directory"> file"> &ParmFile;"> files"> &ParmFiles;"> names"> &ParmNames;"> name"> &ParmName;"> key IDs"> &ParmKeyIDs"> n"> flags"> string"> value"> name=value"> name=value1 value2 value3 ..."> ]> gpg 1 GNU Tools инструмент для шифрования и цифровой подписи gpg --homedir --options command Данное руководство является частью GnuPG. GnuPG распространяется на условиях GNU General Public License, опубликованной Free Software Foundation; либо версии 2, либо (на Ваше усмотрение) любой более поздней версии. Данное руководство содержит только список доступных команд и параметров и соответствует версии GnuPG 1.2.5. Более подробная информация содержится в GNU Privacy Handbook (GPH) и других документах, которые можно найти на http://www.gnupg.org/documentation/ . Обратите внимание, что разбор параметров заканчивается сразу после того, как в командной строке встречается элемент не являющийся параметром. Вы можете принудительно прекратить разбор параметров, используя специальный параметр "--". -s, --sign Создать подпись. Данная команда может использоваться совместно с --encrypt. --clearsign Создать прозрачную подпись. -b, --detach-sign Создать отделённую подпись. -e, --encrypt Зашифровать данные. Может использоваться совместно с --sign. -c, --symmetric Зашифровать симметричным алгоритмом используя ключевую фразу (пароль). По умолчанию используется алгоритм CAST5. Для выбора другого алгортма можно воспользоваться параметром --cipher-algo. --store Создаёт пакет в соответствии с RFC1991. --decrypt &OptParmFile; Расшифровывает &ParmFile; (или стандартный ввод, если файл не задан) и выводит его на стандартный вывод (или в файл определённый параметром --output). Если расшифрованный файл подписан, то также проверяется подпись. Эта команда отличается от операции по умолчанию тем, что никогда не сохраняет результат в файле с именем указанным в зашифрованном файле и не обрабатывает файлы не начинающиеся с зашифрованного сообщения. --verify Предполагает, что - в качестве имени второго файла. По причинам безопасности, при использовании отделённой подписи, подписанный материал не может считываться со стандартного ввода без явного указания вышеозначенным образом. --multifile Изменяет поведение некоторых других команд так, чтобы они могли обрабатывать сразу несколько файлов. Имена файлов указываются в командной строке или подаются на стандартный ввод по одному в строке. Это позволяет обрабатывать множество файлов одной командой. В настоящее время --multifile может использоваться совместно с --verify, --encrypt, и --decrypt. Заметьте, что "--multifile --verify" не может использоваться для проверки отделённых подписей. --verify-files Идентична `--multifile --verify'. --encrypt-files Идентична `--multifile --encrypt'. --decrypt-files Идентична `--multifile --decrypt'. --list-keys &OptParmNames; --list-public-keys &OptParmNames; Выводит все ключи из связки открытых ключей, или только указанные в командной строке. Не следует использовать вывод данной команды в сценариях и других программах, т.к. формат вывода может меняться в разных версиях GnuPG. Для машинной обработки рекомендуется использовать вывод команды --with-colons. --list-secret-keys &OptParmNames; Выводит все ключи из связки секретных ключей, или только указанные в командной строке. Знак '#' после символов sec означает, что секретный ключ не используется (напр., если он был создан командой --export-secret-subkeys). --list-sigs &OptParmNames; То же, что и --list-keys, но дополнительно выводит подписи на ключах. Для каждой подписи может быть указано несколько флагов между тэгом "sig" и идентификатором ключа. Эти флаги содержат дополнительную информацию о каждой подписи. Цифры 1-3 указывают на уровень проверки сертификата (см. --ask-cert-check-level), "L" для локальной или неэкспортируемой подписи (см. --lsign-key), "R" для неотзываемой подписи (см. --nrsign-key), "P" для подписи которая содержит URL политики подписи (см. --cert-policy-url), "N" для подписи содержащей примечание (см. --cert-notation), "X" для подписи срок действия которой истёк. (см. --ask-cert-expire). --check-sigs &OptParmNames; То же, что и --list-sigs, но подписи проверяются. --fingerprint &OptParmNames; Выводит все ключи и их отпечатки. Это тот же вывод, что и у --list-keys, но для каждого ключа добавляется строка, содержащая его отпечаток. Может использоваться совместно с --list-sigs или --check-sigs. Если команда задана дважды, то выводятся отпечатки и для подчинённых ключей. --list-packets Выводит список пакетов. Используется, в основном, для отладки. --gen-key Генерирует новую пару ключей. Данная команда, как правило, используется только интерактивно. Имеется экспериментальная возможность, позволяющая генерировать ключи в пакетном режиме. Подробности в файле doc/DETAILS в исходном дистрибутиве. --edit-key &ParmName; Предоставляет меню, позволяющее выполнять все задачи по управлению ключами: sign Подписать ключ пользователя &ParmName;. Если ключ не был ещё подписан ключом пользователя по умолчанию ( или пользователя заданного параметром -u), то программа выводит информацию о ключе, вместе с отпечатком и запрашивает подтверждение на подпись ключа. Подтверждение запрашивается для каждого пользователя, заданного параметром -u. lsign То же, что и --sign, но подпись помечается как неэкспортируемая и никогда не передаётся другим пользователям. Может использоваться, чтобы сделать ключи действительными только в локальном окружении. nrsign То же, что и --sign, но подпись помечается как неотзываемая. nrlsign Объединяет функциональность nrsign и lsign, создавая неотзываемые и неэкспортируемые подписи. revsig Отозвать подпись. GnuPG запрашивает подтверждение генерации отзывающего сертификата для каждой подписи, которая была сделана одним из доступных секретных ключей. trust Изменить уровень доверия владельцу ключа. Обновляет базу данных доверия немедленно, не требуя сохранения. disable enable Пометить ключ как неиспользуемый (disable) или снять пометку (enable). Ключ помеченный как неиспользуемый не может использоваться для шифрования. adduid Создать альтернативный идентификатор пользователя. addphoto Добавить фотографический идентификатор пользователя. Команда запрашвает файл в формате JPEG, который добавляется в качестве идентификатора пользователя. Заметьте, что добавление фотографии приводит к соответствующему увеличению размера ключа. deluid Удалить идентификатор пользователя. delsig Удалить подпись. revuid Отозвать идентификатор пользователя. addkey Добавить подключ к текущему ключу. delkey Удалить подключ. addrevoker sensitive Добавить назначенного для отзыва. Имеет один необязательный аргумент: "sensitive". Если назначенный для отзыва помечен как sensitive, то он не будет экспортироваться по умолчанию (см. export-options). revkey Отозвать подключ. expire Изменить срок действия ключа. Если имеется выбранный подключ, то изменяется срок действия этого подключа. Если ни один подключ не выбран, то изменяется срок действия первичного ключа. passwd Изменить пароль, которым защищён секретный ключ. primary Пометить текущий идентификатор пользователя, как первичный. Если первичным устанавливается фотографический идентификатор пользователя, то он становится первичным по отношению к остальным фотографическим идентификаторам. Если устанавливается регулярный идентификатор, то он становится первичным по отношению к остальным регулярным идентификаторам. uid &ParmN; Установить/снять выбор идентификатора с номером &ParmN;. Значение 0 отменяет выбор всех идентификаторов. key &ParmN; Установить/снять выбор ключа с номером &ParmN;. Значение 0 отменяет выбор всех ключей. check Проверить выбранные (все, если ни один не выбран) идентификаторы пользователя. showphoto Отобразить выбранный фотографический идентификатор пользователя. pref Вывести список предпочтений для выбранного идентификатора пользователя. Показывает действительный список предпочтений, не включая какие-либо подразумеваемые предпочтения. showpref Вывести более подробный список предпочтений для выбранного идентификатора пользователя, нежели pref. Показывает действующие предпочтения, включая подразумеваемые 3DES (для шифрования), SHA-1 (хэш-функция) и Uncompressed (сжатие), если они не добавлены в список предпочтений. setpref &ParmString; Устанавливает список предпотений для идентификатора пользователя в &ParmString;. &ParmString; должна быть строкой подобной той, что выводится командой "pref". Используя пустую строку можно сбросить список предпочтений к установкам по умолчанию, используя значение "none" можно обнулить список предпочтений. Для получения списка доступных алгоритмов можно воспользоваться командой gpg -v --version. Данная команда только инициализирует внутренний список и ничего не изменяет, пока не будет выполнена другая команда (такая, как updpref) , которая изменяет самоподписи. updpref Изменяет список предпочтений для всех идентификаторов пользователя (или только для выбранных) в соответствии с текущим списком предпочтений. Метка времени для всех затронутых изменением самоподписей увеличивается на одну секунду. toggle Переключение между открытым и секретным ключами. save Сохранит все изменения в наборе ключей и выйти. quit Выйти из программы не сохраняя изменения в наборе ключей. Листинг показывает Вам ключ с его подключами и всеми идентификаторами пользователя. Выбранные ключи или идентификаторы пользователя указаны звёздочкой. Значение доверия выводится рядом с первичным ключом: первый символ обозначает уровень доверия, присвоенный владельцу ключа, а второй вычисленное значение достоверности ключа. Символы имеют следующее значение: -доверие не присвоено / достоверность не вычислена. eВычисление достоверности завершилось с ошибкой; возможно из-за просроченного ключа. qНе достаточно информации для вычисления. nНет доверия владельцу ключа. mОграниченный уровень доверия/достоверности. fПолное доверие/достоверность. uБезоговорочное доверие/достоверность. --sign-key &ParmName; Подписать открытый ключ Вашим секретным ключом. То же, что и подкоманда "sign" команды --edit-key. --lsign-key &ParmName; Подписать открытый ключ Вашим секретным ключом локально. То же, что и подкоманда "lsign" команды --edit-key. --nrsign-key &ParmName; Подписать открытый ключ Вашим секретным ключом и пометить подпись как неотзываемую. То же, что и подкоманда "nrsign" команды --edit-key. --delete-key &ParmName; Удалить ключ из набора открытых ключей. В пакетном режиме требуется либо использовать --yes, либо задавать ключ его отпечатком. Это защита против случайного удаления ключей. --delete-secret-key &ParmName; Удалить ключ из наборов секретных и открытых ключей. В пакетном режиме ключ должен быть задан отпечатком. --delete-secret-and-public-key &ParmName; То же, что и --delete-key, но если существует секретный ключ, то сначала будет удалён он. В пакетном режиме ключ должен быть задан отпечатком. --gen-revoke &ParmName; Генерировать отзывающий сертификат для всего ключа. Для отзыва подключа или подписи используйте команду --edit-key. --desig-revoke &ParmName; Генерировать назначенный сертификат отзыва для ключа. Это позволяет пользователю (с разрешения владельца ключа) отозвать чей-либо ключ. --export &OptParmNames; Либо экспортировать все ключи из всех наборов ключей (наборов по умолчанию и тех которые зарегистрированы при помощи параметра --keyring), или, если задано хотя бы одно имя, те ключи имена которых заданы в командной строке. Полученный в результате набор ключей выводится на стандартный вывод или в файл заданный параметром "output". Если Вы намерены отправить ключи по почте, то используйте совместно с параметром --armor. --send-keys &OptParmNames; То же, что и --export но посылает ключи на сервер ключей. Для задания имени сервера ключей должен использоваться параметр --keyserver. Не отправляйте на сервер свой набор ключей полностью - выберите только те ключи, которые были добавлены или изменены Вами. --export-secret-keys &OptParmNames; --export-secret-subkeys &OptParmNames; То же, что и --export, но экспортирует секретные ключи. Используется редко и рискована с точки зрения безопасности. Вторая форма команды делает секретную часть первичного ключа, в выводимом результате, непригодной; это расширение GNU для стандарта OpenPGP и другие реализации не смогут успешно импортировать такие ключи. Обратите внимание на параметр --simple-sk-checksum, если Вы хотите импортировать полученный результат в старую реализацию OpenPGP. --import &OptParmFiles; --fast-import &OptParmFiles; Импортировать/объединить ключи. Эта команда добавляет выбранные ключи к набору ключей. --fast-import, в настоящее время является просто синонимом для --import. Имеется несколько параметров, контролирующих работу команды. Наиболее значимый среди них - параметр --merge-only, который предотвращает добавление новых ключей и допускает только добавление новых подписей, идентификаторов пользователя и подключей к уже имеющимся ключам. --recv-keys &ParmKeyIDs; Импортировать ключи с заданным идентификатором с сервера ключей. Для указания сервера ключей должен использоваться параметр --keyserver. --refresh-keys &OptParmKeyIDs; Запросить с сервера ключей обновления для ключей, которые уже имеются в локальных связках. Применимо для получения новых подписей, идентификаторов пользователей и т.д. Вызов без аргументов приведёт к обновлению всей связки ключей. При использовании команды должен быть определён параметр --keyserver содержащий имя сервера ключей. --search-keys &OptParmNames; Поиск по указанным именам на сервере ключей. Несколько имён, заданных в командной строке, объединяются вместе для создания строки поиска. Для указания сервера ключей должен использоваться параметр --keyserver. --update-trustdb Используется для поддержки базы данных доверия. Данная команда просматривает все имеющиеся ключи и строит сеть доверия (Web-of-Trust). Данная команда является интерактивной, т.к. она может запрашивать о Вашем уровне доверия владельцам ключей. Пользователь может указать насколько он доверяет владельцу указанного ключа в вопросах проверки и сертификации (подписи) других ключей. Запрос выдаётся только в том случае, если данному ключу ещё не было присвоено значение доверия. При помощи команды --edit-key можно позже изменить данное значение. --check-trustdb Выполняет проверку базы данных доверия без взаимодействия с пользователем. Периодически база данных доверия должна обновляться, чтобы отслеживать истёкшие ключи и подписи и вносить соответствующие изменения в сеть доверия. GnuPG по возможности отслеживает такие ситуации и обновляет базу автоматически, если не установлен параметр --no-auto-check-trustdb. Данная команда используется для выполнения проверки принудительно, в любое время. Выполняемые действия аналогичны тем, которые выполняет --update-trustdb, но ключи с неопределённым уровнем доверия пропускаются. При запуске с помощью cron, данная команда может использоваться с параметром --batch, в этом случае проверка выполняется только если она нужна. Для принудительного выполнения проверки в этом случае можно использовать параметр --yes. --export-ownertrust Выводит значения доверия на стандартный вывод. Применима в целях архивации, т.к. эти значения единственное, что не может быть восстановлено в случае повреждения базы данных доверия. --import-ownertrust &OptParmFiles; Вносит в базу данных доверия значения сохранённые в файле &ParmFiles; (или считывает со стандартного ввода, если файл не задан); существующие значения перезаписываются. --rebuild-keydb-caches При обновлении с версии 1.0.6 до 1.0.7 эта команда должна быть использована для создания кэшэй подписей в наборе ключей. Она может оказаться удобной и в других случаях. --print-md algo &OptParmFiles; --print-mds &OptParmFiles; Выводит значение хэш-функции ALGO для каждого из заданных файлов или для стандартного ввода. Вторая форма (или "*" в качестве algo в первом случае) выводит значения всех доступных хэш-функций. --gen-random 0|1|2 count Выводит COUNT случайных байт с заданным уровнем качества. Если параметр COUNT не задан или равен нулю, то выводится бесконечная последовательность случайных байт. ПРЕДУПРЕЖДЕНИЕ! Не используйте эту команду без необходимости; это может уменьшить число случайных данных доступных системе! --gen-prime mode bits qbits Генерирует простое число. Подробности см. в исходных текстах. --version Выводит информацию о версии программы и список поддерживаемых алгоритмов. --warranty Выводит информацию о гарантиях. -h, --help Выводит краткую справку по использованию команды. Список довольно длинный, хотя и не включает описания всех параметров. Для получения более подробной информации, обращайтесь к данному руководству. Длинные формы параметров могут использоваться в файле параметров (по умолчанию "~/.gnupg/gpg.conf"). Короткие имена параметров работать не будут - например, "armor" можно использовать в файле конфигурации, а "а" нельзя. Не указывайте два начальных дефиса, просто имя параметра и требуемые аргументы. Строки начинающиеся символом "#" (возможно после нескольких пробелов) игнорируются. Команды так же могут помещаться в этот файл, но это, в общем случае, не имеет смысла. -a, --armor Выводить информацию в ASCII формате. -o, --output &ParmFile; Сохранить результат в файле &ParmFile;. --max-output &ParmN; Данный параметр устанавливает предельное число байтов, которые генерируются при обработке файла. Поскольку OpenPGP поддерживает различные степени сжатия, то возможно, что открытый текст сообщения может быть значительно больше исходного сообщения OpenPGP. Хотя GnuPG корректно работает с такими файлами, зачастую желательно ограничить объём выдаваемой информации. По умолчанию 0, что означает отсутствие ограничений. --mangle-dos-filenames --no-mangle-dos-filenames Версия GnuPG для Windows заменяет расширение выходного файла, чтобы избежать проблем с именами файлов содержащими более одной точки. В этом нет необходимости в последних версиях Windows и поэтому можно использовать --no-mangle-dos-filenames для отключения данной возможности. Данный параметр не используется на других платформах. -u, --local-user &ParmName; Использовать для подписи ключ &ParmName;. Заметьте, что данный параметр перекрывает значение параметра --default-key. --default-key &ParmName; Использовать &ParmName; в качестве ключа по умолчанию для подписей. Если данный параметр не задан, то по умолчанию используется первый ключ найденный в связке секретных ключей. Заметьте, что -u или --local-user перекрывает значение данного параметра. -r, --recipient &ParmName; Шифровать для пользователя &ParmName;. Если данный параметр не указан, и не задан параметр --default-recipient, то GnuPG запрашивает идентификатор пользователя. --default-recipient &ParmName; Использовать &ParmName; как получателя по умолчанию, если не задан парметр --recipient и не выдавать запрос о получателе если значение &ParmName; является допустимым. &ParmName; не может быть пустым. --default-recipient-self Использовать ключ по умолчанию как получателя, если не задан параметр --recipient, и не выдавать запрос о получателе если значение ключа является допустимым. Ключ по умолчаню - это первый в секретном наборе ключей или тот, который задан параметром --default-key. --no-default-recipient Отменяет действие параметров --default-recipient и --default-recipient-self. --encrypt-to &ParmName; То же, что и --recipient, но предназначен для использования в файле параметров и может использоваться с Вашим собственным идентификатором пользователя. Указанные ключи используются только в том случае, если заданы другие получатели при помощи параметра --recipient, или после того как был запрошен идентификатор получателя. Для указанных ключей не производится проверка достоверности и могут использоваться даже те, которые отключены. --no-encrypt-to Отменяет использование ключей заданных параметром --encrypt-to. -v, --verbose Увеличивает детальность вывода информации. Если используется дважды, то детально описываются и входные данные. -q, --quiet Уменьшает количество выводимой информации насколько это возможно. -z &ParmN;, --compress-level &ParmN; Устанавливает уровень сжатия равным &ParmN;. Значение 0 отключает сжатие. По умолчанию используется уровень сжатия установленный по умолчанию для zlib (обычно 6). --bzip2-decompress-lowmem Использовать альтернативный алгоритм декомпрессии для файлов сжатых BZIP2. Этот метод использует почти в два раза меньше памяти, но работает так же в два раза медленнее. Параметр применим в случаях острой нехватки памяти для файлов сжатых с высоким --bzip2-compress-level. -t, --textmode --no-textmode Полагать, что входные файлы содержат текст и сохранять их в канонической текстовой форме OpenPGP со строками заканчивающимися "CRLF". При использовании параметра устанавливаются флаги, сообщающие получателю, что зашифрованные или подписанные данные являются текстом и может потребоваться преобразование концов строк в те, которые используются локальной системой. Данный параметр применим при обмене информацией между двумя различными платформами использующими различные окончания строк (UNIX - Mac, Mac - Windows и т.п.). --no-textmode отключает данный режим. По умолчанию отключен. Если -t (но не --textmode) используется совместно с --armor и --sign, то создаётся прозрачная подпись. Этот параметр необходим для совместимости с консольными версиями PGP; обычно Вам следует использовать --sign или --clearsign для выбора типа подписи. -n, --dry-run Не делать никаких изменений (реализован не полностью). -i, --interactive Выводить запрос перед перезаписью файлов. --batch --no-batch Использовать пакетный режим. Не выводятся никакие запросы, не допускаются интерактивные команды. --no-batch отключает пакетный режим. --no-tty Не использовать TTY (терминал) для вывода информации. Параметр необходим в некоторых случаях, т.к. GnuPG иногда выводит предупреждения на TTY при использовании параметра --batch. --yes Предполагает утвердительный ответ на большинство вопросов. --no Предполагает отрицательный ответ на большинство вопросов. --ask-cert-level --no-ask-cert-level При подписывании ключа, запрашивать уровень сертификации. Если параметр не указан, то используется уровень заданный параметром --default-cert-level. См. в описании --default-cert-level более подробную информацию о различных уровнях и их использовании. --no-ask-cert-level отменяет действие данного параметра. По умолчанию параметр включен. --min-cert-level При построении базы данных доверия не учитывать подписи с уровнем сертификации ниже указанного. По умолчанию равно 1, при этом принимаются все подписи. --default-cert-level &ParmN; Устанавливает уровень проверки ключа по умолчанию при его подписи. 0 означает, что Вы не будете указывать насколько тщательно проверили ключ перед тем, как его подписывать. 1 означает, что Вы верите в достоверность ключа, но не проверяли или не можете проверить это. Применим для подписи ключей тех лиц, с которыми Вы знакомы только по переписке. 2 означает, что вы произвели поверхностную проверку ключа. Например, Вы проверили отпечаток ключа и сверили идентификатор пользователя на ключе с его фотографическим идентификатором. 3 означает, что Вы тщательно проверили достоверность ключа. Например, Вы сверили отпечаток имеющейся у Вас копии ключа с тем, который лично сообщил Вам владелец ключа, проверили по документам личность владельца ключа и сверили его имя с тем, которое указано в идентификаторе пользователя на ключе, и, наконец, убедились (путём переписки), что указанный в идентификаторе ключа адрес электронной почты, принадлежит владельцу ключа. Заметим, что приведённые выше примеры для уровней 2 и 3 это только примеры. В конечном счёте, решение вопроса о том какая проверка является поверхностной, а какая тщательной остаётся за Вами. По умолчанию параметр имеет значение 0 (без указания уровня проверки). --trusted-key long key ID Предполать, что указанный ключ (который должен быть задан полным 8ми байтовым идентификатором ключа) достоверен, как один из Ваших секретных ключей. Данный параметр применим если Вы не хотите хранить Ваши секретные ключи (или один из них) на данном компьютере, но хотите сохранить возможность проверять достоверность ключей Ваших корреспондентов. --trust-model classic|always Установить модель доверия, которой должен следовать GnuPG. Имеются следующие модели: classic Это обычная сеть доверия используемая в PGP и GnuPG. always Пропустить процедуру проверки ключей и полагать, что используемые ключи всегда полностью достоверны. Вы не должны использовать эту модель, если только не используете какую-либо внешнюю схему проверки достоверности ключей. Данный параметр, также, подавляет вывод сообщения "[uncertain]" при проверке подписи, когда нет свидетельств того, что ключ принадлежит указанному в нём владельцу. --always-trust Идентичен `--trust-model always'. Использовать данный параметр не рекомендуется. --keyserver &ParmName; Использовать сервер ключей &ParmName;. Это сервер который будет использоваться для получеения, отправки и поиска ключей при использовании команд --recv-keys, --send-keys и --search-keys. Формат &ParmName; это URI: `scheme:[//]keyservername[:port]' Схема -- это тип сервера ключей: "hkp" для HTTP (или совместимого), "ldap" для NAI LDAP серверов, "mailto" для Graff email keyserver. Заметим, что конкретная инсталяция GnuPG может допускать и другие типы серверов ключей. Имена схем используются без учета регистра. Большинство серверов ключей синхронизируются друг с другом, т.о. нет необходимости посылать ключи более чем на один сервер. Можно использовать сервер ключей "hkp://subkeys.pgp.net", который является псевдонимом для нескольких серверов ключей. --keyserver-options parameters Данная строка содержит список разделённых пробелами или запятыми параметров сервера ключей. Параметры могут предваряться префиксом `no-' для получения обратного значения. Не все параметры допустимы для любого типа сервера ключей. Основные параметры следующие: include-revoked При поиске ключей командой --search-keys, учитывать и те ключи, которые помечены на сервере ключей как отозванные. Заметьте, что не все серверы ключей различают отозванные и неотозванные ключи, для таких серверов параметр не имеет смысла. Заметьте, также, что большинство серверов ключей не осуществляют криптографическую проверку отзыва ключей, таким образом отключение данного параметра может привести к пропуску ключей некорректно помеченных, как отозванные. По умолчанию параметр включен. include-disabled При поиске ключей командой --search-keys, учитывать и те ключи, которые помечены на сервере ключей как неиспользуемые. Заметим, что данный параметр не используется HKP серверами. include-subkeys При получении ключа, производить поиск и по подключам. Заметьте, что данный параметр не работает с серверами HKP, т.к. они не поддерживают пересылку ключей по идентификатору подключа. use-temp-files На большинстве Unix-подобных платформ GnuPG взаимодействует с программой обращения к серверу ключей через каналы, которые являются наиболее эффективным методом. Данный параметр заставляет GnuPG использовать для взаимодействия временные файлы. На некоторых платформах (таких как Win32 и RISC OS) данный параметр используется всегда. keep-temp-files Указывает, что при включеном параметре `use-temp-files' временные файлы не должны удаляться после их использования. Данный параметр удобен для изучения протокола взаимодействия с сервером ключей. verbose Указывает программе взаимодействия с сервером ключей выводить более подробную информацию. Может повторяться несколько раз для увеличения детальности вывода. honor-http-proxy Для серверов ключей которые используют HTTP (таких как HKP), использовать доступ через прокси-сервер указанный в переменной окружения "http_proxy". auto-key-retrieve Данный параметр разрешает автоматическое получение ключей с сервера при проверке подписей сделанных ключами, которых нет в локальном наборе ключей. Заметьте, что этот параметр приводит к возникновению определённой уязвимости. Администраторы серверов ключей могут отслеживать запросы; отправив Вам сообщение, подписанное новым ключом (который отсутствует у Вас), они могут определить Ваш IP адрес и время, когда Вы проверили подпись. --import-options parameters В качестве аргумента указывается строка, в которой, через пробелы или запятые, перечислены параметры импорта ключей. Параметры могут предваряться `no-' для получения обратного значения. Допустимые параметры: allow-local-sigs Позволяет импортировать подписи на ключах, помеченные как локальные. Как правило не используется, за исключением случаев разделяемых наборов ключей. По умолчанию нет. repair-hkp-subkey-bug При импорте пытаться восстановить повреждения вызванные ошибкой в сервере PKS (до версии 0.9.6), искажающей ключи с множественными подключами. Заметьте, что это не позволяет полностью восстановить поврежденный ключ, т.к. часть данных удаляется сервером ключей, но даёт по крайней мере один подключ. По умолчанию отключен для обычного --import и включен для --recv-keys. --export-options parameters В качестве аргумента указывается строка, в которой, через пробелы или запятые, перечислены параметры экспорта ключей. Параметры могут предваряться `no-' для получения обратного значения. Допустимые параметры: include-non-rfc Добавить ключи не совместимые с RFC в число экспортируемых. По умолчанию включено. include-local-sigs Позволяет экспортировать подписи на ключах, помеченные как локальные. Как правило не используется, за исключением случаев разделяемых наборов ключей. По умолчанию отключено. include-attributes Экспортировать атрибутные идентификаторы пользователя (фотографические идентификаторы). Применимо при экспорте ключей, если они предназначены для программы OpenPGP, не допускающей атрибутные идентификаторы. По умолчанию включено. include-sensitive-revkeys Экспортировать информацию о назначенном отзывающем, которая была помечена как "sensitive". По умолчанию отключено. --show-photos --no-show-photos Приводит к тому, что при выполнении команд --list-keys, --list-sigs, --list-public-keys, --list-secret-keys и проверке подписей выводятся фотографические идентификаторы связанные с ключом, если таковые имеются. См. также --photo-viewer. --no-show-photos отменяет действие параметра. --photo-viewer &ParmString; Определяет командную строку, которая должна быть выполнена для просмотра фотографического идентификатора. "%i" раскрывается в имя файла, содержащего фотографию. "%I" делает то же самое, но файл не будет удалён после выхода из программы просмотра. "%k" заменяется идентификатором ключа, "%K" -- длинным идентификатором ключа, "%f" -- отпечатком ключа, "%t" -- расширением для данного типа изображений (напр., "jpg"), "%T" -- MIME типом изображения (напр., "image/jpeg"), и "%%" -- знаком процента. Если не используется ни "%i", ни "%I", то фотография передаётся на стандартный ввод команды просмотра. Значение по умолчанию: "xloadimage -fork -quiet -title 'KeyID 0x%k' stdin" Заметьте, что если Ваша программа просмотра не защищена, то вызов из GnuPG не сделает её защищённой. --exec-path &ParmString; Устанавливает список каталогов, используемых для поиска программы просмотра фотографий и помощника сервера ключей. Если параметр не задан, то для помощника сервера ключей используется каталог определённый при компиляции, а для программы просмотра фотографий используется переменная окружения $PATH. --show-keyring Приводит к тому, что команды --list-keys, --list-public-keys, и --list-secret-keys выводят имя набора ключей в котором хранится ключ. Применим в тех случаях, когда выводится конкретный ключ или множество ключей. Не оказывает воздействия при выводе всех ключей. --keyring &ParmFile; Добавить файл &ParmFile; к списку связок ключей. Если &ParmFile; начинается с тильды и символа косой черты, то они заменяются именем каталога заданным в переменной окружения $HOME. Если имя файла не содержит символа косой черты, то предполагается, что файл находится в домашнем каталоге GnuPG ("~/.gnupg" если не задан параметр --homedir). Заметьте, что параметр добавляет связку ключей к текущему списку. Если Вы хотите использовать только определённую связку ключей, то используйте --keyring совместно с --no-default-keyring. --secret-keyring &ParmFile; То же, что и --keyring но для наборов секретных ключей. --trustdb-name &ParmFile; Использовать &ParmFile; вместо базы данных о довериях по умолчанию. Если &ParmFile; начинается с тильды и косой черты, то они заменяются именем каталога указанным в переменной окружения $HOME. Если имя файла не содержит косой черты, то предполагается, что он находится в домашнем каталоге GnuPG ("~/.gnupg", если не заданы --homedir или $GNUPGHOME). --homedir &ParmDir; Установить имя домашнего каталога равным &ParmDir; Если данный параметр не установлен, то по умолчанию используется "~/.gnupg". Игнорируется в файле параметров. Перекрывает значение переменной окружения $GNUPGHOME. --display-charset &ParmName; Установить используемый набор сиволов. Используется при преобразовании некоторых строк, таких как идентификаторы пользователя, в кодировку UTF-8. Если параметр не задан, то набор символов определяется по текущей локали. Набор символов выводится при использовании 3х -v в командной строке. Допустимые значения &ParmName;: iso-8859-1Набор символов Latin 1. iso-8859-2Набор символов Latin 2. iso-8859-15В настоящее время псевдоним для набора Latin 1. koi8-rРусская кодировка (rfc1489). utf-8Не выполнять преобразования и полагать, что OS использует кодировку UTF-8. --utf8-strings --no-utf8-strings Полагать, что аргументы командной строки заданы в кодировке UTF8. По умолчанию (--no-utf8-strings), предполагается что строки закодированы в наборе символов определённом параметром --display-charset. Данные параметры оказывают влияние на все последующие аргументы. Оба параметра могут присутствовать в командной строке произвольное число раз. --options &ParmFile; Считать параметры из файла &ParmFile; и не пытаться использовать файл по умолчанию. Данный параметр игнорируется если он указан в файле параметров. --no-options Сокращение для "--options /dev/null". Данный параметр определяется до открытия файла параметров. Предотвращает, также, создание каталога "~./gnupg". --load-extension &ParmName; Загрузить модуль расширения. Если &ParmName; не содержит косой черты, то модуль ищется в каталоге заданном при компиляции (обычно "/usr/local/lib/gnupg"). Расширения, как правило, больше не используются, и использование данного параметра не желательно. --debug &ParmFlags; Установить отладочные флаги. Все флаги объединяются при операцией OR и &ParmFlags; может быть задан в стиле C (напр., 0x0042). --debug-all Установить все используемые отладочные флаги. --enable-progress-filter Включает вывод информации о ходе выполнения работы. Данный параметр позволяет оболочкам отображать индикатор прогресса при обработке gpg больших файлов. При использовании параметра немного снижается производительность. --status-fd &ParmN; Выводить строки состояния в файл с дескриптором &ParmN;. См. файл DETAILS в документации. --logger-fd &ParmN; Выводить журнал в файл с дескриптором &ParmN;, а не на стандартный вывод. --attribute-fd &ParmN; Выводить подпакеты атрибутов в файл с дескриптором &ParmN;. Наиболее применимо при использовании совместно с --status-fd, т.к. сообщения состояния должны быть отделены от различных подпакетов. --sk-comments --no-sk-comments Экспортировать пакеты коментариев для секретных ключей при экспорте секретных ключей. Это расширение GnuPG стандарта OpenPGP. Отключено по умолчанию. Заметьте, что этот параметр не имеет ничего общего с комментариями в прозрачных подписях и заголовках ASCII формата. --no-sk-comments отменяет действие параметра. --no-comment См. --no-sk-comments. Данный параметр может быть удалён в следующих версиях, и его использование не рекомендуется. --comment &ParmString; Использовать &ParmString; в качестве комментария в прозрачных подписях. По умолчанию строка коментария отсутствует. --default-comment Принудительно вывести стандартный комментарий в прозрачной подписи. Используется для перезаписи --comment из файла параметров. Данный параметр устарел, т.к. комментарий по умолчанию больше не используется. --emit-version --no-emit-version Приводит к включению строки версии в вывод в ASCII формате. --no-emit-version отключает параметр. --sig-notation &ParmNameValue; --cert-notation &ParmNameValue; -N, --set-notation &ParmNameValue; Добавить пару имя - значение к подписи в качестве примечания. &ParmName; должно содержать только печатные символы или пробелы, и должно содержать символ '@'. Это делается с целью предотвратить засорение зарезервированного IETF пространства имён. Флаг --expert отменяет проверку наличия '@'. &ParmValue; может быть любой печатной строкой; эта строка будет закодирована в UTF8, так что Вам следует проверить корректность установки Вашего параметра --display-charset. Если Вы предварите &ParmName; восклицательным знаком (!), то примечание будет помечено как критическое (rfc2440:5.2.3.15). --sig-notation устанавливает примечание для подписи данных, --cert-notation для подписи ключей (сертификации), --set-notation устанавливает оба параметра. Имеются специальные коды, которые могут использоваться в примечаниях. "%k" будет заменён идентификатором подписываемого ключа, "%K" - длинным идентификатором подписываемого ключа, "%f" - отпечатком подписываемого ключа, "%s" - идентификатором ключа используемого для подписи, "%S" - длинным идентификатором ключа используемого для подписи, "%g" - отпечатком ключа (подключа) используемого для подписи, "%p" - отпечатком главного ключа ключа используемого для подписи, "%%" будет заменён одним знаком "%". %k, %K, и %f имеют смысл только при подписи ключей (сертификации). --show-notation --no-show-notation Показывать примечания в подписях при выполнении команд --list-sigs и --check-sigs и проверке подписей, содержащих примечания. --no-show-notation отменяет действие параметра. --sig-policy-url &ParmString; --cert-policy-url &ParmString; --set-policy-url &ParmString; Использовать &ParmString; в качестве URL политики для подписей (rfc2440:5.2.3.19). Если Вы предварите его восклицательным знаком (!), то пакет с URL будет помечен как критический. --sig-policy-url устанавливает URL политики для подписи данных, --cert-policy-url для подписи ключей (сертификации), а -set-policy-url устанавливает оба параметра. Доступны те же подстановки с '%', что и для примечаний. --show-policy-url --no-show-policy-url Показывать policy URL при выполнении команд --list-sigs и --check-sigs и проверке подписей, содержащих policy URL. --no-show-policy-url отменяет действие параметра. --set-filename &ParmString; Использовать &ParmString; как имя файла, содержащегося в сообщении. По умолчанию используется действительное имя зашифровываемого файла. --for-your-eyes-only --no-for-your-eyes-only Устанавливает в сообщении флаг `for your eyes only'. Это приводит к тому, что GnuPG не сохраняет расшифрованный файл если не указан параметр --output, а PGP использует "secure viewer" для вывода сообщения. Данный параметр перекрывает значение параметра --set-filename. --no-for-your-eyes-only отменяет действие параметра. --use-embedded-filename Попытаться создать файл с именем содержащимся в данных. Может быть небезопасной, т.к. позволяет перезаписывать файлы. По умолчанию отключен. --completes-needed &ParmN; Число подписей на ключе, сделанных пользователями которым Вы полностью доверяете, необходимых для признания ключа достоверным (по умолчанию 1). --marginals-needed &ParmN; Число подписей на ключе, сделанных пользователями которым Вы доверяете не полностью, необходимых для признания ключа достоверным (по умолчанию 3). --max-cert-depth &ParmN; Максимальная длина цепочки сертификации (по умолчанию 5). --cipher-algo &ParmName; Использовать алгоритм шифрования &ParmName;. Запуск программы с командой --version выводит список поддерживаемых алгоритмов шифрования. Если данный параметр не используется, то алгоритм шифрования выбирается из указанных в списке предпочтений ключа. --digest-algo &ParmName; Использовать хэш-функцию &ParmName;. Запуск программы с командой --version выводит список поддерживаемых хэш-функций. --cert-digest-algo &ParmName; Использовать хэш-функцию &ParmName; при подписи ключа. Запуск программы с командой --version выводит список поддерживаемых хэш-функций. Будьте осторожны, т.к. если Вы выберете алгоритм поддерживаемый GnuPG, но не поддерживаемый другими реализациями OpenPGP, то некоторые пользователи не смогут использовать сделанную Вами подпись, или даже весь ключ. --s2k-cipher-algo &ParmName; Использовать для защиты секретного ключа алгоритм шифрования &ParmName;. По умолчанию используется CAST5. Данный алгоритм используется, также, для симметричного шифрования, в случае если не задан параметр --cipher-algo. --s2k-digest-algo &ParmName; Использовать хэш-функцию &ParmName; для обработки ключевой фразы (пароля). По умолчанию использется SHA-1. Кроме того, данный алгоритм используется при симметричном шифровании, в случае если не задан параметр --digest-algo. --s2k-mode &ParmN; Определяет метод обработки ключевой фразы (пароля). Если &ParmN; равен 0, то ключевая фраза не обрабатывается (не рекомендуется), если 1, то к ключевой фразе добавляется "соль" (случайные данные) и если 3 (используется по умолчанию), то весь процесс повторяется несколько раз. Если не задан параметр --rfc1991, то данный режим используется и при симметричном шифровании. --simple-sk-checksum Целостность секретных ключей защищается при помощи контрольной суммы SHA-1. Данный метод будет являться частью расширенной спецификации OpenPGP, но GnuPG уже использует его в качестве контрмеры против некоторых атак. Старые приложения не понимают этот новый формат, и данный параметр может использоваться для передачи секретных ключей таким приложениям. Использование данного параметра рисковано с точки зрения безопасности. Заметьте, что параметр оказывает эффект только при шифровании секретного ключа, простейший способ добиться этого - сменить пароль на ключе (пусть даже на тот же самый). --compress-algo &ParmN; Использовать алгоритм сжатия &ParmN;. Значение 2 соответствует алгоритму сжатия ZLIB, описанному в RFC1950. Значение 1 соответствует алгоритму ZIP (RFC1951), используемому в PGP. 0 отключает сжатие. Если параметр не используется, то просматривается список предпочтений в ключе получателя, для определения поддерживаемых получателем алгоритмов. Если определить алгоритм этим способом не удастся, то используется ZIP для достижения максимальной совместимости. Заметим, однако, что ZLIB может давать лучшее сжатие, если это важно, т.к. не ограничивает размер окна 8кб. --disable-cipher-algo &ParmName; Никогда не использовать алгоритм шифрования &ParmName;. Заданное имя не проверяется, поэтому алгоритм загруженный позже останется отключенным. --disable-pubkey-algo &ParmName; Никогда не использовать алгоритм с открытым ключом &ParmName;. Заданное имя не проверяется, поэтому алгоритм загруженный позже останется отключенным. --no-sig-cache Не кэшировать информацию о состоянии проверки подписей. Кэширование значительно увеличивает производительность при выводе списка ключей. Однако, если Вы сомневаетесь в защищенности Вашего набора открытых ключей от изменений, то можете использовать данный параметр для отключения кэширования. Вероятно данная операция лишена особого смысла, поскольку если кто-либо имеет доступ на запись в Ваш набор открытых ключей, то он может выполнить любые виды повреждений. --no-sig-create-check GnuPG, как правило, проверяет каждую подпись после её создания для защиты от ошибок и сбоев аппаратной части, которые могут привести к изменению битов секретного ключа. Эта дополнительная проверка занимает некоторое время (около 115% для DSA ключей). Данный параметр используется для отключения проверки. Однако, поскольку создание подписи происходит в интерактивном режиме, выигрыш времени от установки данного параметра будет незаметен в большинстве конфигураций. --auto-check-trustdb --no-auto-check-trustdb Если GnuPG полагает, что информация в сети доверия должна быть обновлена, то он автоматически выполняет команду --check-trustdb. Процесс обновления может занимать некоторое время. --no-auto-check-trustdb отключает автоматическую проверку. --throw-keyid Не помещать идентификатор ключа в зашифрованный пакет. Данный параметр скрывает получателя сообщения и является контрмерой против анализа траффика. Расшифровка сообщения может происходить медленнее, поскольку GnuPG будет пытаться использовать все доступные секретные ключи до нахождения правильного. --not-dash-escaped Данный параметр изменяет правила создания прозрачных подписей таким образом, что они могут использоваться для патчей. Вы не должы посылать такие файлы электронной почтой, т.к. при подписи учитываются все пробелы и символы перевода строки. Вы не можете использовать данный параметр для данных содержащих строки начинающиеся с пяти дефисов. В начало подписи добавляется специальный заголовок, указывающий GnuPG на использование данного параметра. --escape-from-lines --no-escape-from-lines Поскольку многие почтовые агенты меняют "From " в начале строк на "<From ", то разумно обрабатывать такие строки особым образом при создании прозрачных подписей для предотвращения ошибок при проверке подписей. Заметим, что все прочие реализации PGP поступают таким же образом. Данный параметр включен по умолчанию. --no-escape-from-lines позволяет отключить этот параметр. --passphrase-fd &ParmN; Считать ключевую фразу из файла с дескриптором &ParmN;. Если Вы используете 0 для &ParmN;, то пароль будет считан со стандартного ввода. Данный параметр может использоваться в случае если требуется только одна ключевая фраза. Не используйте данный параметр если можете избежать этого. --command-fd &ParmN; Это замена для нерекомендуемого режима разделяемой памяти IPC. Если параметр задан, то ввод команд пользователя считывается не с терминала, а из файла с указанным дескриптором. Рекомендуется использовать совместно в --status-fd. См. файл doc/DETAILS в исходном дистрибутиве для более подробного описания. --use-agent --no-use-agent Попытаться использовать GnuPG-Agent. Заметьте, что данный агент находится в стадии разработки. Если параметр установлен, то GnuPG сначала пытается подключиться к агенту, а если это не удаётся, то запрашивает пароль. --no-use-agent отключает использование агента. --gpg-agent-info Перекрывает значение переменной окружения GPG_AGENT_INFO. Используется только при включенном параметре --use-agent. Параметры совместимости Эти параметры управляют совместимостью GnuPG с другими реализациями. Только один из этих параметров может быть активен. Заметьте, что установки используемые по умолчанию практически всегда корректны. Перед использованием любого из этих параметров ознакомьтесь с разделом ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ПРОГРАММАМИ OPENPGP ниже в данном руководстве. --gnupg Использовать стандартные установки GnuPG. В сущности, это установки OpenPGP (см. --openpgp), но с некоторыми дополнительными параметрами для решения общих проблем совместимости с различными версиями PGP. Это параметр используемый по умолчанию и, в общем случае, нет необходимости явно его указывать, но он может быть полезен для отмены другого параметра совместимости, заданного в файле конфигурации gpg.conf. --openpgp Установить все параметры пакетов, шифров и хэш-функций строго в соответствии со стандартом OpenPGP. Используйте данный параметр для сброса всех предыдущих параметров, таких как --rfc1991, --force-v3-sigs, --s2k-*, --cipher-algo, --digest-algo и --compress-algo в значения совместимые с OpenPGP. Все исправления для совместимости с PGP будут отключены. --rfc2440 Установить все параметры пакетов, шифров и хэш-функций строго в соответствии с RFC-2440. Заметьте, что в настоящее время этот параметр делает тоже самое, что и --openpgp. --rfc1991 Быть более совместимым с RFC1991 (PGP 2.x). --pgp2 Устанавливает все параметры в режим максимальной совместимости с PGP 2.x. Если выполняемые действия приводят к созданию сообщения которое не может быть обработано PGP 2.x (напр., шифрование не RSA ключом), то выдаётся соответствующее предупреждение. Заметим, что под `PGP 2.x' здесь подразумевается реализация 'MIT PGP 2.6.2'. Данный параметр неявно предполагает `--rfc1991 --disable-mdc --no-force-v4-certs --no-sk-comment --escape-from-lines --force-v3-sigs --no-ask-sig-expire --no-ask-cert-expire --cipher-algo IDEA --digest-algo MD5 --compress-algo 1'. При использовании параметра, также, отключается --textmode при зашифровании. --pgp6 Устанавливает все параметры в режим максимальной совместимости с PGP 6. Это ограничивает наборы симметричных алгоритмов IDEA, 3DES и CAST5, хэш-функций MD5, SHA1 и RIPEMD160 и алгоритмов сжатия ZIP и без сжатия. Параметр отключает, также, --throw-keyid и создание подписей подписывающими подключами, т.к. PGP 6 не распознаёт такие подписи. Данный параметр неявно предполагает `--disable-mdc --no-sk-comment --escape-from-lines --force-v3-sigs --no-ask-sig-expire'. --pgp7 Устанавливает все параметры в режим максимальной совместимости с PGP 7. Идентичен --pgp6, за исключением того, что не отключаются MDC и список допустимых шифров дополняется AES128, AES192, AES256, и TWOFISH. --pgp8 Устанавливает все параметры в режим максимальной совместимости с PGP 8. PGP 8 значительно ближе к стандарту OpenPGP, чем все предыдущие версии PGP, так что всё что делает данный параметр - это отключает --throw-keyid и устанавливает --escape-from-lines. Список допустимых алгоритмов тот же, что и в --pgp7 с добавлением хэш-функции SHA-256. --force-v3-sigs --no-force-v3-sigs Стандарт OpenPGP рекомендует, чтобы приложения генерировали подписи v4, но PGP версий от 5-й до 7-й распознаёт такие подписи только на ключах. Данный параметр принуждает GnuPG использовать для подписи данных подписи v3. Заметьте, что данный параметр отменяет --ask-sig-expire, т.к. v3 подписи не имеют срока действия. --no-force-v3-sigs отменяет действие данного параметра. --force-v4-certs --no-force-v4-certs Всегда использовать v4 подписи на ключах, даже если это v3 ключи. Данный параметр, кроме того, меняет используемую по умолчанию хэш-функцию для v3 RSA ключей с MD5 на SHA-1. --no-force-v4-certs отменяет действие данного параметра. --force-mdc Принуждает GnuPG использовать шифрование с кодом обнаружения изменений. Всегда используется с более новыми шифрами (с размером блока более 64 бит) или если все ключи получателя поддерживают MDC. --disable-mdc Отключает использование кода обнаружения изменений. Заметьте, что при использовании данного параметра зашифрованные сообщения становятся уязвимы для атак изменения сообщений. --allow-non-selfsigned-uid --no-allow-non-selfsigned-uid Разрешает импорт и использование ключей с несамоподписанным идентификатором пользователя. Не рекомендуется для использования, т.к. такой идентификатор пользователя легко подделать. --no-allow-non-selfsigned-uid отменяет действие данного параметра. --allow-freeform-uid Отключает проверку формата идентификатора пользователя при его создании. Данный параметр рекомендуется использовать только в особых случаях, т.к. он не гарантирует являющийся стандартом де-факто формат идентификатора пользователя. --ignore-time-conflict GnuPG, обычно, проверяет правдоподобность значений меток времени, связанных с ключами и подписями. Однако, иногда подпись оказывается старше ключа из-за проблем с часами. Данный параметр позволяет ограничиваться в подобных случаях предупреждением. См. также параметр --ignore-valid-from, используемый для разрешения проблем с неправильным временем на подключах. --ignore-valid-from GnuPG, как правило, не позволяет выбирать и использовать ключи созданные в будущем. Данный параметр разрешает использование таких ключей. Вы не должны использовать данный параметр если у Вас нет серьёзных проблем с часами. --ignore-crc-error ASCII формат, используемый OpenPG защищается контрольной суммой для защиты от ошибок при передаче. Периодически эта контрольная сумма нарушается при передаче сообщения, но сама информация (защищенная протоколом OpenPGP) остаётся достоверной. Данный параметр позволяет игнорировать ошибки контрольной суммы. --ignore-mdc-error При использовании данного параметра, в случае нарушения целостности MDC только выдаётся предупреждение. Может использоваться в случае частичного повреждения сообщения, если необходимо извлечь как можно больше данных из повреждённого сообщения. Однако, учтите, что нарушение целостности MDC может свидетельствовать о подделке сообщения. --lock-once Блокировать базы данных при первом запросе и не снимать блокировку до завершения процесса. --lock-multiple Снимать блокировку каждый раз когда она больше не нужна. Используется для перезаписи --lock-once из файла конфигурации. --lock-never Полностью отменить блокировки. Данный параметр должен использоваться только в очень специфических средах, когда можно быть уверенным, что только один процесс имеет доступ к файлам. Загрузочная дискета с системой шифрования на ней может служить примером использования данного параметра. Неправильное использование донного параметра может привести к повреждению ключей и данных. --no-random-seed-file GnuPG использует файл для хранения внутреннего пула случайных чисел между запусками. Это ускоряет генерацию случайных чисел; однако в некоторых случаях операции записи не допускаются. Данный параметр может быть использован в такой ситуации ценой замедления генерации случайных чисел. --no-verbose Сбросить уровень детальности вывода в 0. --no-greeting Подавляет вывод сообщения об авторских правах. --no-secmem-warning Подавляет вывод предупреждения об использовании незащищенной памяти. --no-permission-warning Подавляет вывод предупреждения о небезопасных правах доступа к файлам и домашнему каталогу (--homedir). Заметьте, что проверка прав доступа к файлам, выполняемая GnuPG, не является чем-то значительным, это просто предупреждение об общих проблемах с правами доступа к файлам. Не следует предполагать, что отсутствие предупреждений означает защищённость Вашей системы. Заметьте, также, что вывод предупреждения о небезопасных правах доступа к домашнему каталогу не может быть отключен из файла конфигурации, т.к. это позволило бы взломщику легко подменить незащищённый файл конфигурации gpg.conf и подавить вывод предупреждения из него. Поэтому вывод предупреждения может быть отключен только из командной строки. --no-mdc-warning Подавляет вывод предупреждения об отсутствии MDC. --no-armor Предполагать, что входные данные не в ASCII формате. --no-default-keyring Не добавлять связки ключей по умолчанию к списку связок ключей. Заметьте, что GnuPG не будет работать совсем без связок ключей, поэтому при использовании данного параметра нужно указать используемые связки при помощи параметров --keyring или --secret-keyring, иначе будут использоваться связки открытых или закрытых ключей принятые по умолчанию. --skip-verify Пропустить проверку подписи. Этот параметр может использоваться для ускорения расшифрования если проверка подписи не требуется. --with-colons Вывести список ключей в виде полей разделённых двоеточиями. Заметьте, что вывод будет закодирован в UTF-8, независимо от значения параметра --display-charset. Данный формат удобен при вызове из сценариев и других программ, т.к. он легко обрабатывается. Подробное описание формата содержится в файле doc/DETAILS, который содержится в дистрибутиве с исходным кодом GnuPG. --with-key-data Вывести список ключей в виде полей разделённых двоеточиями (как и при использовании --with-colons) и вывести данные открытых ключей. --with-fingerprint То же, что и --fingerprint но изменяет только формат вывода и может использоваться с другой командой. --fast-list-mode Ускоряет работу команд выводящих список ключей; за счёт сокращения объёма выводимой информации. Некоторым приложениям не нужен идентификатор пользователя и информация об уровне доверия. Используя данный параметр они могут ускорить вывод списка. Точное поведение данной команды может измениться в будущих версиях. --fixed-list-mode Не объединять первичный идентификатор пользователя и первичный ключ при выводе в режиме --with-colon и выводить все метки времени в секундах с 1970-01-01. --list-only Изменяет работу некоторых команд. Схожа с --dry-run, но отличается в некоторых случаях. Семантика параметра может в будущем быть расширена. В настоящее время он только пропускает дешифрование и поэтому ускоряет вывод списка ключей шифрования. --no-literal Параметр не предназначен для обычного использования. Подробности применения смотрите в исходных текстах программы. --set-filesize Параметр не предназначен для обычного использования. Подробности применения смотрите в исходных текстах программы. --emulate-md-encode-bug GnuPG версий до 1.0.2 содержала ошибку в алгоритме кодирования подписи. Данный параметр позволяет проверять такие подписи. Ошибка возникает только в подписях ElGamal, которые используются сравнительно редко. --show-session-key Показать сеансовый ключ, использованный для зашифровки данного сообщения. См. также --override-session-key. Данный параметр может использоваться в случае, если Вас принуждают открыть содержимое отдельного сообщения. Используя данный параметр Вы можете получить сеансовый ключ, которым зашифровано сообщение. При помощи сеансового ключа Вы можете открыть сообщение не компрометируя остальные сообщения, зашифрованные для того же секретного ключа. НЕ ИСПОЛЬЗУЙТЕ ДАННЫЙ ПАРАМЕТР БЕЗ КРАЙНЕЙ НЕОБХОДИМОСТИ. --override-session-key &ParmString; Не использовать сеансовый ключ зашифрованный открытым ключом, а воспользоваться ключом &ParmString;. Формат параметра аналогичен выводимому при использовании --show-session-key. Данный параметр используется в том случае, если Вас принуждают открыть содержимое зашифрованного сообщения; используя данный параметр Вы можете это сделать без использования секретного ключа. --ask-sig-expire --no-ask-sig-expire При подписи данных запрашивать срок действия подписи. Если параметр не задан, то подпись бессрочная. --no-ask-sig-expire отменяет действие данного параметра. --ask-cert-expire --no-ask-cert-expire При подписи ключа запрашивать срок действия подписи. Если параметр не задан, то подпись бессрочная. --no-ask-cert-expire отменяет действие данного параметра. --expert --no-expert Позволяет пользователю выполнять некоторые нелепые или бессмысленные операции, например, подписывать просроченные и отозванные ключи, или операции нарушающие совместимость, например, генерировать ключи нерекомендуемых типов. Также отключает вывод предупреждающих сообщений о потенциально несовместимых действиях. В общем, как следует из названия, данный параметр только для специалистов. Если Вы не понимаете полностью зачем нужен этот параметр, лучше оставьте его отключенным. --no-expert отменяет действие данного параметра. --merge-only Не добавлять новые ключи при импорте. Добавляются только новые подписи и идентификаторы пользователей к уже имеющимся ключам. --allow-secret-key-import Устаревший параметр, больше не используется. --try-all-secrets Не обращать внимания на идентификатор ключа в сообщении, но перепробовать все имеющиеся секретные ключи пока не найдётся правильный ключ для расшифрования сообщения. Данный параметр принудительно устанавливает режим используемый при расшифровке сообщений для анонимных получателей (созданных с помощью --throw-keyid) и может быть полезен в случае если зашифрованное сообщение содержит неправильный идентификатор ключа. --enable-special-filenames Данный параметр включает режим в котором имена файлов вида -&n, где n -- неотрицательное десятичное число, обозначают файл с дескриптором n. --no-expensive-trust-checks Только для экспериментального использования. --group &ParmNameValues; Определить именованную группу, подобную алиасам в почтовых программах. При использовании имени группы в качестве получателя (-r or --recipient), она будет преобразовываться в список заданных значений. При задании нескольких групп с одним именем они автоматически объединяются в одну группу. В качестве значений указывается имя группы, а затем, после знака =, &ParmKeyIDs; или отпечатки ключей, но допускаются и любые другие описания ключа. Заметьте, что значения с пробелами будут интерпретироваться как два различных значения. Также, заметьте, что преобразование одноуровневое - Вы не можете указывать в группе другую группу. При использовании параметра из командной строки, может оказаться необходимым заключить аргумент в кавычки, для предотвращения его трактовки оболочкой, как нескольких параметров. --ungroup &ParmName; Удалить указанную запись из списка --group. --no-groups Удалить все записи из списка --group. --preserve-permissions Не изменять права доступа к файлу с набором секретных ключей в режим доступа чтения/записи только для владельца. Используйте данный параметр только в том случае, если действительно понимаете зачем Вам это нужно. --personal-cipher-preferences &ParmString; Установить список персональных предпочтений шифров в &ParmString;, этот список должен быть строкой, подобной той, что выводится командой "pref" в режиме редактирования. Это позволяет пользователю выбирать предпочитаемые им алгоритмы при выборе алгоритмов из указанных в ключе получателя. --personal-digest-preferences &ParmString; Установить список персональных предпочтений хэш-функций в &ParmString;, этот список должен быть строкой, подобной той, что выводится командой "pref" в режиме редактирования. Это позволяет пользователю выбирать предпочитаемые им алгоритмы при выборе алгоритмов из указанных в ключе получателя. Значение по умолчанию "H2", что соответствует SHA-1. --personal-compress-preferences &ParmString; Установить список персональных предпочтений алгоритмов сжатия в &ParmString;, этот список должен быть строкой, подобной той, что выводится командой "pref" в режиме редактирования. Это позволяет пользователю выбирать предпочитаемые им алгоритмы при выборе алгоритмов из указанных в ключе получателя. --default-preference-list &ParmString; Установить список персональных предпочтений в &ParmString;, этот список должен быть строкой, подобной той, что выводится командой "pref" в режиме редактирования. Команда влияет на генерацию ключа и команду "updpref" из режима редактирования. --list-config &OptParmNames; Вывести различные внутренние параметры конфигурации GnuPG. Данный параметр предназначен для использования внешними программами, которые используют GnuPG. См. подробности в файле doc/DETAILS в дистрибутиве GnuPG. --list-config используется только вместе с установленным параметром --with-colons. Имеется несколько способов указания идентификатора пользователя для GnuPG; ниже приведено несколько примеров: 234567C4 0F34E556E 01347A56A 0xAB123456 Это идентификатор ключа заданный в обычной коротком формате. 234AABBCC34567C4 0F323456784E56EAB 01AB3FED1347A5612 0x234AABBCC34567C4 Здесь идентификатор ключа задан в длинном формате, как в OpenPGP (Вы можете получить длинный идентификатор ключа используя параметр --with-colons). 1234343434343434C434343434343434 123434343434343C3434343434343734349A3434 0E12343434343434343434EAB3484343434343434 0xE12343434343434343434EAB3484343434343434 Наилучший способ задания ключа -- это использование его отпечатка. Это предотвращает любые неоднозначности в случае одинаковых идентификаторов ключей (которые крайне редки для длинных идентификаторов ключей). =Heinrich Heine <heinrichh@uni-duesseldorf.de> Используется точное соответствие строке. Это указывается знаком равенства. <heinrichh@uni-duesseldorf.de> Используется точное соответствие адреса электронной почты. Левая угловая скобка указывает, что используется ражим адреса электронной почты. +Heinrich Heine duesseldorf Все слова должны точно соответствовать указанным (регистр символов не имеет значения) но могут присутствовать в идентификаторе пользователя в любом порядке. Слова могут быть любыми последовательностями букв, цифр, знаков подчеркивания и символов с установленным 7-м битом. Heine *Heine Идентификатор должен содержать заданную подстроку (регистр символов не имеет значения). Этот режим используется по умолчанию, но можно дополнительно задать его поместив символ звёздочки в начале. Заметим, что Вы можете добавить восклицатльный знак (!) к идентификатору ключа или отпечатку. Это флаг, который указывает GnuPG, что следует использовать заданный первичный или вторичный ключ и не пытаться использовать какой-либо другой вторичный или первичный ключ. Программа возвращает 0 если все операции выполнены успешно, 1 если проверка хотя бы одной подписи была неудачной и другой код ошибки в случае фатальной ошибки. gpg -se -r подписать и зашифровать для пользователя Bob gpg --clearsign &ParmFile; создать прозрачную подпись gpg -sb &ParmFile; создать отделённую подпись gpg --list-keys показать ключ gpg --fingerprint показать отпечаток ключа gpg --verify gpg --verify Проверить подпись на файле, но не выводить его содержимое. Вторая форма может использоваться для отделённых подписей, где HOME Домашний каталог пользователя. GNUPGHOME Каталог, заменяющий "~/.gnupg". GPG_AGENT_INFO Используется для определения местоположения gpg-agent; используется только если установлен параметр --use-agent. Значение состоит из 3 полей, разделённых двоеточиями. Первое -- путь к доменному сокету UNIX, второе -- идентификатор процесса gpg-agent, и третье -- версия протокола, которая должна быть равна 1. При запуске gpg-agent, как описано в документации, данной переменной присваивается корректное значение. Параметр --gpg-agent-info может использоваться для перекрытия значения данной переменной. http_proxy Используется только если установлен параметр сервера ключей --honor-http-proxy. ~/.gnupg/secring.gpg Набор секретных ключей ~/.gnupg/secring.gpg.lock и его файл блокировки ~/.gnupg/pubring.gpg Набор открытых ключей ~/.gnupg/pubring.gpg.lock и его файл блокировки ~/.gnupg/trustdb.gpg База данных доверия ~/.gnupg/trustdb.gpg.lock и её файл блокировки ~/.gnupg/random_seed используется для хранения внутреннего пула случайных чисел ~/.gnupg/gpg.conf Конфигурационный файл по умолчанию ~/.gnupg/options Файл конфигурации в предыдущих версиях. Используется если не найден gpg.conf /usr[/local]/share/gnupg/options.skel Проотип файла параметров /usr[/local]/lib/gnupg/ Каталог, в котором по умолчанию хранятся модули расширения Используйте *хорошие* пароли для Вашей учетной записи и *хорошие* ключевые фразы для защиты Вашего секретного ключа. Ключевая фраза является самой слабой частью всей системы. Несложно создать программу, которая произведёт словарную атаку на Ваш набор секретных ключей, поэтому тщательно защищайте свой каталог "~/.gnupg/". Помните, что если Вы используете эту программу через сеть (например, используя telnet), то *очень* легко перехватить Вашу ключевую фразу! Если Вы проверяете отделённую подпись, то убедитесь, что программа знает об этом; либо задайте имена обоих файлов в командной строке, либо используйте - для указания стандартного ввода. GnuPG стремится быть очень гибкой реализацией стандарта OpenPGP. В частности, GnuPG реализует множество необязательных частей стандарта, таких как хэш-функция RIPEMD/160 и алгоритм сжатия ZLIB. Важно помнить, что не все программы OpenPGP реализуют эти дополнительные алгоритмы, и что принудительная установка этих алгоритмов при помощи параметров --cipher-algo, --digest-algo, --cert-digest-algo или --compress-algo в GnuPG может привести к тому, что созданное сообщение, будучи полностью соответствующим стандарту OpenPGP, не сможет быть прочитано получателем, использующим другую реализацию OpenPGP. Например, на время написания данного документа, нет официальных версий PGP поддерживающих алгоритм шифрования BLOWFISH. Если Вы используете этот алгоритм, то пользователь PGP не сможет расшифровать Ваше сообщение. То же самое относится к алгоритму сжатия ZLIB. По умолчанию, GnuPG использует систему предпочтений имеющуюся в OpenPGP, которая всегда делает правильный выбор и создаёт сообщения, которые могут быть прочитаны всеми получателями, независимо от того, какую реализацию OpenPGP они используют. Изменяйте установки по умолчанию только тогда, когда знаете, что делаете. Если Вам абсолютно необходимо перезаписать безопасные установки, принятые по умолчанию, или предпочтения на данном ключе по каким-то причинам неверны, то лучше использовать параметры --pgp6, --pgp7, --pgp8. Эти параметры безопасны, т.к. они не приводят к использованию какого-либо конкретного алгоритма в нарушение OpenPGP, а только уменьшают количество допустимых для использования алгоритмов. Во многих системах данная программа должна быть установлена с битом SUID. Это необходимо для блокировки страниц памяти. Блокировка страниц памяти предотвращает запись этих страниц (которые могут содержать пароли или другую секретную информацию) на диск. Если программа не выводит предупреждающего сообщения о незащищенной памяти, то это значит, что Ваша операционная система поддерживает блокировку без прав суперпользователя. Программа сбрасывает привилегии суперпользователя сразу после того, как выделяется блокируемая память. Перевод на русский язык: Павел Шайдо <zwon@e-mail.ru>