Следующий: Управление ключами OpenPGP, Пред: Общие команды GPG, Вверх: Команды GPG [Содержание][Указатель]
--sign
-s
Подписать сообщение. Эту команду можно сочетать с --encrypt (чтобы подписать и зашифровать сообщение) или одновременно с --encrypt и --symmetric (чтобы подписать и зашифровать сообщение, которое можно расшифровать секретным ключом или по фразе-паролю). Для подписи берется основной ключ или ключ, явно указанный параметрами --local-user и --default-key.
--clear-sign
--clearsign
Сделать текстовую подпись. Текст с такой подписью можно читать без специальных программ. Программа, реализующая OpenPGP, нужна только для проверки подписи. В подписанных данных, которые выводятся вместе с подписью, могут изменяться символы перевода строки для независимости от платформы; эта нормализация может быть необратима. Для подписи берется основной ключ или ключ, явно указанный параметрами --local-user и --default-key.
--detach-sign
-b
Создать отделенную подпись. В отличие от простой подписи, подписанные данные в отделенной подписи не присутствуют.
--encrypt
-e
Зашифровать данные. Эту команду можно сочетать с --sign (чтобы подписать и зашифровать сообщение), --symmetric (чтобы зашифровать сообщение, которое можно расшифровать секретным ключом или по фразе-паролю) или --sign и --symmetric одновременно (для подписанных сообщений, которые можно расшифровать с помощью секретного ключа по фразе-паролю).
--symmetric
-c
Зашифровать симметричным шифром с помощью пароля. По умолчанию применяется алгоритм шифрования AES-128, но его можно выбрать параметром --cipher-algo. Эту команду можно сочетать с --sign (для подписанных сообщений, зашифрованных симметричным шифром), --encrypt (для сообщений, которые можно расшифровать секретным ключом или по фразе-паролю) или --sign и --encrypt одновременно (для подписанных сообщений, которые можно расшифровать секретным ключом или по фразе-паролю).
--store
Только сохранить (записать простой пакет с данными).
--decrypt
-d
Расшифровать файл, данный в командной строке (или стандартном потоке ввода, если файл не указан) и записать в стандартный поток вывода (или файл, если он указан параметром --output). Если расшифровываемый файл подписан, подпись проверяется. Эта команда отличается от действия по умолчанию тем, что игнорирует файлы, которые не начинаются с зашифрованного сообщения, и не пишет в файл с именем, указанным в сообщении.
--verify
Считать, что первый аргумент — подписанный файл, и проверить подпись, не создавая выходного файла. Без аргументов пакет с подписью читается из стандартного потока ввода. Если дан только один аргумент, в указанном файле ожидается полная (не отделенная) подпись.
Если аргументов больше одного, первый должен указывать файл с отделенной подписью, а остальные файлы должны содержать подписанные данные. Чтобы читать подписанные данные из стандартного потока ввода, в качестве имени второго файла введите ‘-’. По соображениям безопасности отделенная подпись не применяется к стандартному потоку ввода, если это явно не обозначено вышеуказанным образом.
Замечание: Если параметр --batch не используется,
gpg2
может считать, что единственный аргумент представляет
файл с отделенной подписью, и попытаться найти соответствующий файл данных,
отбрасывая определенные суффиксы в имени. Пользоваться этой исторической
особенностью категорически не рекомендуется; всегда указывайте файл данных
явно.
Замечание: Когда проверяется текстовая подпись, gpg2
проверяет
только ту часть, которая составляет подписанные данные, но не какие-либо
дополнительные данные, не заключенные между
строками-ограничителями. Параметр --output
можно применять для вывода
самих подписанных данных, но с этим форматом есть и другие
загвоздки. Рекомендуется вместо текстовых подписей пользоваться отделенными.
Замечание: Иногда легче воспользоваться gpgv
, чем полной командой
gpg
с этим параметром. gpgv
сравнивает подписанные
данные по списку доверенных ключей и возвращает признак успешного выполнения
только для действительной подписи. У команды есть своя страница man.
--multifile
Указание для определенных команд принимать в командной строке несколько файлов для обработки или считывать имена файлов из стандартного потока ввода по одному на строку. Это позволяет обработать несколько файлов за раз. В настоящее время --multifile можно применять с --verify, --encrypt и --decrypt. Обратите внимание, что --multifile --verify нельзя применять с отделенными подписями.
--verify-files
То же, что --multifile --verify.
--encrypt-files
То же, что --multifile --encrypt.
--decrypt-files
То же, что --multifile --decrypt.
--list-keys
-k
--list-public-keys
Перечислить указанные ключи. Если ключи не указаны, перечисляются все ключи из настроенных таблиц открытых ключей.
Никогда не пользуйтесь текстом, выведенным этой командой, в программах. Он предназначен только для человека, и его формат часто меняется. Данные в стабильном формате для машинной обработки выдаются по --with-colons.
--list-secret-keys
-K
Перечислить указанные секретные ключи. Если ключи не указаны, выводятся все
известные секретные ключи. Символ #
после начальных меток sec
и ssb
значит, что секретный ключ или подключ в настоящее время
непригоден для использования. Можно сказать также, что этот ключ недоступен
(например, секретный ключ можно экспортировать с помощью команды
--export-secret-subkeys). Символ >
после этих меток
указывает, что ключ хранится на карте. См. также --list-keys.
--list-signatures
--list-sigs
То же, что --list-keys, но приводятся и подписи. То же самое можно сделать, применяя --list-keys с --with-sig-list.
Для каждой перечисленной подписи между меткой "sig" и идентификатором ключа выводится несколько символов. Эти символы дают дополнительные сведения о каждой подписи (слева направо): цифры 1-3 представляют уровень проверки сертификата (см. --ask-cert-level), "L" — локальная (неэкспортируемая) подпись (см. --lsign-key), "R" — неотзываемая подпись (см. команду "nrsign" --edit-key), "P" — подпись содержит URL правил (см. --cert-policy-url), "N" — подпись содержит замечание (см. --cert-notation), "X" — срок действия подписи истек (см. --ask-cert-expire), цифры 1-9 или "T" (что значит 10 и выше) указывают уровень доверия подписи (см. команду "tsign" --edit-key).
--check-signatures
--check-sigs
То же, что --list-signatures, но подписи проверяются. Обратите внимание, что по соображениям быстродействия не определяется, отозван подписавший ключ или нет. Команда эквивалентна вызову --list-keys с --with-sig-check.
Результат проверки указывается символом, непосредственно следующим за меткой "sig" (следовательно, перед вышеописанными символами --list-signatures). "!" указывает, что подпись прошла проверку успешно, "-" означает плохую подпись, а "%" выводится при ошибке во время проверки подписи (например, если не поддерживается алгоритм).
--locate-keys
Найти заданные в качестве аргументов ключи. Эта команда находит ключи в
основном по алгоритму, который применяется для поиска ключей при шифровке и
подписи; таким образом, команду можно использовать для определения того,
какие ключи будет использовать gpg2
. В частности, внешние
методы, определяемые --auto-key-locate, могут использоваться для
поиска ключа. Выводятся только открытые ключи.
--fingerprint
Перечислить все (или указанные) ключи с их отпечатками. То же, что --list-keys, но дополнительно выводится строка с отпечатком. Можно также сочетать с --list-signatures и --check-signatures. Если команда задана дважды, выводятся также отпечатки всех вторичных ключей. Эта команда также приводит к принудительному выводу отпечатков, если в качестве формата идентификаторов ключей указано «none».
--list-packets
Перечислять только последовательности пакетов. Команда полезна только для отладки. Когда задан параметр --verbose, выводятся сами значения длинных чисел, а не только их длины. Обратите внимание, что вывод этой команды в новых выпусках может измениться.
--edit-card
--card-edit
Представить меню для работы с электронной картой. Подкоманда "help" выводит обзор имеющихся команд. Подробное описание см. в «Памятке GnuPG по картам» на https://gnupg.org/documentation/howtos.html#GnuPG-cardHOWTO .
--card-status
Показать содержимое электронной карты.
--change-pin
Представить меню для изменения PIN электронной карты. Эта функция имеется также в виде подкоманды «passwd» в команде --edit-card.
--delete-keys имя
Удалить ключ из таблицы открытых ключей. В пакетном режиме требуется либо --yes, либо указание ключа отпечатком; это предохраняет от удаления сразу нескольких ключей по случайности.
--delete-secret-keys имя
Удалить ключ из таблицы секретных ключей В пакетном режиме ключ должен
задаваться отпечатком. Параметр --yes можно использовать, чтобы
указать программе gpg-agent
не запрашивать подтверждения. Эта
дополнительная предосторожность предпринимается, потому что
gpg2
не может быть уверен, что секретный ключ (контролируемый
программой gpg-agent
) используется только для данного открытого
ключа OpenPGP.
--delete-secret-and-public-key имя
То же, что --delete-key, но если есть секретный ключ, сначала будет
удалятся он. В пакетном режиме ключ должен задаваться отпечатком. Параметром
--yes можно указать программе gpg-agent
не запрашивать
подтверждения.
--export
Экспортировать все ключи из всех таблиц (основных и зарегистрированных параметром --keyring) или (если дано хотя бы одно имя) ключи с заданным именем. Экспортируемые ключи выводятся в стандартный поток вывода или файл, заданный параметром --output. Для отправки по почте применять с параметром --armor.
--send-keys ID ключей
Подобно команде --export, но отсылает ключи на сервер
ключей. Вместо идентификаторов ключей можно применять отпечатки. Для задания
имени сервера должен применяться параметр --keyserver. Не отсылайте
свою таблицу ключей на сервер полностью — выбирайте только новые или
измененные вами ключи. Если идентификаторов ключей не дано,
gpg2
ничего не делает.
--export-secret-keys
--export-secret-subkeys
То же, что --export, но экспортирует секретные
ключи. Экспортируемые ключи выводятся в стандартный поток вывода или в файл,
указанный параметром --output. Эту команду часто применяют с
параметром --armor, чтобы это можно было распечатать на бумаге;
однако для сохранения резервных копий на бумаге лучше подходит внешняя
программа paperkey
. Обратите внимание, что экспорт секретного
ключа может представлять опасность, если экспортированные ключи пересылаются
по незащищенному каналу.
Вторая форма команды отличается тем, что делает секретную часть первичного ключа непригодной к использованию; это расширение OpenPGP, специфичное для GNU, и нельзя ожидать, что другие реализации смогут успешно импортировать такой ключ. Расширение предназначено для того, чтобы создавать полный ключ с дополнительным подключом для подписи на выделенной для этого машине. Затем этой командой ключ экспортируется без первичного ключа на главную машину.
GnuPG может запросить у вас фразу-пароль ключа. Это требуется, потому что внутренний метод защиты секретного ключа отличается от метода, предписанного в протоколе OpenPGP.
--export-ssh-key
Эта команда применяется для экспорта ключа в формате открытого ключа OpenSSH. Это требует указания одного ключа обычным способом; последний действительный подключ, который можно использовать для проверки подлинности, экспортируется в стандартный поток вывода или файл, заданный параметром --output. Результат можно напрямую добавлять в файл authorized_key ssh.
Указывая ключ с помощью идентификатора ключа или отпечатка, к которому приписан восклицательный знак (!), можно экспортировать конкретный подключ или первичный ключ. При этом не требуется даже, чтобы у ключа был установлен признак возможности проверки подлинности.
--import
--fast-import
Импортировать или объединить ключи. Добавляет данные ключи в таблицу ключей. Вариант «fast» в настоящий момент просто синоним.
Несколько других параметров управляют работой этой команды, прежде всего это параметр --import-options merge-only, который не вставляет новые ключи, а только дополняет их новыми подписями, идентификаторами пользователя и подключами.
--receive-keys идентификаторы ключей
--recv-keys идентификаторы ключей
Импортировать ключи с данными идентификаторами с сервера ключей. Для указания имени этого сервера нужно пользоваться параметром --keyserver.
--refresh-keys
Запросить на сервере ключей обновление тех ключей, которые уже записаны в локальную таблицу ключей. Это полезно для обновления ключа новыми подписями, идентификаторами пользователя и т.д. Для указания имени этого сервера нужно пользоваться параметром --keyserver для всех ключей, у которых не установлены предпочтительные серверы (см. --keyserver-options honor-keyserver-url).
--search-keys имена
Искать на сервере ключей заданные имена. Заданные имена объединяются в строку для поиска на сервере. Для указания имени этого сервера нужно пользоваться параметром --keyserver. Серверы, которые поддерживают различные методы поиска, допускают использование выражений, описанных ниже в разделе «Как указать идентификатор пользователя». Обратите внимание, что разные типы серверов ключей поддерживают разные методы поиска. В настоящее время только поиск по LDAP поддерживает все методы.
--fetch-keys URI
Извлечь ключи, расположенные по указанным URI. Обратите внимание, что разные варианты установки GnuPG могут поддерживать разные наборы протоколов (HTTP, FTP, LDAP и т.д.). При связи по HTTPS эта команда пользуется корневыми сертификатами, предоставляемыми системой.
--update-trustdb
Провести регламентные работы в базе данных доверия. Команда проходит по всем ключам и строит сеть доверия. Это диалоговая команда, она может запрашивать значения «доверия владельцу» для разных ключей. Пользователь должен дать оценку того, насколько он верит, что владелец показанного ключа всегда правильно сертифицирует (подписывает) другие ключи. GnuPG запрашивает эти значения, только когда они ключу еще не присвоены. Присвоенное значение можно изменить в любой момент из меню команды --edit-key.
--check-trustdb
Провести работы по поддержке базы данных доверия без участия пользователя. Время от времени база данных доверия должна обновляться, чтобы отследить просроченные ключи или подписи, влияющие на сеть доверия. Обычно GnuPG делает это автоматически по мере необходимости, если не задан параметр --no-auto-check-trustdb. Этой командой можно в любое время проводить принудительную проверку базы данных доверия. Обработка проводится та же, что по команде --update-trustdb, но ключи, у которых «доверие владельцу» не установлено, пропускаются.
Для применения с заданиями cron эту команду можно вызывать с параметром --batch; в этом случае проверка проводится только тогда, когда она нужна. Для принудительной проверки в пакетном режиме добавьте параметр --yes.
--export-ownertrust
Отправить величины доверия владельцам в стандартный поток вывода. Это полезно для задач резервного копирования, поскольку в случае порчи базы данных доверия нельзя восстановить только эти значения.
gpg2 --export-ownertrust > otrust.txt
--import-ownertrust
Обновить базу данных доверия значениями, записанными в заданных файлах (или стандартном потоке ввода, если файлы не заданы); существующие значения будут заменяться на новые. В случае сильно поврежденной базы данных, если у вас есть свежая резервная копия величин доверия владельцам (напр., в файле otrust.txt), восстановить базу данных можно командами:
cd ~/.gnupg rm trustdb.gpg gpg2 --import-ownertrust < otrust.txt
--rebuild-keydb-caches
При обновлении с версии 1.0.6 до версии 1.0.7 эту команду нужно применять для создания буферов подписей в таблице ключей. Она может оказаться удобной и в других ситуациях.
--print-md алг
--print-mds
Распечатать хеш сообщения, найденный по алгоритму АЛГ, для всех заданных файлов или стандартного потока ввода. Во втором варианте команды (или в нерекомендованном случае «*» в качестве алгоритма) распечатываются хеши, найденные по всем доступным алгоритмам.
--gen-random 0|1|2
число
Выдать указанное число случайных байт на заданном уровне качества (0, 1 или 2). Если число не задано или равно нулю, выдается бесконечная последовательность случайных байт. Если задан параметр --armor, данные на выходе будут в кодировке base64. НЕ ПОЛЬЗУЙТЕСЬ этой командой, если вы не знаете, что делаете; она может вывести драгоценную энтропию из системы!
--gen-prime режим
биты
См. исходники. Формат данных на выходе еще не устоялся.
--enarmor
--dearmor
Запаковать произвольные данные на входе в формат ASCII OpenPGP или распаковать их. Это расширение OpenPGP, специфическое для GnuPG, в целом это не очень полезно.
--tofu-policy auto|good|unknown|bad|ask
ключ...
Установить правило TOFU для всех привязок указанных ключей (см. trust-model-tofu). Ключи можно задавать отпечатками (предпочтительно) или идентификаторами.
Следующий: Управление ключами OpenPGP, Пред: Общие команды GPG, Вверх: Команды GPG [Содержание][Указатель]