- Unix Commands Reference
- Unix Commands - Home
gpg.ru - Unix, Linux Command
NAME
gpg инструмент для шифрования и цифровой подписиSYNOPSIS
gpg [--homedir name] [--options file] [options] command [args] |
ОПИСАНИЕ
gpg основная программа системы GnuPG.
Данное руководство является частью GnuPG. GnuPG распространяется на условиях GNU General Public License, опубликованной Free Software Foundation; либо версии 2, либо (на Ваше усмотрение) любой более поздней версии.
Данное руководство содержит только список доступных команд и параметров. Более подробная информация содержится в GNU Privacy Handbook (GPH) и других документах, которые можно найти на сайте http://www.gnupg.org.
Обратите внимание, что разбор параметров заканчивается сразу после того, как в командной строке встречается элемент не являющийся параметром. Вы можете принудительно прекратить разбор параметров, используя специальный параметр "--".
КОМАНДЫ
gpg может быть запущен без указания команды, в этом случае он выполняет действие в зависимости от типа файла поданного на его вход (зашифрованное сообщение расшифровывается, подпись проверяется, если файл содержит ключи, то выводится их список).
gpg распознаёт следующие команды:
Tag | Description | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
-s, --sign | Создать подпись. Данная команда может использоваться совместно с --encrypt (для создания подписанных и зашифрованных сообщений), --symmetric (для создания сообщений подписанных и зашифрованных симметричным шифром) или с --encrypt и --symmetric сразу (для создания подписанных сообщений, которые могут быть расшифрованы или с помощью секретного ключа или посредством ключевоключевой фразы). | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--clearsign | Создать прозрачную подпись. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
-b, --detach-sign | Создать отделённую подпись. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
-e, --encrypt | Зашифровать данные. Может использоваться совместно с --sign (для создания подписанных и зашифрованных сообщений), --symmetric (для создания зашифрованных сообщений, которые можно расшифровать как с помощью секретного ключа, так и используя ключевую фразу) или с --sign и --symmetric сразу (для создания подписанных и зашифрованных сообщений, которые можно расшифровать как с помощью секретного ключа, так и используя ключевую фразу). | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
-c, --symmetric | Зашифровать симметричным алгоритмом используя ключевую фразу (пароль). По умолчанию используется алгоритм CAST5. Для выбора другого алгоритма можно воспользоваться параметром --cipher-algo. Может использоваться совместно с --sign (для создания подписанных и зашифрованных сообщений), --encrypt (для создания зашифрованных сообщений, которые можно расшифровать как с помощью секретного ключа, так и используя ключевую фразу) или с --sign и --encrypt сразу (для создания подписанных и зашифрованных сообщений, которые можно расшифровать как с помощью секретного ключа, так и используя ключевую фразу). | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--store | Создаёт пакет в соответствии с RFC1991. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--decrypt [file] | Расшифровывает file (или стандартный ввод, если файл не задан) и выводит его на стандартный вывод (или в файл определённый параметром --output). Если расшифрованный файл подписан, то также проверяется подпись. Эта команда отличается от операции по умолчанию тем, что никогда не сохраняет результат в файле с именем указанным в зашифрованном файле и не обрабатывает файлы не начинающиеся с зашифрованного сообщения. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--verify [[sigfile] [signed-files]] | Предполагает, что sigfile содержит подпись и проверяет её, не выводя содержимое документа. Без аргументов, считывает подписанные данные со стандартного ввода. Если задан только файл подписи, то в нём может содержаться либо полностью подписанный документ, либо отделённая подпись. В последнем случае подписанный документ должен содержаться в файле без расширения ".sig" или ".asc". Если указано более одного аргумента, то первый должен быть отделённой подписью, а остальные должны содержать подписанный материал. Для считывания подписанного документа со стандартного ввода, используйте - в качестве имени второго файла. По причинам безопасности, при использовании отделённой подписи, подписанный материал не может считываться со стандартного ввода без явного указания вышеозначенным образом. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--multifile | Изменяет поведение некоторых других команд так, чтобы они могли обрабатывать сразу несколько файлов. Имена файлов указываются в командной строке или подаются на стандартный ввод по одному в строке. Это позволяет обрабатывать множество файлов одной командой. В настоящее время --multifile может использоваться совместно с --verify, --encrypt, и --decrypt. Заметьте, что "--multifile --verify" нельзя использовать для проверки отделённых подписей. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--verify-files [files] | Идентична --multifile --verify. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--encrypt-files [files] | Идентична --multifile --encrypt. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--decrypt-files [files] | Идентична --multifile --decrypt. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--list-keys [names] | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--list-public-keys [names] | Выводит все ключи из связки открытых ключей, или только указанные в командной строке. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Не следует использовать вывод данной команды в сценариях и других программах, т.к. формат вывода может меняться в разных версиях GnuPG. Для машинной обработки рекомендуется использовать вывод команды --with-colons. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
-K, --list-secret-keys [names] | Выводит все ключи из связки секретных ключей, или только указанные в командной строке. Знак # после символов sec означает, что секретный ключ не используется (напр., если он был создан командой --export-secret-subkeys). | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--list-sigs [names] | То же, что и --list-keys, но дополнительно выводит подписи на ключах. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Для каждой подписи может быть указано несколько флагов между тэгом "sig" и идентификатором ключа. Эти флаги содержат дополнительную информацию о каждой подписи. Цифры 1-3 указывают на уровень проверки сертификата (см. --ask-cert-level), "L" для локальных или неэкспортируемых подписей (см. --lsign-key), "R" для неотзываемых подписей (см. nrsign в описании --edit-key), "P" для подписей содержащих URL политики подписи (см. --cert-policy-url), "N" для подписей содержащих примечание (см. --cert-notation), "X" для подписей срок действия которых истёк. (см. --ask-cert-expire), цифры 1-9 или "T" для 10 и более, чтобы указать уровень доверяющей подписи (см. tsign в описании команды --edit-key). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--check-sigs [names] | То же, что и --list-sigs, но подписи проверяются. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--fingerprint [names] | Выводит все ключи и их отпечатки. Это тот же вывод, что и у --list-keys, но для каждого ключа добавляется строка, содержащая его отпечаток. Может использоваться совместно с --list-sigs или --check-sigs. Если команда задана дважды, то выводятся отпечатки и для подчинённых ключей. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--list-packets | Выводит список пакетов. Используется, в основном, для отладки. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--gen-key | Генерирует новую пару ключей. Данная команда, как правило, используется только интерактивно. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Имеется экспериментальная возможность, позволяющая генерировать ключи в пакетном режиме. Подробности в файле doc/DETAILS в исходном дистрибутиве. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--edit-key name |
Предоставляет меню, позволяющее выполнять все задачи по управлению
ключами:
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Заметьте, что "l" (для локальных / неэкспортируемых), "nr" (для
неотзываемых) и "t" (для доверяющих) могут свободно объединяться и
указываться перед "sign" для получения подписей любого желаемого типа.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Листинг показывает Вам ключ с его подключами и всеми идентификаторами
пользователя. Выбранные ключи или идентификаторы пользователя указаны
звёздочкой. Значение доверия выводится рядом с первичным ключом: первый
символ обозначает уровень доверия, присвоенный владельцу ключа, а второй
вычисленное значение достоверности ключа. Символы имеют следующее
значение:
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--sign-key name | Подписать открытый ключ Вашим секретным ключом. То же, что и подкоманда "sign" команды --edit-key. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--lsign-key name | Подписать открытый ключ Вашим секретным ключом локально. То же, что и подкоманда "lsign" команды --edit-key. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--delete-key name | Удалить ключ из набора открытых ключей. В пакетном режиме требуется либо использовать --yes, либо задавать ключ его отпечатком. Это защита против случайного удаления ключей. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--delete-secret-key name | Удалить ключ из наборов секретных и открытых ключей. В пакетном режиме ключ должен быть задан отпечатком. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--delete-secret-and-public-key name | То же, что и --delete-key, но если существует секретный ключ, то сначала будет удалён он. В пакетном режиме ключ должен быть задан отпечатком. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--gen-revoke name | Генерировать отзывающий сертификат для всего ключа. Для отзыва подключа или подписи используйте команду --edit-key. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--desig-revoke name | Генерировать назначенный сертификат отзыва для ключа. Это позволяет пользователю (с разрешения владельца ключа) отозвать чей-либо ключ. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--export [names] | Либо экспортировать все ключи из всех наборов ключей (наборов по умолчанию и тех которые зарегистрированы при помощи параметра --keyring), или, если задано хотя бы одно имя, те ключи имена которых заданы в командной строке. Полученный в результате набор ключей выводится на стандартный вывод или в файл заданный параметром "output". Если Вы намерены отправить ключи по почте, то используйте совместно с параметром --armor. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--send-keys [names] | То же, что и --export но посылает ключи на сервер ключей. Для задания имени сервера ключей должен использоваться параметр --keyserver. Не отправляйте на сервер свой набор ключей полностью - выберите только те ключи, которые были добавлены или изменены Вами. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--export-secret-keys [names] | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--export-secret-subkeys [names] |
То же, что и --export, но экспортирует секретные ключи. Используется
редко и рискована с точки зрения безопасности. Вторая форма команды
делает секретную часть первичного ключа, в выводимом результате,
непригодной; это расширение GNU для стандарта OpenPGP и другие
реализации не смогут успешно импортировать такие ключи.
Обратите внимание на параметр --simple-sk-checksum, если Вы хотите импортировать полученный результат в старую реализацию OpenPGP. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--import [files] | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--fast-import [files] | Импортировать/объединить ключи. Эта команда добавляет выбранные ключи к набору ключей. --fast-import, в настоящее время является просто синонимом для --import. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Имеется несколько параметров, контролирующих работу команды. Наиболее значимый среди них - параметр --keyserver-option --merge-only, который предотвращает добавление новых ключей и допускает только добавление новых подписей, идентификаторов пользователя и подключей к уже имеющимся ключам. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--recv-keys key IDs | Импортировать ключи с заданным идентификатором с сервера ключей. Для указания сервера ключей должен использоваться параметр --keyserver. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--refresh-keys key IDs | Запросить с сервера ключей обновления для ключей, которые уже имеются в локальных связках. Применимо для получения новых подписей, идентификаторов пользователей и т.д. Вызов команды без параметра приведёт к обновлению всей связки ключей. Необходимо задать параметр --keyserver, чтобы указать сервер ключей для всех ключей, в которых не указан предпочитаемый сервер ключей (см. --keyserver-option honor-keyserver-url). | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--search-keys [names] | Поиск по указанным именам на сервере ключей. Несколько имён, заданных в командной строке, объединяются вместе для создания строки поиска. Для указания сервера ключей должен использоваться параметр --keyserver. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--update-trustdb | Используется для поддержки базы данных доверия. Данная команда просматривает все имеющиеся ключи и строит сеть доверия (Web of Trust). Данная команда является интерактивной, т.к. она может запрашивать о Вашем уровне доверия владельцам ключей. Пользователь может указать насколько он доверяет владельцу указанного ключа в вопросах проверки и сертификации (подписи) других ключей. Запрос выдаётся только в том случае, если данному ключу ещё не было присвоено значение доверия. При помощи команды --edit-key можно позже изменить данное значение. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--check-trustdb | Выполняет проверку базы данных доверия без взаимодействия с пользователем. Периодически база данных доверия должна обновляться, чтобы отслеживать истёкшие ключи и подписи и вносить соответствующие изменения в сеть доверия. GnuPG по возможности отслеживает такие ситуации и обновляет базу автоматически, если не установлен параметр --no-auto-check-trustdb. Данная команда используется для выполнения проверки принудительно, в любое время. Выполняемые действия аналогичны тем, которые выполняет --update-trustdb, но ключи с неопределённым уровнем доверия пропускаются. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
При запуске с помощью cron, данная команда может использоваться с параметром --batch, в этом случае проверка выполняется только если она нужна. Для принудительного выполнения проверки в этом случае можно использовать параметр --yes. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--export-ownertrust | Выводит значения доверия на стандартный вывод. Применима в целях архивации, т.к. эти значения единственное, что не может быть восстановлено в случае повреждения базы данных доверия. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--import-ownertrust [files] | Вносит в базу данных доверия значения сохранённые в файле files (или считывает со стандартного ввода, если файл не задан); существующие значения перезаписываются. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--rebuild-keydb-caches | При обновлении с версии 1.0.6 до 1.0.7 эта команда должна быть использована для создания кэшей подписей в наборе ключей. Она может оказаться удобной и в других случаях. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--print-md algo [files] | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--print-mds [files] | Выводит значение хэш-функции ALGO для каждого из заданных файлов или для стандартного ввода. Вторая форма (или "*" в качестве algo в первом случае) выводит значения всех доступных хэш-функций. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--gen-random 0|1|2 [count] | Выводит COUNT случайных байт с заданным уровнем качества. Если параметр COUNT не задан или равен нулю, то выводится бесконечная последовательность случайных байт. ПРЕДУПРЕЖДЕНИЕ! Не используйте эту команду без необходимости; это может уменьшить число случайных данных доступных системе! | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--gen-prime mode bits [qbits] | Генерирует простое число. Подробности см. в исходных текстах. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--version | Выводит информацию о версии программы и список поддерживаемых алгоритмов. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
--warranty | Выводит информацию о гарантиях. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
-h, --help | Выводит краткую справку по использованию команды. Список довольно длинный, хотя и не включает описания всех параметров. Для получения более подробной информации, обращайтесь к данному руководству. |
ПАРАМЕТРЫ
Длинные формы параметров могут использоваться в файле параметров (по умолчанию "~/.gnupg/gpg.conf"). Короткие имена параметров работать не будут - например, "armor" можно использовать в файле конфигурации, а "а" нельзя. Не указывайте два начальных дефиса, просто имя параметра и требуемые аргументы. Строки начинающиеся символом "#" (возможно после нескольких пробелов) игнорируются. Команды так же могут помещаться в этот файл, но это, в общем случае, не имеет смысла.
gpg распознаёт следующие параметры:
Tag | Description | ||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
-a, --armor | Создаёт вывод в ASCII формате. | ||||||||||||||||||||||||||
-o, --output file | Сохраняет результат в файле file. | ||||||||||||||||||||||||||
--max-output n | Данный параметр устанавливает предельное число байтов, которые генерируются при обработке файла. Поскольку OpenPGP поддерживает различные степени сжатия, то возможно, что открытый текст сообщения может быть значительно больше исходного сообщения OpenPGP. Хотя GnuPG корректно работает с такими файлами, зачастую желательно ограничить объём выдаваемой информации. По умолчанию 0, что означает отсутствие ограничений. | ||||||||||||||||||||||||||
--mangle-dos-filenames | |||||||||||||||||||||||||||
--no-mangle-dos-filenames | Старые версии Windows не могут обрабатывать имена файлов с более чем одной точкой. --mangle-dos-filenames заставляет GnuPG заменять имеющееся расширение файла, а не добавлять ещё одно, для обхода данной проблемы. Данный параметр отключен по умолчанию и не используется на платформах отличных от Windows. | ||||||||||||||||||||||||||
-u, --local-user name | Использовать для подписи ключ name. Заметьте, что данный параметр перекрывает значение параметра --default-key. | ||||||||||||||||||||||||||
--default-key name | Использовать name в качестве ключа по умолчанию для подписей. Если данный параметр не задан, то по умолчанию используется первый ключ найденный в связке секретных ключей. Заметьте, что -u или --local-user перекрывает значение данного параметра. | ||||||||||||||||||||||||||
-r, --recipient name | |||||||||||||||||||||||||||
Зашифровать для пользователя name. Если ни данный параметр ни параметр --hidden-recipient не указаны, и не задан параметр --default-recipient, то GnuPG запрашивает идентификатор пользователя. | |||||||||||||||||||||||||||
-R, --hidden-recipient name | |||||||||||||||||||||||||||
Зашифровать для пользователя name, но скрыть идентификатор ключа. Данный параметр скрывает получателя сообщения и является контрмерой против анализа траффика. Если ни данный параметр ни параметр --recipient не указаны, и не задан параметр --default-recipient, то GnuPG запрашивает идентификатор пользователя. | |||||||||||||||||||||||||||
--default-recipient name | Использовать name как получателя по умолчанию, если не задан параметр --recipient и не выдавать запрос о получателе если значение name является допустимым. name не может быть пустым. | ||||||||||||||||||||||||||
--default-recipient-self | Использовать ключ по умолчанию как получателя, если не задан параметр --recipient, и не выдавать запрос о получателе если значение ключа является допустимым. Ключ по умолчанию - это первый в секретном наборе ключей или тот, который задан параметром --default-key. | ||||||||||||||||||||||||||
--no-default-recipient | Отменяет действие параметров --default-recipient и --default-recipient-self. | ||||||||||||||||||||||||||
--encrypt-to name | То же, что и --recipient, но предназначен для использования в файле параметров и может использоваться с Вашим собственным идентификатором пользователя. Указанные ключи используются только в том случае, если заданы другие получатели при помощи параметра --recipient, или после того как был запрошен идентификатор получателя. Для указанных ключей не производится проверка достоверности и могут использоваться даже те, которые отключены. | ||||||||||||||||||||||||||
--hidden-encrypt-to name | То же, что и --hidden-recipient, но предназначен для использования в файле параметров и может использоваться с Вашим собственным идентификатором пользователя как скрытый "encrypt-to-self". Указанные ключи используются только в том случае, если заданы другие получатели при помощи параметра --recipient, или после того как был запрошен идентификатор получателя. Для указанных ключей не производится проверка достоверности и могут использоваться даже те, которые отключены. | ||||||||||||||||||||||||||
--no-encrypt-to | Отменяет использование ключей заданных параметрами --encrypt-to и --hidden-encrypt-to. | ||||||||||||||||||||||||||
-v, --verbose | Увеличивает детальность вывода информации. Если используется дважды, то детально описываются и входные данные. | ||||||||||||||||||||||||||
-q, --quiet | Уменьшает количество выводимой информации насколько это возможно. | ||||||||||||||||||||||||||
-z n | |||||||||||||||||||||||||||
--compress-level n | |||||||||||||||||||||||||||
--bzip2-compress-level n | --compress-level устанавливает уровень сжатия равным n для алгоритмов ZIP и ZLIB. По умолчанию используется уровень сжатия zlib (обычно 6). --bzip2-compress-level устанавливает уровень сжатия для алгоритма BZIP2 (также 6 по умолчанию). Для BZIP2 сделан отдельный параметр, поскольку он требует значительно большего объёма памяти при увеличении уровня сжатия. -z устанавливает оба параметра. Значение 0 отключает сжатие. | ||||||||||||||||||||||||||
--bzip2-decompress-lowmem |
Использовать альтернативный алгоритм декомпрессии для файлов сжатых
BZIP2. Этот метод использует почти в два раза меньше памяти, но работает
так же в два раза медленнее. Параметр применим в случаях острой нехватки
памяти для файлов сжатых с высоким --bzip2-compress-level.
| ||||||||||||||||||||||||||
-t, --textmode | |||||||||||||||||||||||||||
--no-textmode | Полагать, что входные файлы содержат текст и сохранять их в канонической текстовой форме OpenPGP со строками заканчивающимися "CRLF". При использовании параметра устанавливаются флаги, сообщающие получателю, что зашифрованные или подписанные данные являются текстом и может потребоваться преобразование концов строк в те, которые используются локальной системой. Данный параметр применим при обмене информацией между двумя различными платформами использующими различные окончания строк (UNIX - Mac, Mac - Windows и т.п.). --no-textmode отключает данный режим. По умолчанию отключен. | ||||||||||||||||||||||||||
Если -t (но не --textmode) используется совместно с --armor и --sign, то создаётся прозрачная подпись. Этот параметр необходим для совместимости с консольными версиями PGP; обычно Вам следует использовать --sign или --clearsign для выбора типа подписи. | |||||||||||||||||||||||||||
-n, --dry-run | Не делать никаких изменений (реализован не полностью). | ||||||||||||||||||||||||||
-i, --interactive | Выводить запрос перед перезаписью файлов. | ||||||||||||||||||||||||||
--batch | |||||||||||||||||||||||||||
--no-batch | Использовать пакетный режим. Не выводятся никакие запросы, не допускаются интерактивные команды. --no-batch отключает пакетный режим. | ||||||||||||||||||||||||||
--no-tty | Не использовать TTY (терминал) для вывода информации. Параметр необходим в некоторых случаях, т.к. GnuPG иногда выводит предупреждения на TTY при использовании параметра --batch. | ||||||||||||||||||||||||||
--yes | Предполагает утвердительный ответ на большинство вопросов. | ||||||||||||||||||||||||||
--no | Предполагает отрицательный ответ на большинство вопросов. | ||||||||||||||||||||||||||
--ask-cert-level | |||||||||||||||||||||||||||
--no-ask-cert-level | При подписывании ключа, запрашивать уровень сертификации. Если параметр не указан, то используется уровень заданный параметром --default-cert-level. См. в описании --default-cert-level более подробную информацию о различных уровнях и их использовании. --no-ask-cert-level отменяет действие данного параметра. По умолчанию параметр отключен. | ||||||||||||||||||||||||||
--min-cert-level | При построении базы данных доверия не учитывать подписи с уровнем сертификации ниже указанного. По умолчанию равен 2, что означает отказ от принятия подписей с уровнем 1. | ||||||||||||||||||||||||||
--default-cert-level n | Устанавливает уровень сертификации ключа по умолчанию при его подписи. | ||||||||||||||||||||||||||
0 означает, что Вы не будете указывать насколько тщательно проверили ключ перед тем, как его подписывать. | |||||||||||||||||||||||||||
1 означает, что Вы верите в достоверность ключа, но не проверяли или не можете проверить это. Применим для подписи ключей тех лиц, с которыми Вы знакомы только по переписке. | |||||||||||||||||||||||||||
2 означает, что вы произвели поверхностную проверку ключа. Например, Вы проверили отпечаток ключа и сверили идентификатор пользователя на ключе с его фотографическим идентификатором. | |||||||||||||||||||||||||||
3 означает, что Вы тщательно проверили достоверность ключа. Например, Вы сверили отпечаток имеющейся у Вас копии ключа с тем, который лично сообщил Вам владелец ключа, проверили по документам личность владельца ключа и сверили его имя с тем, которое указано в идентификаторе пользователя на ключе, и, наконец, убедились (путём переписки), что указанный в идентификаторе ключа адрес электронной почты, принадлежит владельцу ключа. | |||||||||||||||||||||||||||
Заметим, что приведённые выше примеры для уровней 2 и 3 это только примеры. В конечном счёте, решение вопроса о том какая проверка является поверхностной, а какая тщательной остаётся за Вами. | |||||||||||||||||||||||||||
Значением по умолчанию является 0 (уровень не указан). | |||||||||||||||||||||||||||
--trusted-key long key ID | Предполагать, что указанный ключ (который должен быть задан полным 8ми байтовым идентификатором ключа) достоверен, как один из Ваших секретных ключей. Данный параметр применим если Вы не хотите хранить Ваши секретные ключи (или один из них) на данном компьютере, но хотите сохранить возможность проверять достоверность ключей Ваших корреспондентов. | ||||||||||||||||||||||||||
--trust-model pgp|classic|always |
Установить модель доверия, которой должен следовать GnuPG.
Имеются следующие модели:
| ||||||||||||||||||||||||||
--always-trust | Идентичен --trust-model always. Данный параметр использовать не рекомендуется. | ||||||||||||||||||||||||||
--keyid-format short|0xshort|long|0xlong | Позволяет выбрать формат отображения идентификаторов ключей. "short" -- это традиционный 8-символьный идентификатор ключа. "long" -- более точный (но менее распространённый) 16-символьный идентификатор ключа. Добавление "0x" к формату приводит к добавлению "0x" к идентификатору ключа, например, 0x99242560. | ||||||||||||||||||||||||||
--keyserver name | Использовать сервер ключей name. Это сервер который будет использоваться для получения, отправки и поиска ключей при использовании команд --recv-keys, --send-keys и --search-keys. Формат name это URI: scheme:[//]keyservername[:port] Схема -- это тип сервера ключей: "hkp" для HTTP (или совместимых) серверов, "ldap" для NAI LDAP серверов, "mailto" для Graf email keyserver. Заметим, что конкретная инсталяция GnuPG может допускать и другие типы серверов ключей. Имена схем используются без учета регистра. | ||||||||||||||||||||||||||
Большинство серверов ключей синхронизируются друг с другом, т.о. нет необходимости посылать ключи более чем на один сервер. Имя "hkp://subkeys.pgp.net" является псевдонимом для нескольких серверов ключей. | |||||||||||||||||||||||||||
--keyserver-options parameters |
Данная строка содержит список разделённых пробелами или запятыми
параметров сервера ключей. Параметры могут предваряться префиксом no-
для получения обратного значения.
Не все параметры допустимы для любого
типа сервера ключей. Основные параметры следующие:
| ||||||||||||||||||||||||||
--import-options parameters |
В качестве аргумента указывается строка, в которой, через пробелы или
запятые, перечислены параметры импорта ключей. Параметры могут
предваряться no- для получения обратного значения. Допустимые
параметры:
| ||||||||||||||||||||||||||
--export-options parameters |
В качестве аргумента указывается строка, в которой, через пробелы или
запятые, перечислены параметры экспорта ключей. Параметры могут
предваряться no- для получения обратного значения. Допустимые
параметры:
| ||||||||||||||||||||||||||
--list-options parameters |
Это список разделённых пробелами или запятыми параметров, используемых
при выводе списков ключей и подписей (такими командами, как --list-keys,
--list-sigs, --list-public-keys, --list-secret-keys и функциями
--edit-key). Параметры могут предваряться префиксом no- для придания
им противоположного значения. Имеются следующие параметры:
| ||||||||||||||||||||||||||
--verify-options parameters |
Это список разделённых пробелами или запятыми параметров, используемых
при проверке подписей. Параметры могут предваряться префиксом no-
для придания им противоположного значения. Имеются следующие параметры:
| ||||||||||||||||||||||||||
--show-photos | |||||||||||||||||||||||||||
--no-show-photos | Приводит к тому, что при выполнении команд --list-keys, --list-sigs, --list-public-keys, --list-secret-keys и проверке подписей выводятся фотографические идентификаторы связанные с ключом, если таковые имеются. См. также --photo-viewer. Использовать данный параметр не рекомендуется. Вместо него лучше использовать --list-options [no-]show-photos и/или --verify-options [no-]show-photos. --no-show-photos отменяет действие параметра. | ||||||||||||||||||||||||||
--photo-viewer string | Определяет командную строку, которая должна быть выполнена для просмотра фотографического идентификатора. "%i" раскрывается в имя файла, содержащего фотографию. "%I" делает то же самое, но файл не будет удалён после выхода из программы просмотра. "%k" заменяется идентификатором ключа, "%K" -- длинным идентификатором ключа, "%f" -- отпечатком ключа, "%t" -- расширением для данного типа изображений (напр., "jpg"), "%T" -- MIME типом изображения (напр., "image/jpeg"), и "%%" -- знаком процента. Если не используется ни "%i", ни "%I", то фотография передаётся на стандартный ввод команды просмотра. | ||||||||||||||||||||||||||
Значение по умолчанию: "xloadimage -fork -quiet -title KeyID 0x%k stdin" Заметьте, что если Ваша программа просмотра не защищена, то вызов из GnuPG не сделает её защищённой. | |||||||||||||||||||||||||||
--exec-path string | Устанавливает список каталогов, используемых для поиска программы просмотра фотографий и помощника сервера ключей. Если параметр не задан, то для помощника сервера ключей используется каталог определённый при компиляции, а для программы просмотра фотографий используется переменная окружения $PATH. | ||||||||||||||||||||||||||
--show-keyring | Выводить имя связки ключей в начале вывода списка ключей, чтобы показать в какой связке хранится ключ. Применять параметр не рекомендуется. Вместо него следует использовать --list-options [no-]show-keyring | ||||||||||||||||||||||||||
--keyring file | Добавить file к текущему списку наборов ключей. Если file начинается с тильды и символа косой черты, то они заменяются значением домашнего каталога. Если имя файла не содержит символа косой черты, то предполагается, что файл находится в домашнем каталоге GnuPG ("~/.gnupg" если не заданы параметр --homedir и переменная $GNUPGHOME). | ||||||||||||||||||||||||||
Заметьте, что параметр добавляет связку к текущему списку. Если нужно использовать только данную связку ключей, то параметр следует задавать совместно с --no-default-keyring. | |||||||||||||||||||||||||||
--secret-keyring file | То же, что и --keyring но для наборов секретных ключей. | ||||||||||||||||||||||||||
--primary-keyring file | Назначает файл file главной связкой открытых ключей. Это значит, что новые импортируемые ключи (через --import или --recv-keys) будут добавляться в эту связку. | ||||||||||||||||||||||||||
--trustdb-name file | Использовать file вместо базы данных о довериях по умолчанию. Если file начинается с тильды и косой черты, то они заменяются значением переменной окружения $HOME. Если имя файла не содержит косой черты, то предполагается, что он находится в домашнем каталоге GnuPG ("~/.gnupg", если не заданы --homedir и $GNUPGHOME). | ||||||||||||||||||||||||||
--homedir directory | Установить имя домашнего каталога равным directory Если данный параметр не установлен, то по умолчанию используется "~/.gnupg". Игнорируется в файле параметров. Перекрывает значение переменной окружения $GNUPGHOME. | ||||||||||||||||||||||||||
--display-charset name |
Установить используемый набор символов. Используется при преобразовании
некоторых строк, таких как идентификаторы пользователя, в кодировку
UTF-8. Если параметр не задан, то набор символов определяется по
текущей локали. Набор символов выводится при
использовании 3х -v в командной строке.
Допустимые значения name:
| ||||||||||||||||||||||||||
--utf8-strings | |||||||||||||||||||||||||||
--no-utf8-strings | Полагать, что аргументы заданы как строки в кодировке UTF8. По умолчанию (--no-utf8-strings), предполагается что строки закодированы в наборе символов определённом параметром --display-charset. Данный параметр оказывает влияние на все последующие аргументы. Оба параметра могут присутствовать в командной строке произвольное число раз. | ||||||||||||||||||||||||||
--options file | Считать параметры из файла file и не пытаться использовать файл по умолчанию. Данный параметр игнорируется если он указан в файле параметров. | ||||||||||||||||||||||||||
--no-options | Сокращение для "--options /dev/null". Данный параметр определяется до открытия файла параметров. Предотвращает, также, создание каталога "~./gnupg". | ||||||||||||||||||||||||||
--load-extension name | Загрузить модуль расширения. Если name не содержит косой черты, то модуль ищется в каталоге заданном при компиляции (обычно "/usr/local/lib/gnupg"). Расширения, как правило, больше не используются, и использование данного параметра не желательно. | ||||||||||||||||||||||||||
--debug flags | Установить отладочные флаги. Все флаги объединяются при операцией OR и flags может быть задан в стиле C (напр., 0x0042). | ||||||||||||||||||||||||||
--debug-all | Установить все используемые отладочные флаги. | ||||||||||||||||||||||||||
--debug-ccid-driver | Включить вывод отладочной информации CCID драйвера для смарткарт. Заметьте, что данный параметр доступен не на всех системах. | ||||||||||||||||||||||||||
--enable-progress-filter | Включает вывод информации о ходе выполнения работы. Данный параметр позволяет оболочкам отображать индикатор прогресса при обработке gpg больших файлов. При использовании параметра немного снижается производительность. | ||||||||||||||||||||||||||
--status-fd n | Выводить строки состояния в файл с дескриптором n. См. файл DETAILS в документации. | ||||||||||||||||||||||||||
--logger-fd n | Выводить журнал в файл с дескриптором n, а не на стандартный вывод. | ||||||||||||||||||||||||||
--attribute-fd n | Выводить подпакеты атрибутов в файл с дескриптором n. Наиболее применимо при использовании совместно с --status-fd, т.к. сообщения состояния должны быть отделены от различных подпакетов. | ||||||||||||||||||||||||||
--sk-comments | |||||||||||||||||||||||||||
--no-sk-comments | Экспортировать пакеты комментариев для секретных ключей при экспорте секретных ключей. Это расширение GnuPG стандарта OpenPGP. Отключено по умолчанию. Заметьте, что этот параметр не имеет ничего общего с комментариями в прозрачных подписях и заголовках ASCII формата. --no-sk-comments отменяет действие параметра. | ||||||||||||||||||||||||||
--comment string | |||||||||||||||||||||||||||
--no-comments | Использовать string в качестве комментария в прозрачных подписях, ASCII закодированных сообщениях и ключах (см. --armor). По умолчанию строка комментария отсутствует. --comment может быть указан несколько раз для получения нескольких строк комментариев. --no-comments удаляет все комментарии. | ||||||||||||||||||||||||||
--emit-version | |||||||||||||||||||||||||||
--no-emit-version | Приводит к включению строки версии в вывод в ASCII формате. --no-emit-version отключает параметр. | ||||||||||||||||||||||||||
--sig-notation name=value | |||||||||||||||||||||||||||
--cert-notation name=value | |||||||||||||||||||||||||||
-N, --set-notation name=value | Поместить пару имя - значение в подпись, как примечание. name должно содержать только печатные символы или пробелы, и должен содержать символ @. Это делается с целью предотвратить засорение зарезервированного IETF пространства имён. Флаг --expert отменяет проверку наличия @. value может быть любой печатной строкой; эта строка будет закодирована в UTF8, так что Вам следует проверить корректность установки параметра --display-charset. Если Вы предварите name восклицательным знаком (!), то примечание будет помечено как критическое (rfc2440:5.2.3.15). --sig-notation устанавливает примечание для подписи данных, --cert-notation для подписи ключей (сертификации), --set-notation устанавливает оба параметра. | ||||||||||||||||||||||||||
Имеются специальные коды, которые могут использоваться в примечаниях. "%k" будет заменён идентификатором подписываемого ключа, "%K" - длинным идентификатором подписываемого ключа, "%f" - отпечатком подписываемого ключа, "%s" - идентификатором ключа используемого для подписи, "%S" - длинным идентификатором ключа используемого для подписи, "%g" - отпечатком ключа (подключа) используемого для подписи, "%p" - отпечатком главного ключа ключа используемого для подписи, "%c" - счётчиком подписей OpenPGP смарткарты, "%%" будет заменён одним знаком "%". %k, %K, и %f имеют смысл только при подписи ключей (сертификации), а %c только при использовании OpenPGP смарткарты. | |||||||||||||||||||||||||||
--show-notation | |||||||||||||||||||||||||||
--no-show-notation | Показывать примечания в подписях при выполнении команд --list-sigs и --check-sigs и проверке подписей, содержащих примечания. Использовать данный параметр не рекомендуется. Используйте вместо него --list-options [no-]show-notation и/или --verify-options [no-]show-notation. | ||||||||||||||||||||||||||
--sig-policy-url string | |||||||||||||||||||||||||||
--cert-policy-url string | |||||||||||||||||||||||||||
--set-policy-url string | Использовать string в качестве URL политики для подписей (rfc2440:5.2.3.19). Если Вы предварите его восклицательным знаком (!), то пакет с URL будет помечен как критический. --sig-policy-url устанавливает URL политики подписи данных, --cert-policy-url URL политики подписи ключей (сертификации), а -set-policy-url устанавливает оба параметра. | ||||||||||||||||||||||||||
Доступны те же подстановки с %, что и для примечаний. | |||||||||||||||||||||||||||
--show-policy-url | |||||||||||||||||||||||||||
--no-show-policy-url | Показывать URL политик при выполнении команд --list-sigs и --check-sigs и проверке подписей, содержащих URL политик. Использовать данный параметр не рекомендуется. Используйте вместо него --list-options [no-]show-policy-url и/или --verify-options [no-]show-policy-url. | ||||||||||||||||||||||||||
--sig-keyserver-url string | Использовать string в качестве URL предпочитаемого сервера ключей в подписях данных. Если Вы предварите его восклицательным знаком, то пакет с URL сервера ключей будет помечен как критический. | ||||||||||||||||||||||||||
Доступны те же подстановки с %, что и для примечаний. | |||||||||||||||||||||||||||
--set-filename string | Использовать string как имя файла, содержащегося в сообщении. По умолчанию используется действительное имя зашифровываемого файла. | ||||||||||||||||||||||||||
--for-your-eyes-only | |||||||||||||||||||||||||||
--no-for-your-eyes-only | Устанавливает в сообщении флаг for your eyes only. Это приводит к тому, что GnuPG не сохраняет расшифрованный файл если не указан параметр --output, а PGP использует "secure viewer" для вывода сообщения. Данный параметр перекрывает значение параметра --set-filename. --no-for-your-eyes-only отменяет действие параметра. | ||||||||||||||||||||||||||
--use-embedded-filename | |||||||||||||||||||||||||||
--no-use-embedded-filename | Попытаться создать файл с именем указанным в данных. Может быть небезопасной, т.к. позволяет перезаписывать файлы. По умолчанию отключено. | ||||||||||||||||||||||||||
--completes-needed n | Число подписей на ключе, сделанных пользователями которым Вы полностью доверяете, необходимых для признания ключа достоверным (по умолчанию 1). | ||||||||||||||||||||||||||
--marginals-needed n | Число подписей на ключе, сделанных пользователями которым Вы доверяете не полностью, необходимых для признания ключа достоверным (по умолчанию 3). | ||||||||||||||||||||||||||
--max-cert-depth n | Максимальная длина цепочки сертификации (по умолчанию 5). | ||||||||||||||||||||||||||
--cipher-algo name | Использовать алгоритм шифрования name. Запуск программы с командой --version выводит список поддерживаемых алгоритмов шифрования. Если данный параметр не используется, то алгоритм шифрования выбирается из указанных в списке предпочтений ключа. | ||||||||||||||||||||||||||
--digest-algo name | Использовать хэш-функцию name. Запуск программы с командой --version выводит список поддерживаемых хэш-функций. | ||||||||||||||||||||||||||
--compress-algo name | Использовать алгоритм сжатия name. "zlib" для алгоритма ZLIB определённого в RFC1950. "zip" для алгоритма ZIP определённого в RFC-1951 и используемого PGP. "bzip2" более современный алгоритм сжатия, который может сжимать в некоторых случаях лучше, но требует большего объёма памяти. "uncompressed" или "none" отключает сжатие. Если данный параметр не задан, то по умолчанию используется алгоритм указанный в ключе получателя в качестве предпочитаемого. Если определить алгоритм не удаётся, то используется ZIP для достижения максимальной совместимости. | ||||||||||||||||||||||||||
ZLIB обеспечивает большее сжатие, по сравнению с ZIP, т.к. не ограничивает размер окна величиной 8кбайт. BZIP2 даёт ещё лучшие результаты, но использует значительно больше памяти, что может быть значимым при ограниченном объёме памяти. Заметим, однако, что PGP (все версии) поддерживает только ZIP. Использование алгоритмов отличных от ZIP или "none" делает сообщение нечитабельным для PGP. | |||||||||||||||||||||||||||
--cert-digest-algo name | Использовать хэш-функцию name при подписи ключа. Запуск программы с командой --version выводит список поддерживаемых хэш-функций. Будьте осторожны, т.к. если Вы выберете алгоритм поддерживаемый GnuPG, но не поддерживаемый другими реализациями OpenPGP, то некоторые пользователи не смогут использовать сделанную Вами подпись, или даже весь ключ. | ||||||||||||||||||||||||||
--s2k-cipher-algo name | Использовать для защиты секретного ключа алгоритм шифрования name. По умолчанию используется CAST5. Данный алгоритм используется, также, для симметричного шифрования, в случае если не заданы параметры --personal-cipher-preferences и --cipher-algo. | ||||||||||||||||||||||||||
--s2k-digest-algo name | Использовать хэш-функцию name для обработки ключевой фразы (пароля). По умолчанию используется SHA-1. | ||||||||||||||||||||||||||
--s2k-mode n | Определяет метод обработки ключевой фразы (пароля). Если n равен 0, то ключевая фраза не обрабатывается (не рекомендуется), если 1, то к ключевой фразе добавляется "соль" (случайные данные) и если 3 (используется по умолчанию), то весь процесс повторяется несколько раз. Если не задан параметр --rfc1991, то данный режим используется и при симметричном шифровании. | ||||||||||||||||||||||||||
--simple-sk-checksum | Целостность секретных ключей защищается при помощи контрольной суммы SHA-1. Данный метод является частью расширенной спецификации OpenPGP, но GnuPG уже использует его в качестве контрмеры против некоторых атак. Старые приложения не понимают новый формат, и данный параметр может использоваться для передачи секретных ключей таким приложениям. Использование данного параметра рисковано с точки зрения безопасности. Заметьте, что параметр оказывает эффект только при шифровании секретного ключа, простейший способ добиться этого - сменить пароль на ключе (пусть даже на тот же самый). | ||||||||||||||||||||||||||
--disable-cipher-algo name | Никогда не использовать алгоритм шифрования name. Заданное имя не проверяется, поэтому алгоритм загруженный позже останется отключенным. | ||||||||||||||||||||||||||
--disable-pubkey-algo name | Никогда не использовать алгоритм с открытым ключом name. Заданное имя не проверяется, поэтому алгоритм загруженный позже останется отключенным. | ||||||||||||||||||||||||||
--no-sig-cache | Не кэшировать информацию о состоянии проверки подписей. Кэширование значительно увеличивает производительность при выводе списка ключей. Однако, если Вы сомневаетесь в защищенности Вашего набора открытых ключей от изменений, то можете использовать данный параметр для отключения кэширования. Вероятно данная операция лишена особого смысла, поскольку если кто-либо имеет доступ на запись в Ваш набор открытых ключей, то он может выполнить любые виды повреждений. | ||||||||||||||||||||||||||
--no-sig-create-check | GnuPG, как правило, проверяет каждую подпись после её создания для защиты от ошибок и сбоев аппаратной части, которые могут привести к изменению битов секретного ключа. Эта дополнительная проверка занимает некоторое время (около 115% для DSA ключей). Данный параметр используется для отключения проверки. Однако, поскольку создание подписи происходит в интерактивном режиме, выигрыш времени от установки данного параметра будет незаметен в большинстве конфигураций. | ||||||||||||||||||||||||||
--auto-check-trustdb | |||||||||||||||||||||||||||
--no-auto-check-trustdb | Если GnuPG полагает, что информация в сети доверия должна быть обновлена, то он автоматически выполняет команду --check-trustdb. Процесс обновления может занимать некоторое время. --no-auto-check-trustdb отключает автоматическую проверку. | ||||||||||||||||||||||||||
--throw-keyids | |||||||||||||||||||||||||||
--no-throw-keyids | Не помещать идентификатор ключа в зашифрованный пакет. Данный параметр скрывает получателя сообщения и является контрмерой против анализа траффика. Расшифровка сообщения может происходить медленнее, поскольку GnuPG будет пытаться использовать все доступные секретные ключи до нахождения правильного. --no-throw-keyids отменяет действие данного параметра. | ||||||||||||||||||||||||||
--not-dash-escaped | Данный параметр изменяет правила создания прозрачных подписей таким образом, что они могут использоваться для патчей. Вы не должны посылать такие файлы электронной почтой, т.к. при подписи учитываются все пробелы и символы перевода строки. Вы не можете использовать данный параметр для данных содержащих строки начинающиеся с пяти дефисов. В начало подписи добавляется специальный заголовок, указывающий GnuPG на использование данного параметра. | ||||||||||||||||||||||||||
--escape-from-lines | |||||||||||||||||||||||||||
--no-escape-from-lines | Поскольку многие почтовые агенты меняют "From " в начале строк на "<From ", то разумно обрабатывать такие строки особым образом при создании прозрачных подписей для предотвращения ошибок при проверке подписей. Заметим, что все прочие реализации PGP поступают таким же образом. Данный параметр включен по умолчанию. --no-escape-from-lines позволяет отключить этот параметр. | ||||||||||||||||||||||||||
--passphrase-fd n | Считать ключевую фразу из файла с дескриптором n. Если Вы используете 0 для n, то пароль будет считан со стандартного ввода. Данный параметр может использоваться в случае если требуется только одна ключевая фраза. Не используйте данный параметр если можете избежать этого. | ||||||||||||||||||||||||||
--command-fd n | Это замена для нерекомендуемого режима разделяемой памяти IPC. Если параметр задан, то ввод команд пользователя считывается не с терминала, а из файла с указанным дескриптором. Рекомендуется использовать совместно в --status-fd. См. файл doc/DETAILS в исходном дистрибутиве для более подробного описания. | ||||||||||||||||||||||||||
--use-agent | |||||||||||||||||||||||||||
--no-use-agent | Пытаться использовать GnuPG-Agent. Заметьте, что данный агент находится в стадии разработки. Если параметр установлен, то GnuPG сначала пытается подключиться к агенту, а если это не удаётся, то запрашивает пароль. --no-use-agent отключает использование агента. | ||||||||||||||||||||||||||
--gpg-agent-info | Перекрывает значение переменной окружения GPG_AGENT_INFO. Используется только при включенном параметре --use-agent. | ||||||||||||||||||||||||||
Параметры совместимости |
Эти параметры управляют совместимостью GnuPG с другими реализациями.
Только один из этих параметров может быть активен. Заметьте, что
установки используемые по умолчанию практически всегда корректны. Перед
использованием любого из этих параметров ознакомьтесь с разделом
ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ПРОГРАММАМИ OPENPGP ниже в данном руководстве.
| ||||||||||||||||||||||||||
--force-v3-sigs | |||||||||||||||||||||||||||
--no-force-v3-sigs | Стандарт OpenPGP рекомендует, чтобы приложения генерировали подписи v4, но PGP версий 5, 6 и 7 распознаёт такие подписи только на ключах. Данный параметр принуждает GnuPG использовать для подписи данных подписи v3. Заметьте, что данный параметр отменяет --ask-sig-expire, т.к. v3 подписи не имеют срока действия. --no-force-v3-sigs отменяет действие данного параметра. | ||||||||||||||||||||||||||
--force-v4-certs | |||||||||||||||||||||||||||
--no-force-v4-certs | Всегда использовать v4 подписи на ключах, даже если это v3 ключи. Данный параметр, кроме того, меняет используемую по умолчанию хэш-функцию для v3 RSA ключей с MD5 на SHA-1. --no-force-v4-certs отменяет действие данного параметра. | ||||||||||||||||||||||||||
--force-mdc | Принуждает GnuPG использовать шифрование с кодом обнаружения изменений. Всегда используется с более новыми шифрами (с размером блока более 64 бит) или если все ключи получателя поддерживают MDC. | ||||||||||||||||||||||||||
--disable-mdc | Отключает использование кода обнаружения изменений. Заметьте, что при использовании данного параметра зашифрованные сообщения становятся уязвимы для атак изменения сообщений. | ||||||||||||||||||||||||||
--allow-non-selfsigned-uid | |||||||||||||||||||||||||||
--no-allow-non-selfsigned-uid | Разрешает импорт и использование ключей с несамоподписанным идентификатором пользователя. Не рекомендуется для использования, т.к. такой идентификатор пользователя легко подделать. --no-allow-non-selfsigned-uid отменяет действие данного параметра. | ||||||||||||||||||||||||||
--allow-freeform-uid | Отключает проверку формата идентификатора пользователя при его создании. Данный параметр рекомендуется использовать только в особых случаях, т.к. он не гарантирует являющийся стандартом де-факто формат идентификатора пользователя. | ||||||||||||||||||||||||||
--ignore-time-conflict | GnuPG, обычно, проверяет правдоподобность значений меток времени, связанных с ключами и подписями. Однако, иногда подпись оказывается старше ключа из-за проблем с часами. Данный параметр позволяет ограничиваться в подобных случаях предупреждением. См. также параметр --ignore-valid-from, используемый для разрешения проблем с неправильным временем на подключах. | ||||||||||||||||||||||||||
--ignore-valid-from | GnuPG, как правило, не позволяет выбирать и использовать ключи созданные в будущем. Данный параметр разрешает использование таких ключей. Вы не должны использовать данный параметр если у Вас нет серьёзных проблем с часами. См. также --ignore-time-conflict для разрешения проблем с неправильным временем на подписях. | ||||||||||||||||||||||||||
--ignore-crc-error | ASCII формат, используемый OpenPG защищается контрольной суммой CRC для защиты от ошибок при передаче. Случается, что эта контрольная сумма искажается при передаче сообщения, но сама информация (защищенная протоколом OpenPGP) остаётся достоверной. Данный параметр позволяет игнорировать ошибки контрольной суммы. | ||||||||||||||||||||||||||
--ignore-mdc-error | При использовании данного параметра, в случае нарушения целостности MDC только выдаётся предупреждение. Может использоваться в случае частичного повреждения сообщения, если необходимо извлечь как можно больше данных из повреждённого сообщения. Однако, учтите, что нарушение целостности MDC может свидетельствовать о подделке сообщения. | ||||||||||||||||||||||||||
--lock-once | Блокировать базы данных при первом запросе и не снимать блокировку до завершения процесса. | ||||||||||||||||||||||||||
--lock-multiple | Снимать блокировку каждый раз когда она больше не нужна. Используется для перезаписи --lock-once из файла конфигурации. | ||||||||||||||||||||||||||
--lock-never | Полностью отменить блокировки. Данный параметр должен использоваться только в очень специфических средах, когда можно быть уверенным, что только один процесс имеет доступ к файлам. Загрузочная дискета с системой шифрования на ней может служить примером использования данного параметра. Неправильное использование донного параметра может привести к повреждению ключей и данных. | ||||||||||||||||||||||||||
--no-random-seed-file | GnuPG использует файл для хранения внутреннего пула случайных чисел между запусками. Это ускоряет генерацию случайных чисел; однако в некоторых случаях операции записи не допускаются. Данный параметр может быть использован в такой ситуации ценой замедления генерации случайных чисел. | ||||||||||||||||||||||||||
--no-verbose | Сбросить уровень детальности вывода в 0. | ||||||||||||||||||||||||||
--no-greeting | Подавляет вывод сообщения об авторских правах. | ||||||||||||||||||||||||||
--no-secmem-warning | Подавляет вывод предупреждения об использовании незащищенной памяти. | ||||||||||||||||||||||||||
--no-permission-warning | Подавляет вывод предупреждения о небезопасных правах доступа к файлам и домашнему каталогу (--homedir). Заметьте, что проверка прав доступа к файлам, выполняемая GnuPG, не является чем-то значительным, это просто предупреждение об общих проблемах с правами доступа к файлам. Не следует предполагать, что отсутствие предупреждений означает защищённость Вашей системы. | ||||||||||||||||||||||||||
Заметьте, также, что вывод предупреждения о небезопасных правах доступа к домашнему каталогу не может быть отключен из файла конфигурации, т.к. это позволило бы взломщику легко подменить незащищённый файл конфигурации gpg.conf и подавить вывод предупреждения из него. Поэтому вывод предупреждения может быть отключен только из командной строки. | |||||||||||||||||||||||||||
--no-mdc-warning | Подавляет вывод предупреждения об отсутствии защиты целостности с помощью MDC. | ||||||||||||||||||||||||||
--require-secmem | |||||||||||||||||||||||||||
--no-require-secmem | Запретить выполнение если GnuPG не может использовать безопасную память. По умолчанию отключено (т.е. GnuPG запускается, но выдаёт предупреждение). | ||||||||||||||||||||||||||
--no-armor | Предполагать, что входные данные не в ASCII формате. | ||||||||||||||||||||||||||
--no-default-keyring | Не добавлять связки ключей по умолчанию к списку связок ключей. Заметьте, что GnuPG не будет работать совсем без связок, поэтому при использовании данного параметра нужно указать используемые связки при помощи параметров --keyring или --secret-keyring, иначе будут использоваться связки открытых или закрытых ключей принятые по умолчанию. | ||||||||||||||||||||||||||
--skip-verify | Пропустить проверку подписи. Этот параметр может использоваться для ускорения расшифрования если проверка подписи не требуется. | ||||||||||||||||||||||||||
--with-colons | Вывести список ключей в виде полей разделённых двоеточиями. Заметьте, что вывод будет закодирован в UTF-8 независимо от значения параметра --display-charset. Данный формат удобен при вызове из сценариев и других программ, т.к. он легко обрабатывается. Подробное описание формата находится в файле doc/DETAILS, который содержится в дистрибутиве с исходным кодом GnuPG. | ||||||||||||||||||||||||||
--with-key-data | Вывести список ключей в виде полей разделённых двоеточиями (как и при использовании --with-colons) и вывести данные открытых ключей. | ||||||||||||||||||||||||||
--with-fingerprint | То же, что и --fingerprint но изменяет только формат вывода и может использоваться с другой командой. | ||||||||||||||||||||||||||
--fast-list-mode | Ускоряет работу команд выводящих список ключей; за счёт сокращения объёма выводимой информации. Некоторым приложениям не нужен идентификатор пользователя и информация об уровне доверия. Используя данный параметр они могут ускорить вывод списка. Точное поведение данной команды может измениться в будущих версиях. | ||||||||||||||||||||||||||
--fixed-list-mode | Не объединять первичный идентификатор пользователя и первичный ключ при выводе в режиме --with-colon и выводить все метки времени в секундах с 1970-01-01. | ||||||||||||||||||||||||||
--list-only | Изменяет работу некоторых команд. Схожа с --dry-run, но отличается в некоторых случаях. Семантика параметра может в будущем быть расширена. В настоящее время он только пропускает дешифрование и поэтому ускоряет вывод списка ключей шифрования. | ||||||||||||||||||||||||||
--no-literal | Параметр не предназначен для обычного использования. Подробности применения смотрите в исходных текстах программы. | ||||||||||||||||||||||||||
--set-filesize | Параметр не предназначен для обычного использования. Подробности применения смотрите в исходных текстах программы. | ||||||||||||||||||||||||||
--show-session-key | Показать сеансовый ключ, использованный для зашифровки данного сообщения. См. также --override-session-key. | ||||||||||||||||||||||||||
Данный параметр может использоваться в случае если Вас принуждают открыть содержимое отдельного зашифрованного сообщения. Используя данный параметр Вы можете получить сеансовый ключ, которым зашифровано сообщение. При помощи сеансового ключа Вы можете открыть сообщение не раскрывая секретный ключ и не компрометируя остальные сообщения, зашифрованные для того же секретного ключа. НЕ ИСПОЛЬЗУЙТЕ ДАННЫЙ ПАРАМЕТР БЕЗ КРАЙНЕЙ НЕОБХОДИМОСТИ. | |||||||||||||||||||||||||||
--override-session-key string | Не использовать сеансовый ключ зашифрованный открытым ключом, а воспользоваться ключом string. Формат параметра аналогичен выводимому при использовании --show-session-key. Данный параметр используется в том случае, если Вас принуждают открыть содержимое зашифрованного сообщения; используя данный параметр Вы можете это сделать без использования секретного ключа. | ||||||||||||||||||||||||||
--ask-sig-expire | |||||||||||||||||||||||||||
--no-ask-sig-expire | При подписи данных запрашивать срок действия подписи. Если параметр не задан, то подпись бессрочная. --no-ask-sig-expire отменяет действие данного параметра. | ||||||||||||||||||||||||||
--ask-cert-expire | |||||||||||||||||||||||||||
--no-ask-cert-expire | При подписи ключа запрашивать срок действия подписи. Если параметр не задан, то подпись бессрочная. --no-ask-cert-expire отменяет действие данного параметра. | ||||||||||||||||||||||||||
--expert | |||||||||||||||||||||||||||
--no-expert | Позволяет пользователю выполнять некоторые нелепые или бессмысленные операции, например, подписывать просроченные и отозванные ключи, или операции нарушающие совместимость, например, генерировать ключи нерекомендуемых типов. Также отключает вывод некоторых предупреждающих сообщений о потенциально несовместимых действиях. В общем, как следует из названия, данный параметр только для специалистов. Если Вы не понимаете полностью последствий тех действий, которые позволяет выполнить этот параметр, лучше оставьте его отключенным. --no-expert отменяет действие данного параметра. | ||||||||||||||||||||||||||
--allow-secret-key-import | Устаревший параметр, больше не используется. | ||||||||||||||||||||||||||
--try-all-secrets | Не обращать внимания на идентификатор ключа указанный в сообщении, но перепробовать все имеющиеся секретные ключи, пока не найдётся правильный ключ для расшифрования сообщения. Данный параметр принудительно устанавливает режим используемый при расшифровке сообщений для анонимных получателей (созданных с помощью --throw-keyids) и может быть полезен в случае если зашифрованное сообщение содержит неправильный идентификатор ключа. | ||||||||||||||||||||||||||
--enable-special-filenames | Данный параметр включает режим в котором имена файлов вида -&n, где n -- неотрицательное десятичное число, обозначают файл с дескриптором n. | ||||||||||||||||||||||||||
--no-expensive-trust-checks | Только для экспериментального использования. | ||||||||||||||||||||||||||
--group name=value1 [value2 value3 ...] | Определить именованную группу, подобную алиасам в почтовых программах. При использовании имени группы в качестве получателя (-r or --recipient), она будет преобразовываться в список заданных значений. Если задать несколько групп с одним именем, то они автоматически будут объединены в одну. | ||||||||||||||||||||||||||
В качестве аргумента указывается имя группы, а затем, после знака =, key IDs или отпечатки ключей, но допускаются и любые другие описания ключа. Заметьте, что значение с пробелами будет интерпретироваться как два различных значения. Также, заметьте, что преобразование одноуровневое - Вы не можете добавить группу в другую группу. При использовании параметра из командной строки, может оказаться необходимым заключить аргумент в кавычки, для предотвращения его интерпретации оболочкой, как нескольких параметров. | |||||||||||||||||||||||||||
--ungroup name | Удалить заданную запись из списка --group. | ||||||||||||||||||||||||||
--no-groups | Удаляет все записи из списка --group. | ||||||||||||||||||||||||||
--preserve-permissions | Не изменять права доступа к файлу с набором секретных ключей в режим доступа чтения/записи только для владельца. Используйте данный параметр только в том случае, если действительно понимаете зачем Вам это нужно. | ||||||||||||||||||||||||||
--personal-cipher-preferences string | Установить список персональных предпочтений шифров в string, этот список должен быть строкой, подобной той, что выводится командой "pref" в режиме редактирования. Это позволяет пользователю выбирать предпочитаемые им алгоритмы при выборе алгоритмов из указанных в ключе получателя. Первый шифр, указанный в данном списке, также используется командой --symmetric. | ||||||||||||||||||||||||||
--personal-digest-preferences string | Установить список персональных предпочтений хэш-функций в string, этот список должен быть строкой, подобной той, что выводится командой "pref" в режиме редактирования. Это позволяет пользователю выбирать предпочитаемые им алгоритмы при выборе алгоритмов из указанных в ключе получателя. Первая хэш-функция, указанная в данном списке, также используется при подписи без шифрования (--clearsign или --sign). Значение по умолчанию "H2", что соответствует SHA-1. | ||||||||||||||||||||||||||
--personal-compress-preferences string | Установить список персональных предпочтений алгоритмов сжатия в string, этот список должен быть строкой, подобной той, что выводится командой "pref" в режиме редактирования. Это позволяет пользователю выбирать предпочитаемые им алгоритмы при выборе алгоритмов из указанных в ключе получателя. Первый из алгоритмов, указанных в данном списке, также используется в тех случаях, когда ключ получателя отсутствует (например, --symmetric). | ||||||||||||||||||||||||||
--default-preference-list string | Установить список персональных предпочтений в string, этот список должен быть строкой, подобной той, что выводится командой "pref" в режиме редактирования. Команда влияет на генерацию ключа и команду "updpref" из режима редактирования. | ||||||||||||||||||||||||||
--list-config [names] | Вывести различные внутренние параметры конфигурации GnuPG. Данный параметр предназначен для использования внешними программами, которые используют GnuPG. См. подробности в файле doc/DETAILS в дистрибутиве GnuPG. --list-config используется только вместе с установленным параметром --with-colons. |
Как задать идентификатор пользователя
Имеется несколько способов указания идентификатора пользователя для GnuPG; ниже приведено несколько примеров:
Tag | Description |
---|---|
234567C4 | |
0F34E556E | |
01347A56A | |
0xAB123456 | Это идентификатор ключа заданный в обычной коротком формате. |
234AABBCC34567C4 | |
0F323456784E56EAB | |
01AB3FED1347A5612 | |
0x234AABBCC34567C4 | Здесь идентификатор ключа задан в длинном формате, как в OpenPGP (Вы можете получить длинный идентификатор ключа используя параметр --with-colons). |
1234343434343434C434343434343434 | |
123434343434343C3434343434343734349A3434 | |
0E12343434343434343434EAB3484343434343434 | |
0xE12343434343434343434EAB3484343434343434 | Наилучший способ задания ключа -- это использование его отпечатка. Это предотвращает любые неоднозначности в случае одинаковых идентификаторов ключей (которые крайне редки для длинных идентификаторов ключей). |
=Heinrich Heine <[email protected]> | Используется точное соответствие строке. Это указывается знаком равенства. |
<[email protected]> | Используется точное соответствие адреса электронной почты. Левая угловая скобка указывает, что используется ражим адреса электронной почты. |
+Heinrich Heine duesseldorf | Все слова должны точно соответствовать указанным (регистр символов не имеет значения) но могут присутствовать в идентификаторе пользователя в любом порядке. Слова могут быть любыми последовательностями букв, цифр, знаков подчеркивания и символов с установленным 7-м битом. |
Heine | |
*Heine | Идентификатор должен содержать заданную подстроку (регистр символов не имеет значения). Этот режим используется по умолчанию, но можно дополнительно задать его поместив символ звёздочки в начале. |
ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ
Программа возвращает 0 если все операции выполнены успешно, 1 если проверка хотя бы одной подписи была неудачной и другой код ошибки в случае фатальной ошибки.
ПРИМЕРЫ
Tag | Description |
---|---|
gpg -se -r Bob file | подписать и зашифровать для пользователя Bob |
gpg --clearsign file | создать прозрачную подпись |
gpg -sb file | создать отделённую подпись |
gpg --list-keys user_ID | показать ключ |
gpg --fingerprint user_ID | показать отпечаток ключа |
gpg --verify pgpfile | |
gpg --verify sigfile [files] | Проверить подпись на файле, но не выводить его содержимое. Вторая форма может использоваться для отделённых подписей, где sigfile --- отделённая подпись (двоичная или в ASCII формате), а [files] подписанные данные; если имя файла не задано, то оно образуется удалением расширения (".sig" или ".asc") у имени sigfile или запрашивается у пользователя. |
ПЕРЕМЕННЫЕ ОКРУЖЕНИЯ
Tag | Description |
---|---|
HOME | Домашний каталог пользователя. |
GNUPGHOME | Каталог, заменяющий "~/.gnupg". |
GPG_AGENT_INFO | Используется для определения местоположения gpg-agent; используется только если установлен параметр --use-agent. Значение состоит из 3 полей, разделённых двоеточиями. Первое -- путь к доменному сокету UNIX, второе -- идентификатор процесса gpg-agent, и третье -- версия протокола, которая должна быть равна 1. При запуске gpg-agent, как описано в документации, данной переменной присваивается корректное значение. Параметр --gpg-agent-info может использоваться для перекрытия значения данной переменной. |
http_proxy | Используется только если установлен параметр сервера ключей --honor-http-proxy. |
COLUMNS | |
LINES | Используется для установки размера некоторых дисплеев. |
ФАЙЛЫ
Tag | Description |
---|---|
~/.gnupg/secring.gpg | Набор секретных ключей |
~/.gnupg/secring.gpg.lock | и его файл блокировки |
~/.gnupg/pubring.gpg | Набор открытых ключей |
~/.gnupg/pubring.gpg.lock | и его файл блокировки |
~/.gnupg/trustdb.gpg | База данных доверия |
~/.gnupg/trustdb.gpg.lock | и её файл блокировки |
~/.gnupg/random_seed | используется для хранения внутреннего пула случайных чисел |
~/.gnupg/gpg.conf | Конфигурационный файл по умолчанию |
~/.gnupg/options | Файл конфигурации в предыдущих версиях. Используется если не найден gpg.conf |
/usr[/local]/share/gnupg/options.skel | Проотип файла параметров |
/usr[/local]/lib/gnupg/ | Каталог, в котором по умолчанию хранятся модули расширения |
EXAMPLES
GPG (GNU Privacy Guard) is a public key cryptography implementation. It allows for the secure transmission of information and can be used to verify that the origin of a message is genuine. Below are few examples of usage.
1. Generate Key Pair
$ gpg --gen-keyAbove command will take you through series of questions like type of encryption (DSA, RSA), key size, key validity days, Real name, email address, Pass phrase, etc. and generate public and private key.
2. Create revocation certificate
$ gpg --gen-revoke [email protected]This is required to invalidate the key pair and should be created when key pairs are created.
3. Import other's public key
$ gpg --import public_key_file
4. Sign the key received from other person
$ gpg --sign-key [email protected]Signing the key means, you trust the key which has been given to you.
5. Send the signed key back to sender
$ gpg --export --armor [email protected]
6. Import the received signed key
$ gpg --import signed_key_file_name
7. List public keys
$ gpg --list-keys
8. View private keys
$ gpg --list-secret-keys
9. Update keys
$ gpg --refresh-keys
10. Encrypt file for particular user
$ gpg --encrypt --recipient [email protected] file.txt
11. Encrypt file for multiple users
$ gpg --encrypt --recipient [email protected] --recepient [email protected] file.txt
12. Encrypt file for self
$ gpg --encrypt --recipient [email protected] file.txt
13. Decrypt text file
$ gpg --decrypt encrypted_file.txt.gpgThis will show the decrypted file in terminal window
14. Decrypt text/binary file
$ gpg encrypted_file.gpgThis will store the file with name encrypted_file (.gpg removed) to disk