Следующий: Не рекомендованные параметры, Пред: Параметры совместимости, Вверх: Параметры GPG [Содержание][Указатель]
-n
--dry-run
Не вносить никаких изменений (реализовано не полностью).
--list-only
Изменяет работу некоторых команд. То же, что --dry-run, но не всегда. Смысл этого параметра в будущем может расшириться. В настоящее время он только пропускает саму расшифровку и таким образом позволяет быстро просматривать ключи в зашифрованном сообщении.
-i
--interactive
Спрашивать перед записью поверх любых файлов.
--debug-level уровень
Выбрать уровень отладки для исследования проблем. Аргумент может быть числом либо ключевым словом:
none
Никакой отладки. Эквивалентно числам, меньшим 1.
basic
Простейшие отладочные сообщения. Эквивалентно числам между 1 и 2.
advanced
Более подробные отладочные сообщения. Эквивалентно числам между 3 и 5.
expert
Еще более подробные отладочные сообщения. Эквивалентно числам между 6 и 8.
guru
Все отладочные сообщения, какие только есть. Эквивалентно числам, большим 8. Файлы отслеживания хешей создаются, только если используется это ключевое слово.
Как сообщения связаны с конкретными признаками отладки, не документируется и может меняться с выходом новых версий программы. Однако их тщательно выбирают, чтобы помочь в отладке.
--debug признаки
Установить отладочные признаки. Все признаки объединяются по ИЛИ; признаки можно задавать в записи Си (напр., 0x0042) или в виде списка разделенных запятой названий признаков. Список всех поддерживаемых признаков можно получить, введя в качестве аргумента «help».
--debug-all
Установить все полезные отладочные признаки.
--debug-iolbf
Перевести стандартный поток вывода в буферный режим. Этот параметр учитывается, только когда вводится в командной строке.
--faked-system-time момент
Этот параметр полезен только для тестирования; он переводит системное время к моменту, заданному аргументом в виде количества секунд с начала 1970 года. Время можно задавать также в виде полной строки времени ИСО (напр., «20070924T154812»).
Если в конце аргумента стоит восклицательный знак, системное время будет заморожено на указанном моменте.
--enable-progress-filter
Включить вывод определенных индикаторов выполнения задачи. Параметр
позволяет оболочкам отображать ход работы, когда gpg
обрабатывает
большие файлы. Параметр слегка ухудшает быстродействие.
--status-fd n
Записывать специальные диагностические сообщения в файл с указанным дескриптором. Документацию по этим строкам см. в файле DETAILS.
--status-file файл
То же, что --status-fd, но диагностические сообщения пишутся в файл.
--logger-fd n
Писать отчет о ходе работы в файл с указанным дескриптором, а не стандартный поток ошибок.
--log-file файл
--logger-file файл
То же, что --logger-fd, но данные о ходе работы пишутся в файл. Укажите socket://, если нужно протоколировать в сокет.
--attribute-fd n
Записывать подпакеты атрибутов в файловый дескриптор n. Это полезнее всего при использовании с --status-fd, поскольку сообщения о состоянии нужно отделять от различных подпакетов из потока, который выводится в файловый дескриптор.
--attribute-file файл
То же, что --attribute-fd, но данные атрибутов пишутся в файл.
--comment строка
--no-comments
Использовать аргумент в качестве строки примечания к текстовым подписям и сообщениям или ключам в текстовом формате ASCII. По умолчанию примечаний нет. Параметр --comment можно повторять, чтобы получить несколько строк с примечаниями. Параметр --no-comments сбрасывает все примечания. Рекомендуется ограничивать длину одного примечания 60 символами, чтобы избежать проблем, связанных с разбиением длинных строк почтовыми программами. Обратите внимание, что строки примечаний, как и другие строки заголовка, подписью не защищаются.
--emit-version
--no-emit-version
Принудительно добавлять строку с версией в текстовом формате ASCII. Если параметр дан один раз, выводится только название программы и старший номер версии, если дважды, выводится также младший номер, если трижды, добавляется номер микроверсии, четырежды — выводится также идентификатор операционной системы. Параметр --no-emit-version (исходное значение) отключает строку версии.
--sig-notation {имя=значение}
--cert-notation {имя=значение}
-N, --set-notation {имя=значение}
Разместить пару «имя—значение» в подписи в качестве замечания. имя должно состоять только из неслужебных символов или пробелов и должно содержать символ «@» в записи имя-ключа@domain.example.com (конечно, с подходящим именем ключа и доменом) с целью предотвратить засорение зарезервированного пространства имен замечаний IETF. Параметр --expert отменяет проверку «@». значение может быть любой строкой неслужебных символов; он будет перекодирован в UTF-8, так что нужно проверить, что параметр --display-charset задан верно. Если к аргументу имя приписать спереди восклицательный знак («!»), данные замечания будут помечены как критичные (rfc4880:5.2.3.16). Параметр --sig-notation устанавливает замечание для подписей данных. Параметр --cert-notation устанавливает замечание для подписей ключей (сертификаций). Параметр --set-notation устанавливает и то, и другое.
В именах замечаний можно использовать особые коды. «%k» заменяется на идентификатор подписываемого ключа, «%K» — на длинный идентификатор подписываемого ключа, «%f» — на отпечаток подписываемого ключа, «%s» — на идентификатор подписывающего ключа, «%S» — на длинный идентификатор подписывающего ключа, «%g» — на отпечаток подписывающего ключа (который может быть и подключом), «%p» — на отпечаток первичного ключа для подписывающего ключа, «%c» — на счетчик подписей из электронной карты OpenPGP, а «%%» переходит в один символ «%». «%k», «%K» и «%f» имеют смысл только при подписи ключей (сертификации), а «%c» имеет смысл только при пользовании электронной картой OpenPGP.
--sig-policy-url строка
--cert-policy-url строка
--set-policy-url строка
Использовать аргумент в качестве URL правил для подписей (rfc4880:5.2.3.20). Если спереди приписать восклицательный знак («!»), пакет с URL правил будет помечен как критичный. Параметр --sig-policy-url устанавливает URL правил для подписей данных. Параметр --cert-policy-url устанавливает URL правил для подписей ключей (сертификации). Параметр --set-policy-url устанавливает и то, и другое.
Здесь можно использовать те же специальные коды со знаками «%», что и для замечаний.
--sig-keyserver-url строка
Использовать аргумент строка в качестве URL предпочтительного сервера ключей для подписей данных. Если спереди приписать восклицательный знак («!»), пакет с URL сервера ключей будет помечен как критичный.
Здесь можно использовать те же специальные коды со знаками «%», что и для замечаний.
--set-filename строка
Использовать аргумент строка в качестве имени файла, которое сохраняется внутри сообщений. Это отменяет исходное значение (настоящее имя файла, который зашифровывается). Пустое значение аргумента фактически удаляет имя файла из данных на выходе.
--for-your-eyes-only
--no-for-your-eyes-only
Установить в сообщении признак «только между нами». GnuPG будет отказываться сохранять файл, если не задан параметр --output, а PGP будет использовать для вывода сообщения «защищенную программу просмотра» с заявленным стойким к перехвату излучений шрифтом. Этот параметр отменяет --set-filename. Отменяется параметром --no-for-your-eyes-only.
--use-embedded-filename
--no-use-embedded-filename
Пытаться создать файл с именем, указанным в данных. Это может быть опасно, поскольку позволяет перезаписывать файлы. По умолчанию выключено.
--cipher-algo название
Применять указанный алгоритм симметричного шифрования. Запуск программы с командой --version выдает список доступных алгоритмов. Если параметр не задан, алгоритм выбирается из предпочтений, записанных в ключе. Обычно этим параметром пользоваться не нужно, поскольку он позволяет нарушать стандарт OpenPGP. Параметр --personal-cipher-preferences позволяет добиться того же безопасным образом.
--digest-algo название
Применять указанный алгоритм хеша. Запуск программы с командой --version выдает список доступных алгоритмов. Обычно этим параметром пользоваться не нужно, поскольку он позволяет нарушать стандарт OpenPGP. Параметр --personal-digest-preferences позволяет добиться того же безопасным образом.
--compress-algo название
Применять указанный алгоритм сжатия данных. «zlib» представляет алгоритм
ZLIB RFC-1950
. «zip» представляет алгоритм ZIP RFC-1951
,
применяемый в PGP. «bzip2» представляет более современный алгоритм сжатия,
который сжимает некоторые данные лучше, чем zip и zlib, ценой большего
расхода памяти во время сжатия и восстановления данных. «uncompressed» или
«none» выключает сжатие. Если параметр не задан, анализируются предпочтения
ключа получателя и выбирается алгоритм, который поддерживается
получателем. Если ничто из этого не удается, для наибольшей совместимости
выбирается ZIP.
ZLIB может давать лучшие результаты, чем ZIP, поскольку окно сжатия не ограничено размером 8к. BZIP2 может давать еще лучшие результаты, но он требует значительно больше памяти во время сжатия и восстановления данных. Это может быть важно, когда память ограничена. Однако заметьте, что PGP (все версии) поддерживает только ZIP. Сообщение, сжатое по любому алгоритму, кроме ZIP и «none», невозможно прочесть с помощью PGP. Обычно вам не нужно пользоваться этим параметром, поскольку он позволяет нарушать стандарт OpenPGP. Параметр --personal-compress-preferences позволяет добиться того же безопасным образом.
--cert-digest-algo название
Применять указанный алгоритм хеша при подписи ключей. Запуск программы с командой --version выдает список доступных алгоритмов. Имейте в виду, что если выбран алгоритм, который GnuPG поддерживает, а другие реализации OpenPGP — нет, то некоторые пользователи не смогут пользоваться подписями, которые вы делаете, а вполне возможно, и всем вашим ключом.
--disable-cipher-algo название
Никогда не пользоваться указанным алгоритмом симметричного шифрования. Название не проверяется, так что загруженный впоследствии алгоритм тоже будет отключаться.
--disable-pubkey-algo название
Никогда не пользоваться указанным алгоритмом шифрования с открытым ключом. Название не проверяется, так что загруженный впоследствии алгоритм тоже будет отключаться.
--throw-keyids
--no-throw-keyids
Не помещать идентификаторы ключей получателей в зашифрованные сообщения. Это помогает скрыть получателей сообщения и представляет ограниченную меру противодействия анализа потока данных2. На приемном конце это может замедлить процесс расшифровки, поскольку нужно перебирать все доступные секретные ключи. Этот параметр отменяется параметром --no-throw-keyids. Этот параметр по существу эквивалентен применению параметра --hidden-recipient для всех получателей.
--not-dash-escaped
Этот параметр изменяет вывод текстовых подписей (см. команда --clearsign) так, чтобы их можно было применять в файлах изменений (в таких
подписях изменяются строки, начинающиеся с «-», так что текст становится
непригодным для программы patch
). Такие файлы не следует посылать
по электронной почте, потому что подпись относится и ко всем пробелам и
переводам строки. Этот параметр нельзя применять, когда в файле есть строки,
начинающиеся с 5 знаков «-»; в файлах изменений таких строк не
бывает. Особая строка текстового заголовка объявляет GnuPG об этом параметре
текстовой подписи.
--escape-from-lines
--no-escape-from-lines
Поскольку некоторые почтовые программы изменяют «From » в начале строк на «>From », при создании текстовых подписей (см. команда --clearsign) неплохо обрабатывать такие строки особым образом, чтобы система почты не портила подпись. Обратите внимание, что все другие версии PGP поступают точно так же. По умолчанию включено. Выключается параметром --no-escape-from-lines.
--passphrase-repeat n
Определить, сколько раз gpg
запрашивает повтор новой
фразы-пароля. Полезно для запоминания фразы-пароля. Исходное значение равно
1.
--passphrase-fd n
Читать фразу-пароль из файлового дескриптора n. Из файлового дескриптора n будет читаться только первая строка. Если задать 0, фраза-пароль будет считываться из стандартного потока ввода. Параметр можно использовать, только если вводится одна фраза-пароль.
Обратите внимание, что начиная с версии 2.0 эта фраза-пароль используется,
только если задан параметр --batch. Начиная с версии 2.1 нужно
также задавать --pinentry-mode равным loopback
.
--passphrase-file файл
Читать фразу-пароль из указанного файла. Из файла файл будет читаться только первая строка. Параметр можно использовать, только если вводится одна фраза-пароль. Очевидно, что защищенность фразы-пароля, которая хранится в файле, сомнительна, если этот файл могут читать другие пользователи. Не пользуйтесь этим параметром, если можете избежать этого.
Обратите внимание, что начиная с версии 2.0 эта фраза-пароль используется,
только если задан параметр --batch. Начиная с версии 2.1 нужно
также задавать --pinentry-mode равным loopback
.
--passphrase строка
Использовать аргумент в качестве фразы-пароля. Параметр можно использовать, только если вводится одна фраза-пароль. Очевидно, что защищенность этого метода в многопользовательской системе весьма сомнительна. Не пользуйтесь этим параметром, если можете избежать этого.
Обратите внимание, что начиная с версии 2.0 эта фраза-пароль используется,
только если задан параметр --batch. Начиная с версии 2.1 нужно
также задавать --pinentry-mode равным loopback
.
--pinentry-mode режим
Установить режим программы ввода пароля. Допустимые значения аргумента:
Пользоваться исходным режимом, т.е. ask
.
Принудительно пользоваться программой ввода пароля.
Имитировать нажатие клавиши «отмена» программы ввода пароля.
Возвращать ошибку программы ввода пароля («программа ввода пароля отсутствует»).
Перенаправлять запросы программы ввода пароля на вызывающего. Обратите внимание, что в отличие от программы ввода пароля, запрос ввода пароля не повторяется, если пользователь ввел неверный пароль.
--no-symkey-cache
Отключить буфер фраз-паролей для симметричного шифрования и расшифрования. Этот буфер построен индивидуальном для каждого сообщения значении соли (см. --s2k-mode).
--request-origin источник
Дать указание gpg
считать, что операция исходит из заданного
источника. В зависимости от источника применяются определенные ограничения,
а программа ввода пароля может выводить дополнительное замечание об
источнике. Параметр может принимать значения: local
(исходное),
remote
для удаленного источника и browser
для операции,
запрошенной браузером.
--command-fd n
Это замена не рекомендованного режима взаимодействия между процессами через общую память. Если задан этот параметр, ввод пользователя в ответ на запросы ожидается не с терминала, а из указанного файлового дескриптора. Параметром следует пользоваться вместе с --status-fd. Подробности см. в файле doc/DETAILS из дистрибутива исходных текстов.
--command-file файл
То же, что --command-fd, но команды читаются из указанного файла.
--allow-non-selfsigned-uid
--no-allow-non-selfsigned-uid
Разрешить импорт и применение ключей с идентификаторами пользователя, у которых нет самоподписи. Это не рекомендуется, поскольку такие идентификаторы элементарно подделываются. Отключается параметром --no-allow-non-selfsigned-uid.
--allow-freeform-uid
При создании нового идентификатора пользователя отключить все проверки его формы. Этот параметр следует применять только в очень специфичных средах, поскольку он позволяет обходить стандарт де-факто на формат идентификаторов пользователя.
--ignore-time-conflict
Обычно GnuPG проверяет, что метки времени, связанные с ключами и подписями, лежат в разумных пределах. Однако иногда подпись кажется старше ключа из-за проблем с часами. Если задан этот параметр, такие проверки приводят только к предупреждениям. См. также --ignore-valid-from о проблемах с метками времени у подключей.
--ignore-valid-from
Обычно GnuPG не выбирает и не использует ключи, созданные в будущем. Этот параметр позволяет пользоваться такими ключами и тем самым действовать, как версии GnuPG до 1.0.7. Этим параметром не следует пользоваться, если только нет какой-то проблемы с часами. См. также --ignore-valid-from о проблемах с метками времени у подписей.
--ignore-crc-error
Текстовый формат ASCII, используемый OpenPGP, защищается циклической контрольной суммой от ошибок во время передачи сообщения. Иногда контрольная сумма искажается где-то в канале передачи, но само содержимое (все равно защищенное протоколом OpenPGP) остается в норме. Этот параметр позволяет GnuPG не учитывать ошибки контрольных сумм.
--ignore-mdc-error
Если задан этот параметр, сбой защиты целостности кодом обнаружения изменений становится предупреждением. Это полезно, если сообщение частично повреждено, но нужно восстановить как можно больше данных из поврежденного сообщения. Однако помните, что сбой защиты кодом обнаружения изменений может означать также, что сообщение преднамеренно изменено злоумышленником.
--allow-weak-digest-algos
Подписи, выполненные с помощью заведомо слабых алгоритмов хеша, обычно отвергаются с сообщением «недопустимый алгоритм хеша». Этот параметр разрешает проверку подписей, выполненных с помощью таких слабых алгоритмов. По умолчанию MD5 — единственный алгоритм хеша, который считается слабым. См. также параметр --weak-digest для отказа от других алгоритмов хеша.
--weak-digest название
Считать указанный алгоритм слабым. Подписи, выполненные с помощью слабых алгоритмов хеша, обычно отвергаются. Этот параметр можно вводить несколько раз, если слабыми должны считаться несколько алгоритмов. См. также параметр --allow-weak-digest-algos отмены отказа от слабых алгоритмов хеша. MD5 всегда считается слабым, так что его не нужно перечислять в явном виде.
--no-default-keyring
Не добавлять к списку таблиц ключей основные таблицы. Обратите внимание, что GnuPG не может работать совсем без таблиц ключей, так что если вы задаете этот параметр, не задавая другие таблицы ключей с помощью --keyring или --secret-keyring, то GnuPG все равно будет пользоваться основной таблицей открытых или секретных ключей.
--no-keyring
Не пользоваться никакими таблицами ключей, даже указанными в параметрах.
--skip-verify
Пропустить шаг проверки подписи. Это можно использовать для ускорения дешифровки, когда проверка подписи не требуется.
--with-key-data
Выводить списки ключей с двоеточием в качестве разделителя (как --with-colons) и выводить данные открытых ключей.
--list-signatures
--list-sigs
То же, что --list-keys, но приводятся и подписи. То же самое можно сделать, применяя --list-keys с --with-sig-list. Заметьте, что в отличие от --check-signatures, подписи на ключе не проверяются. Эту команду можно применять, чтобы получить список подписавших ключей, отсутствующих в местной связке ключей, например:
gpg --list-sigs --with-colons ид_пользователя | \ awk -F: '$1=="sig" && $2=="?" {if($13){print $13}else{print $5}}'
--fast-list-mode
Изменяет вывод перечисляющих команд так, чтобы они работали быстрее; это достигается тем, что некоторые части оставляются пустыми. Некоторым приложениям не нужны идентификаторы пользователя и сведения о доверии, передаваемые в списках. Точное значение этого параметра может изменяться в будущих версиях. Если вам каких-то сведений не хватает, не пользуйтесь этим параметром.
--no-literal
Не предназначено для нормального пользования. За подробностями обращайтесь к исходным текстам.
--set-filesize
Не предназначено для нормального пользования. За подробностями обращайтесь к исходным текстам.
--show-session-key
Отображать сеансовый ключ, использованный для сообщения. О параметре, устанавливающим сеансовый ключ, см. параметр --override-session-key.
Мы думаем, что передача ключей третьей стороне — это гадость; однако пользователь должен быть волен решать, следует ли сесть в тюрьму или раскрыть содержимое конкретного сообщения без раскрытия всех сообщений, когда-либо зашифрованных для того же секретного ключа.
Этот параметр можно применять также, когда вы получаете зашифрованное сообщение, в котором содержатся оскорбления, угрозы и т.п., чтобы доказать администраторам системы связи, что содержание зашифрованного сообщения неприемлемо, чтобы они могли предпринять меры против нарушителя.
--override-session-key строка
--override-session-key-fd дескриптор
Пользоваться не открытым ключом, а сеансовым ключом, переданным в первой строке, прочитанной из указанного файлового дескриптора. Формат этой строки совпадает с форматом, выводимым параметром --show-session-key. Этот параметр обычно не применяется, но удобен, когда кто-то вынуждает вас раскрыть содержимое зашифрованного сообщения; с помощью этого параметра это можно сделать, не выдавая секретного ключа. Заметьте, что --override-session-key может открыть сеансовый ключ всем локальным пользователям через глобальную таблицу процессов.
--ask-sig-expire
--no-ask-sig-expire
Когда подписываются данные, запросить срок действия. Если этот параметр не задан, принимается срок действия, установленный параметром --default-sig-expire. Выключается параметром --no-ask-sig-expire.
--default-sig-expire
Исходный срок действия подписей. Допустимые значения: «0» (срок действия не ограничен); число с последующим «d» (дни), «w» (недели), «m» (месяцы) или «y» (годы) (например, «2m» означает два месяца, «5y» означает пять лет); абсолютная дата в виде «ГГГГ-ММ-ДД». Исходное значение — «0».
--ask-cert-expire
--no-ask-cert-expire
Когда подписываются ключи, запросить срок действия. Если этот параметр не задан, принимается срок действия, установленный параметром --default-cert-expire. Выключается параметром --no-ask-cert-expire.
--default-cert-expire
Исходный срок действия подписей ключей. Допустимые значения: «0» (срок действия не ограничен); число с последующим «d» (дни), «w» (недели), «m» (месяцы) или «y» (годы) (например, «2m» означает два месяца, «5y» означает пять лет); абсолютная дата в виде «ГГГГ-ММ-ДД». Исходное значение — «0».
--default-new-key-algo строка
Этот параметр можно применять, чтобы изменить исходные алгоритмы при
генерации ключей. Параметр сходен с параметром команды
--quick-add-key, но немного отличается от него. Например, текущее
исходное значение, rsa2048/cert,sign+rsa2048/encr
(или
rsa3072
) можно изменить на значение, которое мы сейчас называем
исходным для будущего, т.е. ed25519/cert,/sign+cv25519/encr
. За
подробностями обращайтесь к исходному тексту программы. Заметьте, что в
усложненных командах генерации ключей алгоритм всегда можно задать напрямую.
--allow-secret-key-import
Устаревший параметр, больше нигде не применяется.
--allow-multiple-messages
--no-allow-multiple-messages
Разрешить обработку многих сообщений OpenPGP в едином файле или
потоке. Некоторые программы, вызывающие gpg
, не готовы работать с
несколькими сообщениями подряд, так что этот параметр по умолчанию
выключен. Обратите внимание, что версии gpg
, предшествующие 1.4.7,
всегда разрешали такую обработку.
Внимание: не пользуйтесь этим параметром, если вам это не нужно в качестве временной меры!
--enable-special-filenames
Этот параметр переводит в режим, в котором имена файлов вида -&n, где n — неотрицательное десятичное число, указывают на файловый дескриптор n, а не на файл с таким именем.
--no-expensive-trust-checks
Только для экспериментов.
--preserve-permissions
Не менять права доступа к таблице секретных ключей на разрешение чтения-записи только для владельца файла. Применяйте этот параметр, только если вы хорошо знаете, что делаете.
--default-preference-list строка
Задать предпочтений. Этот список используется для новых ключей и становится исходным для команды ‘setpref’ в меню --edit-key.
--default-keyserver-url имя
Задать исходный URL сервера ключей. Этот сервер ключей будет использоваться в качестве URL сервера ключей в новых самоподписях ключей, в том числе при создании ключа и смене предпочтений.
--list-config
Вывести различные параметры внутренних настроек GnuPG. Этот параметр предназначен для внешних программ, вызывающих GnuPG для решения задач, и для обычного пользования не нужен. Подробности о том, какие параметры настроек могут перечисляться, см. в файле doc/DETAILS дистрибутива исходных текстов. --list-config используется только с --with-colons.
--list-gcrypt-config
Вывести различные параметры внутренних настроек Libgcrypt.
--gpgconf-list
Эта команда сходна с --list-config, но в целом применяется только
внутри средства gpgconf
.
--gpgconf-test
Более или менее пустое действие. Однако при этом читается файл настроек и
программа завершается с кодом ошибки, если файл настроек не позволил бы
gpg
начать работу. Таким образом, это можно использовать для
проверки синтаксиса файла настроек.
С помощью достаточно простых психологических методов любой, кто смог расшифровать сообщение, может проверить, является ли одним из других получателей тот, на кого падает подозрение.
Следующий: Не рекомендованные параметры, Пред: Параметры совместимости, Вверх: Параметры GPG [Содержание][Указатель]