8.2 Проверка подписей OpenPGP

gpgv2 — средство проверки подписей OpenPGP.

В действительности эта программа представляет урезанную версию gpg, которая может только проверять подписи. Она несколько меньше, чем полноразмерная gpg и пользуется другим (более простым) способом проверки того, что открытые ключи, которыми сделана подпись, достоверны. У нее нет файлов настроек и мало параметров.

gpgv2 предполагает, что всем ключам в таблице ключей можно доверять. Это, кроме прочего, означает, что программа не проверяет отзывы и сроки действия ключей.

По умолчанию используется таблица ключей trustedkeys.kbx; если ее не существует, используется таблица ключей trustedkeys.gpg. Предполагается, что таблицы находятся в домашнем каталоге GnuPG (исходном или заданном с помощью параметра или переменной среды). Другую таблицу ключей (и даже несколько таблиц ключей) можно задать параметром --keyring.

gpgv2 принимает параметры:

--verbose

-v

Выдает больше информации во время обработки. Если задан дважды, подробно перечисляются данные, поступившие на вход.

--quiet

-q

Стараться выводить на экран как можно меньше.

--keyring файл

Добавить аргумент к списку таблиц ключей. Если аргумент начинается с тильды и косой черты, они заменяются на каталог HOME. Если имя файла не содержит косой черты, предполагается, что файл находится в домашнем каталоге (~/.gnupg, если не задан –homedir).

--output файл

-o файл

Выводить данные в указанный файл; для записи в стандартный поток вывода укажите -. Этот параметр можно применять, чтобы выделить подписанный текст из текстовой или двоичной подписи; он действует и с отделенными подписями, но в этом случае параметр в общем не полезен. Обратите внимание, что если файл существует, то он будет перезаписан.

--status-fd n

Записывать специальные диагностические сообщения в файл с указанным дескриптором. Документацию по этим строкам см. в файле DETAILS.

--logger-fd n

Писать отчет о ходе работы в файл с указанным дескриптором, а не в стандартный поток ошибок.

--logger-file файл

То же, что --logger-fd, но отчет записывается в файл. С помощью socket:// можно записывать в сокет.

--ignore-time-conflict

Обычно GnuPG проверяет, что метки времени, связанные с ключами и подписями, лежат в разумных пределах. Однако иногда подпись кажется старше ключа из-за проблем с часами. Если задан этот параметр, такие проверки приводят только к предупреждениям.

--homedir каталог

Задать домашний каталог. Если этот параметр не используется, за домашний каталог принимается ~/.gnupg. Параметр учитывается только в командной строке. Он отменяет также любой домашний каталог, указанный в переменной среды GNUPGHOME или (в системах Windows) в пункте реестра HKCU\Software\GNU\GnuPG:HomeDir.

В системах Windows GnuPG можно установить как переносное приложение. В этом случае рассматривается только этот параметр командной строки, все другие способы задания домашнего каталога отключаются.

Для установки GnuPG в качестве переносного приложения под Windows создайте пустой файл под названием gpgconf.ctl в одном каталоге с gpgconf.exe. Тогда верхним каталогом установки будет этот каталог; или, если gpgconf.exe установлен непосредственно в каталоге под названием bin, на один уровень выше. Нужно также проверить, что следующие каталоги существуют и в них разрешена запись: ROOT/home для домашнего каталога GnuPG и ROOT/usr/local/var/cache/gnupg для внутренних буферных файлов.

--weak-digest название

Считать указанный алгоритм слабым. Подписи, выполненные с помощью слабых алгоритмов хеша, обычно отвергаются. Этот параметр можно вводить несколько раз, если слабыми должны считаться несколько алгоритмов. MD5 всегда считается слабым, так что его не нужно перечислять в явном виде.

--enable-special-filenames

Этот параметр включает режим, в котором имена файлов в форме -&n, где n — неотрицательное десятичное число, указывают на файловый дескриптор n, а не на файл с таким именем.

Программа возвращает 0, если все прошло успешно, 1 — если хотя бы одна подпись была неверна, другие коды ошибок при неустранимых сбоях.

8.2.1 Примеры

gpgv2 файл PGP

gpgv2 файл подписи [файл данных]

Проверить подпись файла, но не выводить данные. Вторая форма применяется для отделенных подписей, где файл подписи — отделенная подпись (в двоичном или текстовом формате), а файл данных — подписанные данные (если это «-», данные берутся из стандартного потока ввода); если второй аргумент не задан, имя файла данных определяется отбрасыванием расширения («.asc», «.sig» или «.sign») от имени файла подписи.

8.2.2 Переменные среды

HOME

Используется для определения исходного домашнего каталога.

GNUPGHOME

Если задана, используется вместо ~/.gnupg.

8.2.3 ФАЙЛЫ

~/.gnupg/trustedkeys.gpg

Исходная таблица ключей с разрешенными ключами.

gpg2(1)