2.3 Настройки

Есть несколько файлов настроек, необходимых для работы программы. По умолчанию все они находятся в текущем домашнем каталоге (см. параметр --homedir).

gpg-agent.conf

Это основной файл настроек, который gpg-agent считывает при запуске. В нем могут быть любые допустимые длинные параметры; символов «–» перед названием параметра быть не должно, сокращать параметры нельзя. Этот файл считывается также после сигнала SIGHUP, однако в этом случае учитывается только несколько параметров. Это исходное имя файла можно изменить в командной строке (см. параметр --options). Для этого файла следует проводить резервное копирование.

trustlist.txt

Это список доверенных ключей. Для этого файла следует проводить резервное копирование.

Пустые строки и строки с комментарием, на которые указывает знак «#» в начале, игнорируются. Чтобы пометить ключ как доверенный, нужно ввести его отпечаток с последующим пробелом и прописной буквой S. Для разделения байтов отпечатка можно факультативно пользоваться двоеточиями; это позволяет копировать отпечаток напрямую из результатов работы команд перечисления ключей. Если в начале строки приписан «!», ключ явным образом помечается как недоверенный.

Вот пример, в котором два ключа помечены как неограниченно доверенные, а один — как недоверенный:

# CN=Wurzel ZS 3,O=Intevation GmbH,C=DE A6935DD34EF3087973C706FC311AA2CCF733765B S # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S # CN=Root-CA/O=Schlapphuete/L=Pullach/C=DE !14:56:98:D3:FE:9C:CA:5A:31:6E:BC:81:D3:11:4E:00:90:A3:44:C2 S

Перед вводом ключа в этот файл надо удостовериться в его подлинности. Как это делается, зависит от вашей организации; возможно, ваш администратор уже ввел в этот файл те ключи, которые считаются достаточно достойными доверия. Отпечаток корневого сертификата можно проверять в письмах, полученных из удостоверяющего центра, или на сайте удостоверяющего центра (после того, как вы полностью убедились в том, что это действительно сайт данного центра). Можно подумать о том, чтобы запретить обновление этого файла с участием пользователя (см. параметр --no-allow-mark-trusted). Можно было бы даже рекомендовать установить доступ к этому файлу только на чтение, чтобы его нельзя было нечаянно изменить.

Специальная строка include-default подключает глобальный список доверенных сертификатов (напр., /usr/local/etc/gnupg/trustlist.txt). Этот глобальный список применяется также, когда пользовательский список отсутствует.

После S можно добавлять дополнительные признаки для вызывающего:

relax

Снижать некоторые требования при проверке корневых сертификатов. На настоящий момент этот признак позволяет пользоваться корневыми сертификатами, в которых отсутствует атрибут basicConstraints (несмотря на то, что он должен быть в сертификатах удостоверяющих центров), и отключает проверку корневого сертификата по спискам отозванных сертификатов.

cm

Если проверка сертификата с этим признаком, выданного удостоверяющим центром, не проходит, попытаться провести ее по цепочной схеме проверок.

sshcontrol

Этот файл используется, когда включена поддержка протокола SSH (см. параметр --enable-ssh-support). В протоколе SSH используются только присутствующие в этом файле ключи. Для этого файла следует проводить резервное копирование.

Для добавления в этот файл новых записей можно применять средство ssh-add; их можно также добавлять вручную. Строки комментария, на которые указывает знак «#» в начале, а также пустые строки игнорируются. Запись начинается с необязательных пробелов с последующим кодом ключа из 40 шестнадцатеричных цифр с последующим необязательным сроком действия буфера в секундах и другим необязательным полем для произвольных признаков. Ненулевой срок действия отменяет глобальное исходное значение, задаваемое с помощью --default-cache-ttl-ssh.

Поддерживается только один признак, confirm. Если этот признак установлен, при каждом использовании ключа будет вызываться программа ввода пароля для подтверждения. Признак автоматически устанавливается, если новый ключ загружается в gpg-agent с помощью параметра -c команды ssh-add.

К коду ключа можно приписывать спереди !, чтобы отключить запись.

В следующем примере записан ровно один ключ. Обратите внимание, что ключи, полученные посредством электронной карты OpenPGP в активном устройстве чтения карт, добавляются в этот список неявно, т.е. их перечислять не нужно.

# Дата добавления ключа: 2011-07-20 20:38:46 # Отпечаток: 5e:8d:c4:ad:e7:af:6e:27:8a:d6:13:e4:79:ad:0b:81 34B62F25E277CF13D3C6BCEBFD3F85D08F0A864B 0 confirm

private-keys-v1.d/

Это каталог, в котором gpg-agent хранит секретные ключи. Каждый ключ хранится в файле с именем, составленным из кода ключа и суффикса key. Для всех файлов в этом каталоге следует проводить резервное копирование, тщательнейшим образом сохраняя резервные копии в надежном месте.

Обратите внимание, что на больших системах полезно помещать заранее написанные файлы в каталог /usr/local/etc/skel/.gnupg, чтобы новые учетные записи пользователей создавались с работающими настройками. Для существующих пользователей имеется небольшая программа для создания этих файлов (см. addgnupghome).