gpg-agent - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

đại lý gpg - Quản lý khóa bí mật cho GnuPG

SYNOPSIS

đại lý gpg [--homedir dir] [--tùy chọn hồ sơ] [lựa chọn]
đại lý gpg [--homedir dir] [--tùy chọn hồ sơ] [lựa chọn] --người phục vụ
đại lý gpg [--homedir dir] [--tùy chọn hồ sơ] [lựa chọn] --daemon [dòng lệnh]

MÔ TẢ

đại lý gpg là một daemon để quản lý các khóa bí mật (riêng tư) độc lập với bất kỳ giao thức nào. Nó
được sử dụng như một chương trình phụ trợ cho gpg và gpgsm cũng như đối với một số tiện ích khác.

Đại lý được tự động bắt đầu theo yêu cầu bởi gpg, gpgsm, gpgconf, hoặc là gpg-kết nối-tác nhân.
Vì vậy, không có lý do gì để bắt đầu nó theo cách thủ công. Trong trường hợp bạn muốn sử dụng Bảo mật đi kèm
Shell Agent, bạn có thể bắt đầu đại lý bằng cách sử dụng:

gpg-connect-agent / bye

Bạn luôn nên thêm các dòng sau vào .bashrc hoặc bất kỳ tệp khởi tạo nào
được sử dụng cho tất cả các lệnh gọi trình bao:

GPG_TTY = $ (tty)
xuất GPG_TTY

Điều quan trọng là biến môi trường này luôn phản ánh kết quả đầu ra của tty
yêu cầu. Đối với hệ thống W32, tùy chọn này không bắt buộc.

Hãy đảm bảo rằng một chương trình pinentry thích hợp đã được cài đặt theo mặc định
tên tệp (phụ thuộc vào hệ thống) hoặc sử dụng tùy chọn chương trình pinentry để chỉ định
tên đầy đủ của chương trình đó. Nó thường hữu ích để cài đặt một liên kết tượng trưng từ thực tế
đã sử dụng pinentry (ví dụ: '/ usr / bin / pinentry-gtk') với dự kiến ​​(ví dụ:
'/ usr / bin / pinentry').

HÀNG

Các lệnh không được phân biệt với các tùy chọn ngoại trừ thực tế là chỉ có một lệnh là
được cho phép.

--phiên bản
In phiên bản chương trình và thông tin cấp phép. Lưu ý rằng bạn không thể
viết tắt lệnh này.

--Cứu giúp

-h In thông báo sử dụng tóm tắt các tùy chọn dòng lệnh hữu ích nhất. Lưu ý rằng
bạn không thể viết tắt lệnh này.

--dump-tùy chọn
In danh sách tất cả các tùy chọn và lệnh có sẵn. Lưu ý rằng bạn không thể
viết tắt lệnh này.

--người phục vụ
Chạy ở chế độ máy chủ và đợi lệnh trên tiêu chuẩn. Chế độ mặc định là
tạo một ổ cắm và lắng nghe các lệnh ở đó.

--daemon [lệnh hàng]
Khởi động gpg-agent dưới dạng daemon; nghĩa là, tách nó ra khỏi bảng điều khiển và chạy nó trong
bối cảnh.

Thay vào đó, bạn có thể tạo một quy trình mới với tư cách là con của gpg-agent: đại lý gpg
--daemon / Bin / sh. Bằng cách này, bạn sẽ có được một trình bao mới với thiết lập môi trường
đúng; sau khi bạn thoát khỏi trình bao này, gpg-agent sẽ kết thúc trong vòng một vài
giây.

LỰA CHỌN

--tùy chọn hồ sơ
Đọc cấu hình từ hồ sơ thay vì từ cấu hình mặc định cho mỗi người dùng
tập tin. Tệp cấu hình mặc định có tên là 'gpg-agent.confvà được mong đợi trong
'.gnupg'thư mục ngay bên dưới thư mục chính của người dùng.

--homedir dir
Đặt tên của thư mục chính thành dir. Nếu tùy chọn này không được sử dụng, nhà
thư mục mặc định thành '~ / .gnupg'. Nó chỉ được công nhận khi đưa ra lệnh
hàng. Nó cũng ghi đè bất kỳ thư mục chính nào được nêu thông qua biến môi trường
'GNUPGHOME'hoặc (trên hệ thống Windows) bằng mục nhập Đăng ký
HKCU \ Software \ GNU \ GnuPG: HomeDir.

Trên hệ thống Windows, có thể cài đặt GnuPG dưới dạng ứng dụng di động. Trong
trường hợp này chỉ có tùy chọn dòng lệnh này được xem xét, tất cả các cách khác để đặt nhà
thư mục bị bỏ qua.

Để cài đặt GnuPG dưới dạng ứng dụng di động trong Windows, hãy tạo tên tệp trống
'gpgconf.ctl'trong cùng thư mục với công cụ'gpgconf.exe'. Gốc của
cài đặt hơn thư mục đó; hoặc nếu 'gpgconf.exe' đã được cài đặt
ngay bên dưới một thư mục có tên 'bin', thư mục mẹ của nó. Bạn cũng cần phải
đảm bảo rằng các thư mục sau tồn tại và có thể ghi: 'ROOT / nhà'cho
nhà GnuPG và 'ROOT / var / cache / gnupg2'cho các tệp bộ nhớ cache nội bộ.

-v

--dài dòng
Xuất ra thông tin bổ sung trong khi chạy. Bạn có thể tăng độ dài bằng cách
đưa ra một số lệnh dài dòng cho gpgsm, chẳng hạn như '-vv'.

-q

--Yên lặng
Cố gắng im lặng nhất có thể.

--lô hàng
Không kêu gọi một kẻ hiếu chiến hoặc làm bất kỳ điều gì khác đòi hỏi sự tương tác của con người.

-- faked-system-time kỷ nguyên
Tùy chọn này chỉ hữu ích để thử nghiệm; nó đặt thời gian của hệ thống trở lại hoặc lùi lại thành
kỷ nguyên là số giây đã trôi qua kể từ năm 1970.

- cấp độ con bọ cấp
Chọn mức gỡ lỗi để điều tra sự cố. cấp có thể là một giá trị số hoặc
một từ khóa:

không ai Không có gỡ lỗi nào cả. Giá trị nhỏ hơn 1 có thể được sử dụng thay vì
từ khóa.

cơ bản Một số thông báo gỡ lỗi cơ bản. Giá trị từ 1 đến 2 có thể được sử dụng thay vì
từ khóa.

tiên tiến
Thông báo gỡ lỗi dài dòng hơn. Giá trị từ 3 đến 5 có thể được sử dụng thay vì
từ khóa.

chuyên gia Thậm chí nhiều tin nhắn chi tiết hơn. Giá trị từ 6 đến 8 có thể được sử dụng thay vì
từ khóa.

guru Tất cả các thông báo gỡ lỗi mà bạn có thể nhận được. Giá trị lớn hơn 8 có thể được sử dụng
thay vì từ khóa. Việc tạo tệp theo dõi băm chỉ được bật
nếu từ khóa được sử dụng.

Cách các thông báo này được ánh xạ tới các cờ gỡ lỗi thực tế không được chỉ định và có thể
thay đổi với các bản phát hành mới hơn của chương trình này. Tuy nhiên, chúng được lựa chọn cẩn thận để tốt nhất
hỗ trợ gỡ lỗi.

--gỡ lỗi cờ
Tùy chọn này chỉ hữu ích để gỡ lỗi và hành vi có thể thay đổi bất kỳ lúc nào
mà không cần thông báo. CỜ được mã hóa bit và có thể được cung cấp trong Cú pháp C thông thường. Các
các bit hiện được xác định là:

0 (1) Dữ liệu liên quan đến giao thức X.509 hoặc OpenPGP

1 (2) giá trị của số nguyên số lớn

2 (4) hoạt động tiền điện tử cấp thấp

5 (32) cấp phát bộ nhớ

6 (64) bộ nhớ đệm

7 (128)
hiển thị thống kê bộ nhớ.

9 (512)
ghi dữ liệu băm vào các tệp có tên dbgmd-000 *

10 (1024)
theo dõi giao thức Assuan

12 (4096)
bỏ qua tất cả xác thực chứng chỉ

--debug-tất cả
Giống như --debug = 0xffffffff

--debug-đợi đã n
Khi chạy ở chế độ máy chủ, hãy đợi n vài giây trước khi bước vào quá trình xử lý thực tế
lặp và in pid. Điều này cho thời gian để đính kèm trình gỡ lỗi.

--debug-nhanh-ngẫu nhiên
Tùy chọn này hạn chế việc sử dụng mức chất lượng ngẫu nhiên rất an toàn (Libgcrypt's
GCRY_VERY_strong_RANDOM) và làm giảm tất cả các yêu cầu xuống chất lượng ngẫu nhiên tiêu chuẩn.
Nó chỉ được sử dụng để thử nghiệm và không được sử dụng cho bất kỳ khóa chất lượng sản xuất nào.
Tùy chọn này chỉ hiệu quả khi được đưa ra trên dòng lệnh.

--debug-pinentry
Tùy chọn này cho phép thêm thông tin gỡ lỗi liên quan đến Pinentry. Như bây giờ
nó chỉ hữu ích khi được sử dụng cùng với --gỡ lỗi 1024.

- không tách rời
Không tách quy trình khỏi bảng điều khiển. Điều này chủ yếu hữu ích cho việc gỡ lỗi.

-s

--NS

-c

--csh Định dạng đầu ra thông tin ở chế độ daemon để sử dụng với trình bao Bourne tiêu chuẩn hoặc
C-shell tương ứng. Mặc định là đoán nó dựa trên biến môi trường
SHELL điều này đúng trong hầu hết các trường hợp.

- không lấy
Hãy nói với những người hiếu chiến không lấy bàn phím và chuột. Tùy chọn này nên trong
nói chung không được sử dụng để tránh các cuộc tấn công đánh hơi X.

--log-tệp hồ sơ
Nối tất cả đầu ra ghi nhật ký vào hồ sơ. Điều này rất hữu ích trong việc xem tác nhân
thực sự không. Nếu cả tệp nhật ký và bộ mô tả tệp nhật ký đều không được đặt trên
Nền tảng Windows, mục Registry HKCU \ Software \ GNU \ GnuPG: DefaultLogFile, Nếu
, được sử dụng để chỉ định đầu ra ghi nhật ký.

--no-allow-mark-trust
Không cho phép khách hàng đánh dấu các khóa là đáng tin cậy, tức là đặt chúng vào
'danh sách tin cậy.txt' tập tin. Điều này khiến người dùng vô tình chấp nhận Root-
Các phím CA.

--allow-cụm mật khẩu đặt trước
Tùy chọn này cho phép sử dụng gpg-preset-mật khẩu để gieo vào bộ nhớ đệm bên trong của
đại lý gpg với cụm mật khẩu.

--allow-loopback-pinentry
Cho phép khách hàng sử dụng các tính năng ưu việt của loopback; xem tùy chọn chế độ pinentry
để biết thêm chi tiết.

--no-allow-external-cache
Yêu cầu Pinentry không bật các tính năng sử dụng bộ đệm bên ngoài cho cụm mật khẩu.

Một số môi trường máy tính để bàn thích mở khóa tất cả thông tin đăng nhập bằng một mật khẩu chính
và có thể đã cài đặt một Pinentry sử dụng một bộ nhớ cache bên ngoài bổ sung để
thực hiện một chính sách như vậy. Bằng cách sử dụng tùy chọn này, Pinentry không nên thực hiện
sử dụng bộ nhớ cache như vậy và thay vào đó luôn hỏi người dùng về cụm mật khẩu được yêu cầu.

--allow-emacs-pinentry
Yêu cầu Pinentry cho phép các tính năng chuyển hướng mục nhập cụm mật khẩu sang Emacs đang chạy
ví dụ. Cách xử lý chính xác điều này phụ thuộc vào phiên bản của Pinentry được sử dụng.

--ignore-cache-for-ký
Tùy chọn này sẽ cho phép đại lý gpg bỏ qua bộ nhớ cache cụm mật khẩu cho tất cả các lần ký
hoạt động. Lưu ý rằng cũng có tùy chọn mỗi phiên để kiểm soát hành vi này
nhưng tùy chọn dòng lệnh này được ưu tiên hơn.

--default-cache-ttl n
Đặt thời gian một mục nhập bộ nhớ cache hợp lệ thành n giây. Giá trị mặc định là 600 giây.
Mỗi khi một mục nhập trong bộ nhớ cache được truy cập, bộ đếm thời gian của mục đó sẽ được đặt lại. Để đặt một mục nhập
tuổi thọ tối đa, sử dụng max-cache-ttl.

--default-cache-ttl-ssh n
Đặt thời gian mục nhập bộ đệm được sử dụng cho khóa SSH hợp lệ thành n giây. Mặc định là
1800 giây. Mỗi khi một mục nhập trong bộ nhớ cache được truy cập, bộ đếm thời gian của mục đó sẽ được đặt lại. Đến
đặt thời gian tồn tại tối đa của mục nhập, sử dụng max-cache-ttl-ssh.

--max-cache-ttl n
Đặt thời gian tối đa mà mục nhập bộ nhớ cache có hiệu lực thành n giây. Sau thời gian này, một bộ nhớ cache
mục nhập sẽ hết hạn ngay cả khi nó đã được truy cập gần đây hoặc đã được đặt bằng cách sử dụng
gpg-preset-mật khẩu. Mặc định là 2 giờ (7200 giây).

--max-cache-ttl-ssh n
Đặt thời gian tối đa mà mục nhập bộ đệm được sử dụng cho khóa SSH hợp lệ thành n giây. Sau
lúc này mục nhập bộ nhớ cache sẽ hết hạn ngay cả khi nó đã được truy cập gần đây hoặc
đã được thiết lập bằng cách sử dụng gpg-preset-mật khẩu. Mặc định là 2 giờ (7200 giây).

--enforce-mật khẩu-ràng buộc
Thực thi các ràng buộc cụm mật khẩu bằng cách không cho phép người dùng bỏ qua chúng bằng cách sử dụng
nút `` Vẫn tiếp tục ''.

--min-cụm mật khẩu-len n
Đặt độ dài tối thiểu của cụm mật khẩu. Khi nhập cụm mật khẩu mới ngắn hơn
hơn giá trị này, một cảnh báo sẽ được hiển thị. Mặc định là 8.

--min-cụm mật khẩu-nonalpha n
Đặt số lượng chữ số hoặc ký tự đặc biệt tối thiểu được yêu cầu trong cụm mật khẩu.
Khi nhập cụm mật khẩu mới có ít hơn số chữ số này hoặc đặc biệt
ký tự, cảnh báo sẽ được hiển thị. Mặc định là 1.

--kiểm tra-cụm mật khẩu-mẫu hồ sơ
Kiểm tra cụm mật khẩu so với mẫu được cho trong hồ sơ. Khi nhập mới
cụm mật khẩu phù hợp với một trong những mẫu này, một cảnh báo sẽ được hiển thị. hồ sơ nên
là một tên tệp tuyệt đối. Mặc định là không sử dụng bất kỳ tệp mẫu nào.

Lưu ý bảo mật: Đã biết rằng việc kiểm tra cụm mật khẩu dựa trên danh sách các mẫu hoặc
ngay cả khi chống lại một từ điển hoàn chỉnh cũng không hiệu quả lắm để thực thi
mật khẩu. Người dùng sẽ sớm tìm ra cách để bỏ qua chính sách như vậy. Tốt hơn
chính sách là giáo dục người dùng về hành vi bảo mật tốt và tùy chọn để chạy một
bẻ khóa mật khẩu thường xuyên trên tất cả các cụm mật khẩu của người dùng để nắm bắt rất đơn giản
những cái.

--max-passphrase-ngày n
Yêu cầu người dùng thay đổi cụm mật khẩu nếu n ngày đã trôi qua kể từ lần thay đổi cuối cùng.
Với --enforce-mật khẩu-ràng buộc thiết lập người dùng không thể bỏ qua kiểm tra này.

--enable-passphrase-lịch sử
Tùy chọn này không có gì được nêu ra.

--pinentry-hidden-char xe tăng
Tùy chọn này yêu cầu Pinentry sử dụng xe tăng để hiển thị các ký tự ẩn. xe tăng
phải là một chuỗi UTF-8 ký tự. Một Pinentry có thể đáp ứng yêu cầu này hoặc không.

--pinentry-thời gian chờ n
Tùy chọn này yêu cầu Pinentry hết thời gian chờ n giây mà không có đầu vào của người dùng. Các
giá trị mặc định của 0 không yêu cầu pinentry hết thời gian chờ, tuy nhiên Pinentry có thể sử dụng
giá trị thời gian chờ mặc định của chính nó trong trường hợp này. Một Pinentry có thể hoặc có thể không tôn trọng điều này
yêu cầu.

- chương trình ưu việt tên tập tin
Sử dụng chương trình tên tập tin làm mục nhập mã PIN. Mặc định là tùy thuộc vào cài đặt.
Với cấu hình mặc định, tên của pinentry mặc định là 'lối vào'; nếu như
tệp đó không tồn tại nhưng một 'pinentry cơ bản'tồn tại cái sau được sử dụng.

Trên nền tảng Windows, mặc định là sử dụng chương trình hiện có đầu tiên từ
danh sách: 'bin \ pinentry.exe','.. \ Gpg4win \ bin \ pinentry.exe','.. \ Gpg4win \ pinentry.exe',
'.. \ GNU \ GnuPG \ pinentry.exe','.. \ GNU \ bin \ pinentry.exe','bin \ pinentry-basic.exe'
nơi tên tệp có liên quan đến thư mục cài đặt GnuPG.

--pinentry-touch-file tên tập tin
Theo mặc định, tên tệp của socket gpg-agent đang lắng nghe các yêu cầu được chuyển
cho Pinentry, để nó có thể chạm vào tệp đó trước khi thoát (nó chỉ thực hiện điều này trong
chế độ chửi rủa). Tùy chọn này thay đổi tệp được chuyển đến Pinentry thành tên tập tin. Các
tên đặc biệt / dev / null có thể được sử dụng để tắt hoàn toàn tính năng này. Lưu ý rằng
Pinentry sẽ không tạo tệp đó, nó sẽ chỉ thay đổi việc sửa đổi và truy cập
thời gian.

--scdaemon-chương trình tên tập tin
Sử dụng chương trình tên tập tin dưới dạng daemon Smartcard. Mặc định là cài đặt
phụ thuộc và có thể được hiển thị với gpgconf chỉ huy.

--disable-scdaemon
Không sử dụng công cụ scdaemon. Tùy chọn này có tác dụng vô hiệu hóa
khả năng thực hiện các hoạt động thẻ thông minh. Lưu ý rằng bật tùy chọn này trong thời gian chạy
không giết một scdaemon đã được chia nhỏ.

- vô hiệu hóa-kiểm tra-ổ cắm riêng
đại lý gpg sử dụng phương pháp tự kiểm tra định kỳ để phát hiện ổ cắm bị đánh cắp. Điều này thường
có nghĩa là một ví dụ thứ hai của đại lý gpg đã tiếp quản ổ cắm và đại lý gpg sẽ
sau đó tự chấm dứt. Tùy chọn này có thể được sử dụng để tắt tính năng tự kiểm tra này đối với
mục đích gỡ lỗi.

- ổ cắm tiêu chuẩn sử dụng

- không sử dụng-ổ cắm tiêu chuẩn

--use-tiêu chuẩn-socket-p
Vì GnuPG 2.1, ổ cắm tiêu chuẩn luôn được sử dụng. Các tùy chọn này không còn nữa
hiệu ứng. Lệnh đại lý gpg --use-tiêu chuẩn-socket-p do đó sẽ luôn luôn trở lại
sự thành công.

--trưng bày chuỗi

--ttyname chuỗi

--ttype chuỗi

--lc-ctype chuỗi

--lc-tin nhắn chuỗi

--xmaster chuỗi
Các tùy chọn này được sử dụng với chế độ máy chủ để chuyển thông tin bản địa hóa.

--giữ-tty

- lưu giữ màn hình
Bỏ qua yêu cầu thay đổi hiện tại tty hoặc hệ thống cửa sổ X của DISPLAY biến
tương ứng. Điều này rất hữu ích để khóa các pinentry bật lên ở tty hoặc hiển thị
bạn đã bắt đầu đại lý.

- ổ cắm điện tên
Đồng thời lắng nghe các kết nối gpg-agent bản địa trên socket đã cho. Mục đích sử dụng
đối với ổ cắm bổ sung này là để thiết lập chuyển tiếp ổ cắm miền Unix từ một điều khiển từ xa
máy vào ổ cắm này trên máy cục bộ. MỘT gpg chạy trên máy từ xa
sau đó có thể kết nối với gpg-agent cục bộ và sử dụng các khóa riêng của nó. Điều này cho phép
giải mã hoặc ký dữ liệu trên một máy từ xa mà không để lộ khóa cá nhân
máy từ xa.

--enable-ssh-hỗ trợ

--enable-putty-hỗ trợ

Kích hoạt giao thức OpenSSH Agent.

Trong phương thức hoạt động này, tác nhân không chỉ triển khai gpg-agent
mà còn là giao thức tác nhân được OpenSSH sử dụng (thông qua một ổ cắm riêng).
Do đó, có thể sử dụng gpg-agent làm phần mềm thay thế
cho đại lý ssh nổi tiếng.

Các khóa SSH, được sử dụng thông qua tác nhân, cần được thêm vào gpg-agent
ban đầu thông qua tiện ích ssh-add. Khi một khóa được thêm vào, ssh-add sẽ yêu cầu
mật khẩu của tệp khóa đã cung cấp và gửi tài liệu khóa không được bảo vệ tới
đại lý; điều này khiến gpg-agent yêu cầu một cụm mật khẩu, được sử dụng cho
mã hóa khóa mới nhận được và lưu trữ trong thư mục gpg-agent cụ thể.

Khi một khóa đã được thêm vào gpg-agent theo cách này, gpg-agent sẽ sẵn sàng
sử dụng chìa khóa.

Lưu ý: trong trường hợp gpg-agent nhận được yêu cầu chữ ký, người dùng có thể cần phải
được nhắc nhập cụm mật khẩu, cần thiết để giải mã khóa được lưu trữ. Từ
giao thức ssh-agent không chứa cơ chế thông báo cho agent biết
display / terminal nó đang chạy, ssh-hỗ trợ của gpg-agent sẽ sử dụng TTY hoặc X
hiển thị nơi gpg-agent đã được bắt đầu. Để chuyển màn hình này sang hiện tại
một, lệnh sau có thể được sử dụng:

gpg-connect-agent updatestartuptty / bye

Mặc dù tất cả các thành phần GnuPG đều cố gắng khởi động gpg-agent khi cần, nhưng điều này là không thể
cho ssh hỗ trợ vì ssh không biết về nó. Vì vậy, nếu không có công cụ GnuPG mà
truy cập đại lý đã được chạy, không có gì đảm bảo rằng ssh có thể sử dụng gpg-agent
để xác thực. Để khắc phục điều này, bạn có thể khởi động gpg-agent nếu cần bằng cách sử dụng đơn giản này
chỉ huy:

gpg-connect-agent / bye

Thêm --dài dòng hiển thị tiến độ bắt đầu đại lý.

Sản phẩm --enable-putty-hỗ trợ chỉ khả dụng trong Windows và cho phép sử dụng gpg-agent
với việc triển khai ssh putty. Điều này tương tự như hỗ trợ ssh-agent thông thường nhưng
sử dụng hàng đợi tin nhắn Windows theo yêu cầu của putty.

Tất cả các tùy chọn dài cũng có thể được cung cấp trong tệp cấu hình sau khi loại bỏ
hai dấu gạch ngang hàng đầu.

VÍ DỤ

Điều quan trọng là phải đặt biến môi trường GPG_TTY trong trình bao đăng nhập của bạn, chẳng hạn
bên trong '~ / .bashrc'init script:

xuất GPG_TTY = $ (tty)

Nếu bạn đã bật Hỗ trợ tác nhân Ssh, bạn cũng cần thông báo cho ssh về điều đó bằng cách thêm thông tin này vào
tập lệnh init của bạn:

hủy đặt SSH_AGENT_PID
if ["$ {gnupg_SSH_AUTH_SOCK_by: -0}" -ne $$]; sau đó
export SSH_AUTH_SOCK = "$ {HOME} /. gnupg / S.gpg-agent.ssh"
fi

Sử dụng gpg-agent trực tuyến bằng các dịch vụ onworks.net