это помогает скрыть
получателей сообщения и является ограниченным средством противодействия анализу трафика.
([Используя небольшую социальную инженерию, любой, кто сможет расшифровать сообщение, может
проверьте, не является ли один из других получателей тем, кого он подозревает.])
принимающей стороны, это может замедлить процесс дешифрования, потому что все доступные
секретные ключи должны быть испробованы. --no-throw-keyids отключает эту опцию. Этот вариант
по сути то же самое, что и использование --hidden-получатель для всех получателей.
- not-dash-escapeed
Эта опция изменяет поведение текстовых подписей, чтобы их можно было использовать
для файлов патчей. Вы не должны отправлять такой бронированный файл по электронной почте, потому что все
пробелы и окончания строк также хешируются. Вы не можете использовать эту опцию для данных, которые
имеет 5 тире в начале строки, в файлах исправлений этого нет. Специальный
Строка заголовка armor сообщает GnuPG об этой опции подписи открытым текстом.
--escape-из-строк
--no-escape-from-lines
Поскольку некоторые почтовые программы меняют строки, начинающиеся с "From" на "> From", рекомендуется
обрабатывать такие строки особым образом при создании текстовых подписей, чтобы предотвратить
почтовая система от взлома подписи. Обратите внимание, что все другие версии PGP это делают.
так тоже. Включено по умолчанию. --no-escape-from-lines отключает эту опцию.
--пароль-повторить n
Укажите, сколько раз gpg2 запросит повторение новой кодовой фразы. Это
полезно для запоминания ключевой фразы. По умолчанию 1 повтор.
--passphrase-fd n
Прочитать кодовую фразу из файлового дескриптора n. Будет прочитана только первая строка
дескриптор файла n. Если вы используете 0 для n, кодовая фраза будет прочитана из STDIN. Этот
может использоваться только в том случае, если указана только одна кодовая фраза.
Обратите внимание, что эта кодовая фраза используется только в том случае, если опция --партия также был дан.
Это отличается от GnuPG версии 1.x.
--passphrase-файл файл
Прочитать кодовую фразу из файла файл. Из файла будет прочитана только первая строка
файл. Это можно использовать только в том случае, если указана только одна кодовая фраза. Очевидно, что
пароль, хранящийся в файле, имеет сомнительную безопасность, если другие пользователи могут читать
этот файл. Не используйте эту опцию, если можете ее избежать. Обратите внимание, что эта кодовая фраза
используется только если опция --партия также был дан. Это отличается от GnuPG
версия 1.x.
--парольная фраза string
Используйте string как кодовую фразу. Это можно использовать только в том случае, если задана только одна кодовая фраза.
поставляется. Очевидно, что это очень сомнительная безопасность в многопользовательской системе.
Не используйте эту опцию, если можете ее избежать. Обратите внимание, что эта кодовая фраза используется только
если вариант --партия также был дан. Это отличается от версии GnuPG
1.x.
--pinentry-режим Режим
Установите режим pinentry на Режим. Допустимые значения для Режим составляют:
по умолчанию
Используйте агент по умолчанию: спросить.
спросить Принудительное использование Pinentry.
отменить Имитируйте использование кнопки отмены Pinentry.
ошибка Вернуть ошибку Pinentry (`` Нет Pinentry '').
петлевой
Перенаправляйте запросы Pinentry вызывающему абоненту. Обратите внимание, что в отличие от Pinentry
пользователю больше не предлагается, если он вводит неверный пароль.
--command-fd n
Это замена устаревшего режима IPC с общей памятью. Если эта опция
включен, пользовательский ввод вопросов не ожидается от TTY, но от данного
дескриптор файла. Его следует использовать вместе с --status-fd. Посмотреть файл
doc / DETAILS в исходном дистрибутиве для получения подробной информации о том, как его использовать.
--команда-файл файл
Такой же как --command-fd, за исключением того, что команды читаются из файла файл
--allow-non-selfsigned-uid
--no-allow-несамозаверяющий-uid
Разрешить импорт и использование ключей с несамоподписанными идентификаторами пользователей. Это
не рекомендуется, поскольку несамоподписанный идентификатор пользователя подделать несложно. --no-разрешить-не-
самозаверяющий идентификатор отключает.
--allow-freeform-uid
Отключите все проверки формы идентификатора пользователя при создании нового. Этот
параметр следует использовать только в очень особых условиях, поскольку он не гарантирует
де-факто стандартный формат идентификаторов пользователей.
- игнорировать конфликт времени
GnuPG обычно проверяет, что метки времени, связанные с ключами и подписями, имеют
правдоподобные значения. Однако иногда кажется, что подпись старше, чем требуемый ключ.
часы проблемы. Эта опция делает эти проверки просто предупреждением. Смотрите также
--игнорировать-действительно-от для проблем с отметками времени в подключах.
--игнорировать-действительно-от
GnuPG обычно не выбирает и не использует подключи, созданные в будущем. Этот вариант
позволяет использовать такие ключи и, таким образом, демонстрирует поведение до версии 1.0.7. Вам следует
не используйте эту опцию, если нет проблем с часами. Смотрите также - игнорировать время-
конфликт для проблем с отметками времени в подписях.
--ignore-crc-ошибка
Броня ASCII, используемая OpenPGP, защищена контрольной суммой CRC от передачи.
ошибки. Иногда CRC искажается где-нибудь на канале передачи, но
фактический контент (который в любом случае защищен протоколом OpenPGP) по-прежнему
Ладно. Эта опция позволяет GnuPG игнорировать ошибки CRC.
--игнорировать-mdc-ошибка
Эта опция превращает сбой защиты целостности MDC в предупреждение. Это может быть
полезно, если сообщение частично повреждено, но необходимо получить как можно больше данных
насколько возможно из коррумпированного сообщения. Однако имейте в виду, что защита MDC
сбой также может означать, что сообщение было намеренно подделано
взломщик.
--allow-weak-digest-algos
Подписи, сделанные с помощью алгоритмов заведомо слабого дайджеста, обычно отклоняются с
сообщение `` неверный алгоритм дайджеста ''. Эта опция позволяет проверить
подписи, сделанные с помощью таких слабых алгоритмов. MD5 - единственный алгоритм дайджеста
по умолчанию считается слабым. Смотрите также --слабый дайджест отвергнуть другой дайджест
алгоритмы.
--слабый дайджест имя
Считайте указанный алгоритм дайджеста слабым. Подписи сделаны поверх слабых дайджестов
алгоритмы обычно отвергаются. Эта опция может быть предоставлена несколько раз, если
несколько алгоритмов следует считать слабыми. Смотрите также --allow-weak-digest-algos
отключить отказ от слабых дайджестов. MD5 всегда считается слабым и не
должны быть указаны явно.
--no-default-keyring
Не добавляйте связки ключей по умолчанию в список связок ключей. Учтите, что GnuPG не
работать без каких-либо связок ключей, поэтому, если вы используете эту опцию и не предоставляете
альтернативные брелки через --брелок для ключей or - секретный брелок, то GnuPG по-прежнему будет использовать
открытые или секретные связки ключей по умолчанию.
- пропустить-проверить
Пропустите этап проверки подписи. Это может быть использовано для расшифровки
быстрее, если проверка подписи не нужна.
--с-ключевыми данными
Печатать ключевые списки, разделенные двоеточиями (например, --с двоеточием) и распечатать паблик
ключевые данные.
--быстрый-список-режим
Изменяет вывод команд списка для более быстрой работы; это достигается оставлением
некоторые части пустые. Некоторым приложениям не нужен идентификатор пользователя и доверие
информация приведена в списках. Используя эту опцию, они могут получить более быстрый
листинг. Точное поведение этой опции может измениться в будущих версиях. если ты
отсутствует некоторая информация, не используйте эту опцию.
- не буквальный
Это не для нормального использования. Используйте исходный код, чтобы узнать, чем он может быть полезен.
--set-размер файла
Это не для нормального использования. Используйте исходный код, чтобы узнать, чем он может быть полезен.
--show-сеанс-ключ
Отобразите сеансовый ключ, используемый для одного сообщения. Видеть --override-сессионный ключ для
аналог этого варианта.
Мы считаем, что условное депонирование ключей - это плохо; однако у пользователя должна быть свобода
решить, сесть ли в тюрьму или раскрыть содержание одного конкретного сообщения
без ущерба для всех сообщений, когда-либо зашифрованных одним секретным ключом.
Вы также можете использовать эту опцию, если получили зашифрованное сообщение оскорбительного характера.
или оскорбительного, чтобы доказать администраторам системы обмена сообщениями, что
переданный зашифрованный текст соответствует неподходящему открытому тексту, поэтому они могут принять
действие против нарушившего пользователя.
--override-сессионный ключ string
Не используйте открытый ключ, а ключ сеанса string. Формат этой строки:
такой же, как напечатанный --show-сеанс-ключ. Эта опция обычно не используется
но пригодится, если кто-то заставит вас раскрыть содержимое зашифрованного
сообщение; используя эту опцию, вы можете сделать это, не передавая секретный ключ.
--ask-sig-истек срок действия
--no-ask-sig-expire
При создании подписи данных запрашивайте срок действия. Если этого варианта нет
указано, время истечения устанавливается через --default-sig-expire используется. --нет-спросить-сигн-
истекать отключает эту опцию.
--default-sig-expire
Время истечения срока действия по умолчанию, используемое для истечения срока действия подписи. Допустимые значения: «0».
для бессрочного, число, за которым следует буква d (дни), w (недели), m
(для месяцев) или y (для лет) (например, "2m" для двух месяцев или "5y" для пяти
лет) или абсолютную дату в формате ГГГГ-ММ-ДД. По умолчанию «0».
--ask-cert-expire
--no-ask-cert-expire
При подписании ключа запрашивайте срок действия. Если этого варианта нет
указано, время истечения устанавливается через --default-cert-expire используется. --нет-спросить-
срок действия сертификата отключает эту опцию.
--default-cert-expire
Срок действия по умолчанию, используемый для истечения срока действия подписи ключа. Допустимые значения:
«0» означает отсутствие истечения срока, число, за которым следует буква d (для дней), w (для недель),
m (для месяцев) или y (для лет) (например, "2m" для двух месяцев или "5y" для пяти
лет) или абсолютную дату в формате ГГГГ-ММ-ДД. По умолчанию «0».
--allow-секрет-ключ-импорт
Это устаревший вариант и нигде не используется.
--allow-несколько сообщений
--no-разрешить несколько сообщений
Разрешить обработку нескольких сообщений OpenPGP, содержащихся в одном файле или потоке.
Некоторые программы, вызывающие GPG, не готовы работать с множественными сообщениями.
обрабатываются вместе, поэтому по умолчанию для этого параметра установлено значение no. Обратите внимание, что предыдущие версии GPG
до 1.4.7 всегда разрешалось несколько сообщений.
Предупреждение: не используйте эту опцию, если она вам не нужна как временное решение!
--enable-специальные-имена файлов
Эта опция включает режим, в котором имена файлов в форме '- & n', где n - не-
отрицательное десятичное число, обращайтесь к файловому дескриптору n, а не к файлу с этим
имя.
--но-дорогие-доверительные-чеки
Только экспериментальное использование.
--preserve-разрешения
Не изменяйте права доступа секретного брелока обратно к пользователю только для чтения и записи. Использовать
этот вариант только в том случае, если вы действительно знаете, что делаете.
- список предпочтений по умолчанию string
Установите для списка предпочтений по умолчанию значение string. Этот список предпочтений используется для новых
клавиш и становится значением по умолчанию для "setpref" в меню редактирования.
--default-keyserver-url имя
Установите URL-адрес сервера ключей по умолчанию на имя. Этот сервер ключей будет использоваться как сервер ключей
URL-адрес при написании новой самоподписи на ключе, который включает генерацию ключа и
изменение предпочтений.
--список-конфигурации
Отображение различных параметров внутренней конфигурации GnuPG. Этот вариант предназначен
для внешних программ, которые вызывают GnuPG для выполнения задач, и поэтому обычно не
полезный. См. Файл 'doc / ДЕТАЛИ'в исходном коде для получения подробной информации о
какие элементы конфигурации могут быть перечислены. --список-конфигурации можно использовать только с --с участием-
колоны комплект.
--list-gcrypt-конфигурации
Отобразите различные внутренние параметры конфигурации Libgcrypt.
--gpgconf-список
Эта команда похожа на --список-конфигурации но, как правило, используется только внутри
gpgconf инструмент.
--gpgconf-тест
Это более или менее фиктивный экшен. Однако он анализирует файл конфигурации и
возвращается с ошибкой, если файл конфигурации предотвращает GPG из автозагрузки.
Таким образом, его можно использовать для проверки синтаксиса файла конфигурации.
Устаревшее кредита
--показать-фотографии
--не показывать-фотографии
Причины --список ключей, --list-подписи, --list-открытые-ключи, --list-секретные-ключикачества
проверка подписи, чтобы также отобразить удостоверение личности с фотографией, прикрепленное к ключу, если таковое имеется. Видеть
Также --фото-зритель. Эти параметры устарели. Использовать --список-опций [не-] показать-
фотографии и / или --verify-параметры [no-] шоу-фотографии .
--show-брелок
Отображение имени связки ключей в заголовке списков ключей, чтобы показать, какой набор ключей задан.
ключ находится на. Эта опция устарела: используйте --список-опций [no-] показать брелок
.
- всегда доверие
Идентично - доверительная модель всегда. Эта опция устарела.
--show-нотация
--no-show-нотация
Показывать подписи в --list-подписи or --check-sigs списки, а также
при проверке подписи с отметкой в ней. Эти параметры устарели. Использовать
--список-опций [no-] show-notation и / или --verify-параметры [no-] show-notation
.
--show-policy-url
--no-show-policy-url
Показывать URL-адреса политик в --list-подписи or --check-sigs списки, а также когда
проверка подписи с указанием в ней URL-адреса политики. Эти параметры устарели. Использовать
--список-опций [no-] show-policy-url и / или --verify-параметры [no-] show-policy-url
.
ПРИМЕРЫ
GPG -Если -r боб файл
подписать и зашифровать для пользователя Bob
GPG --clearsign файл
сделать четкую текстовую подпись
GPG -sb файл
сделать отдельную подпись
GPG -u 0x12345678 -sb файл
сделать отдельную подпись ключом 0x12345678
GPG --список ключей ID пользователя
показать ключи
GPG - отпечаток пальца ID пользователя
показать отпечаток пальца
GPG --проверять pgp-файл
GPG --проверять сигфайл
Проверьте подпись файла, но не выводите данные. Вторая форма - это
используется для отдельных подписей, где сигфайл это отдельная подпись (либо ASCII
бронированный или двоичный) и являются подписанными данными; если это не указано, имя
файл, содержащий подписанные данные, создается путем отсечения расширения (".asc" или
".sig") из сигфайл или спросив у пользователя имя файла.
КАК МЫ РАБОТАЕМ К УКАЗАТЬ A USER ID
Есть разные способы указать идентификатор пользователя для GnuPG. Некоторые из них действительны только для
GPG другие хороши только для гпгсм. Вот полный список способов указать ключ:
By ключ Id.
Этот формат выводится из длины строки и ее содержимого или 0x приставка.
Идентификатор ключа сертификата X.509 - это младшие 64 бита его отпечатка SHA-1.
Использование идентификаторов клавиш - это просто ярлык для всей автоматизированной обработки отпечатков пальцев.
должен быть использован.
Когда используешь GPG восклицательный знак (!) может быть добавлен для принудительного использования указанного
первичный или вторичный ключ, и не пытаться вычислить, какой первичный или вторичный
ключ для использования.
Последние четыре строки примера дают идентификатор ключа в их длинной форме как внутренний
используется протоколом OpenPGP. Вы можете увидеть длинный идентификатор ключа, используя опцию --с участием-
колоны.
234567C4
0F34E556E
01347A56A
0xAB123456
234AABBCC34567C4
0F323456784E56EAB
01AB3FED1347A5612
0x234AABBCC34567C4
By отпечаток пальца.
Этот формат выводится из длины строки и ее содержимого или 0x
префикс. Обратите внимание, что только 20-байтовый отпечаток доступен с гпгсм
(т.е. хэш сертификата SHA-1).
Когда используешь GPG восклицательный знак (!) может быть добавлен для принудительного использования указанного
первичный или вторичный ключ, и не пытаться вычислить, какой первичный или вторичный
ключ для использования.
Лучший способ указать идентификатор ключа - использовать отпечаток пальца. Это позволяет избежать
двусмысленность в случае дублирования идентификаторов ключей.
1234343434343434C434343434343434
123434343434343C3434343434343734349A3434
0E12343434343434343434EAB3484343434343434
0xE12343434343434343434EAB3484343434343434
гпгсм также принимает двоеточия между каждой парой шестнадцатеричных цифр, потому что это де-
Факто стандарт о том, как представлять отпечатки пальцев X.509. GPG также позволяет использовать пространство
разделенный отпечаток SHA-1, напечатанный командами списка ключей.
By точный совпадение on OpenPGP пользователь Я БЫ.
Это обозначается ведущим знаком равенства. Для X.509 это не имеет смысла
сертификаты.
= Генрих Гейне[электронная почта защищена]>
By точный совпадение on an e-mail адрес.
Это обозначается заключением адреса электронной почты обычным образом с левым и
прямые углы.
<[электронная почта защищена]>
By частично совпадение on an e-mail адрес.
На это указывает добавление к строке поиска префикса @. Здесь используется подстрока
поиск, но учитывает только адрес электронной почты (т.е. в угловых скобках).
@heinrichh
By точный совпадение on домен предметы ДН.
Это обозначается ведущей косой чертой, за которой сразу следует DN в кодировке RFC-2253.
предмета. Обратите внимание, что вы не можете использовать строку, напечатанную командой "gpgsm --list-keys"
потому что он был переупорядочен и изменен для лучшей читаемости; использовать с-
двоеточия для печати необработанной (но стандартной экранированной) строки RFC-2253
/ CN = Генрих Гейне, O = Поэты, L = Париж, C = FR
By точный совпадение on домен эмитент ДН.
На это указывает начальная решетка, сразу за которой следует косая черта, а затем
непосредственно за которым следует DN эмитента в кодировке rfc2253. Это должно вернуть
Корневой сертификат эмитента. См. Примечание выше.
# / CN = Корневой сертификат, O = Поэты, L = Париж, C = FR
By точный совпадение on последовательный номер и эмитент ДН.
Это обозначается решеткой, за которой следует шестнадцатеричное представление
порядковый номер, за которым следует косая черта и DN издателя в кодировке RFC-2253.
См. Примечание выше.
# 4F03 / CN = Корневой сертификат, O = Поэты, L = Париж, C = FR
By рукоятка ключа
Это обозначается амперсандом, за которым следуют 40 шестнадцатеричных цифр клавиши.
гпгсм печатает ручку при использовании команды --дамп-сертификат. Пока не работает
для ключей OpenPGP.
&D75F22C3F86E355877348498CDC92BD21010A480
By подстрока совпадать.
Это режим по умолчанию, но приложения могут захотеть явно указать это с помощью
поставив звездочку впереди. При совпадении регистр не учитывается.
Гейне
* Гейне
. и + префиксы
Эти префиксы зарезервированы для поиска писем с привязкой в конце и для слова
режим поиска. Они еще не реализованы, и их использование не определено.
Обратите внимание, что мы повторно использовали идентификатор хэш-метки, который использовался в старых
Версии GnuPG для обозначения так называемого local-id. Он больше не используется и
при использовании с X.509 конфликтов быть не должно.
Использование формата DN RFC-2253 имеет недостаток, заключающийся в невозможности сопоставить
их обратно к исходной кодировке, однако нам не нужно этого делать, потому что наши
база данных ключей хранит эту кодировку как метаданные.
Используйте gpg2 онлайн с помощью сервисов onworks.net
