Следующий: , Вверх: Параметры GPG   [Содержание][Указатель]


4.2.1 Изменение настроек

Эти параметры применяются для изменения настроек и обычно находятся в файле параметров.

--default-key имя

Использовать имя как основной ключ для подписи. Если этот параметр не используется, основным ключом является первый ключ, найденный в таблице секретных ключей. Обратите внимание, что этот параметр отменяется параметром -u или --local-user. Этот параметр можно задавать несколько раз. В этом случае будет использован последний из ключей, для которого имеется секретный ключ. Если секретного ключа нет ни для какого из данных ключей, GnuPG не выдаст ошибку, а продолжит, как если бы параметр не был задан.

--default-recipient имя

Использовать имя в качестве получателя, если параметр --recipient не задан, и не спрашивать, правильно ли оно. Аргумент имя не должен быть пуст.

--default-recipient-self

Использовать основной ключ в качестве получателя, если параметр --recipient не задан, и не спрашивать, правильно ли оно. Основной ключ — первый ключ из таблицы секретных ключей или ключ, заданный параметром --default-key.

--no-default-recipient

Сбросить --default-recipient и --default-recipient-self.

-v, --verbose

Выдавать больше информации при обработке. Если параметр задан дважды, подробно указываются данные, поступившие на вход.

--no-verbose

Сбросить уровень подробности до 0.

-q, --quiet

Стараться выводить на экран как можно меньше.

--batch
--no-batch

Переход в пакетный режим. Ничего не спрашивать, не допускать диалогов. Это отменяется параметром --no-batch. Обратите внимание, что даже если имя файла задано в командной строке, gpg может потребоваться читать из стандартного потока ввода (в частности, если gpg поймет, что на вход поступила отделенная подпись, а файл данных не указан). Таким образом, если вы не хотите передавать данные через стандартный поток ввода, следует подключить его к /dev/null.

Настоятельно рекомендуется пользоваться этим параметром с параметрами --status-fd и --with-colons при любом автоматическом применении gpg.

--no-tty

Не использовать TTY (терминал) ни для какого вывода. Этот параметр в некоторых случаях нужен, потому что GnuPG иногда выводит сообщения в терминал, даже если задан параметр --batch.

--yes

Считать, что ответ на большинство вопросов положителен.

--no

Считать, что ответ на большинство вопросов отрицателен.

--list-options аргументы

Строка с пробелами или запятыми в качестве разделителей, в которой задаются параметры, применяемые при перечислении ключей и подписей (то есть в функциях --list-keys, --check-signatures, --list-public-keys, --list-secret-keys и --edit-key). К параметрам можно спереди (после «–») приписывать no-, чтобы придать им противоположное значение. Вот эти параметры:

show-photos

Показывать в командах --list-keys, --check-signatures, --list-public-keys и --list-secret-keys все фотоидентификаторы, приложенные к ключу. По умолчанию выключено. См. также параметр --photo-viewer. С --with-colons не действует: как правильно передавать фотоданные в другие программы, см. параметр --attribute-fd.

show-usage

Показывать при перечислении ключей их возможности. Возможности обозначаются списком букв, указывающих на функции E=шифрование, S=подпись, C=сертификация, A=проверка подлинности). По умолчанию включено.

show-policy-urls

Показывать URL правил в списках, выводимых --check-signatures. По умолчанию выключено.

show-notations
show-std-notations
show-user-notations

Показывать все стандартные (IETF) и определенные пользователем замечания в списках, выводимых --check-signatures. По умолчанию выключено.

show-keyserver-urls

Показывать все URL предпочтительных серверов в списках, выводимых --check-signatures. По умолчанию выключено.

show-uid-validity

Показывать при перечислении ключей вычисленную достоверность идентификаторов пользователей. По умолчанию включено.

show-unusable-uids

Показывать при перечислении ключей отозванные и просроченные идентификаторы пользователя. По умолчанию выключено.

show-unusable-keys

Показывать при перечислении ключей отозванные и просроченные подключи. По умолчанию выключено.

show-keyring

Выводить имя таблицы ключей в заголовке списка ключей, чтобы показать, в какой таблице ключей находится данный ключ. По умолчанию выключено.

show-sig-expire

Показывать даты истечения срока действия подписей (когда сроки ограничены) в списках, выводимых --check-signatures. По умолчанию выключено.

show-sig-subpackets

Показывать в списках ключей подпакеты подписей. Этот параметр может сопровождаться необязательным списком подпакетов, которые нужно показывать. Если список не задан, показывать все подпакеты. По умолчанию выключено. Параметр имеет смысл, только когда --with-colons используется с --check-signatures.

--verify-options аргументы

Список параметров, разделенных запятыми или пробелами. Учитывается при проверке подписей. К параметрам можно спереди приписывать no-, чтобы придать им противоположное значение. Вот эти параметры:

show-photos

Показывать все фотоидентификаторы, сопровождающие ключ, которым создана подпись. По умолчанию выключено. См. также параметр --photo-viewer.

show-policy-urls

Показывать URL правил в проверяемых подписях. По умолчанию выключено.

show-notations
show-std-notations
show-user-notations

Показывать все стандартные (IETF) и определенные пользователем замечания в проверяемых подписях. По умолчанию выводятся стандартные замечания.

show-keyserver-urls

Показывать все URL предпочтительных серверов в проверяемых подписях. По умолчанию включено.

show-uid-validity

Показывать вычисленную достоверность идентификаторов пользователей в ключе, которым сделана подпись. По умолчанию включено.

show-unusable-uids

Показывать отозванные и просроченные идентификаторы пользователя. По умолчанию выключено.

show-primary-uid-only

Показывать во время проверки только первичные идентификаторы пользователя. То есть все строки «или», а также фотоидентификаторы в результатах проверки не показываются.

pka-lookups

Включить поиск по PKA для проверки адресов отправителей. Обратите внимание, что PKA основан на DNS, так что этот параметр может раскрыть информацию о том, когда и какие подписи проверялись, а также для кого шифровались данные. Это сходно с «сетевым проколом», описанным для параметра auto-key-retrieve.

pka-trust-increase

Поднять доверие в подписи до полного, если подпись проходит проверку PKA. Имеет смысл только с параметром pka-lookups.

--enable-large-rsa
--disable-large-rsa

Для команд --generate-key и --batch разрешить создание секретных ключей RSA длиной до 8192 бит. Обратите внимание: 8192 бита ― это больше, чем обычно рекомендуется. Эти длинные ключи не дают значительного усиления защиты, но требуют повышенных расходов, а подписи и сертификаты для них длиннее. Этот параметр доступен, только когда программа собрана с параметром --enable-large-secmem.

--enable-dsa2
--disable-dsa2

Разрешить усечение хеша для всех ключей DSA, даже для старых ключей DSA длиной до 1024 бит. Это вариант по умолчанию для --openpgp. Обратите внимание, что более старые версии GnuPG требовали этого параметра также для создания ключей DSA длиннее 1024 бит.

--photo-viewer строка

Это командная строка, которую следует выполнить для просмотра фотоидентификатора. «%i» заменяется на имя файла с фотографией. «%I» — то же самое, но файл не удаляется после выхода из программы просмотра. Другие обозначения: «%k» означает идентификатор ключа, «%K» — длинный идентификатор ключа, «%f» — отпечаток ключа, «%t» — расширение файла изображения (напр., «jpg»), «%T» — тип MIME изображения (e.g. «image/jpeg»), «%v» — односимвольная достоверность просматриваемого изображения (напр., «f»), «%V» — то же в виде строки (напр., «полное»), «%U» — хеш идентификатора пользователя в кодировке base32, «%%» — знак процента. Если и %i, и %I отсутствуют, фотография передается в программу по стандартному потоку ввода.

Исходная команда просмотра — «xloadimage -fork -quiet -title ’KeyID 0x%k’ STDIN». Обратите внимание, что если ваша программа просмотра изображений не защищена, то запуск ее из GnuPG не делает ее защищенной.

--exec-path строка

Устанавливает список каталогов для поиска программ просмотра фотографий, а также для вспомогательных программ серверов ключей. Если не задан, для вспомогательных программ серверов ключей используется встроенное исходное значение, а поиск программ фотографий просмотра определяется переменной среды $PATH. Обратите внимание, что в системе W32 эта переменная при поиске вспомогательных программ серверов ключей не учитывается.

--keyring файл

Добавить файл в текущий список таблиц ключей. Если аргумент начинается с тильды и косой черты, вместо них подставляется каталог $HOME. Если в имени файла косой черты нет, считается, что он находится в домашнем каталоге GnuPG ("~/.gnupg", если не используется ни --homedir, ни $GNUPGHOME).

Обратите внимание, что параметр добавляет таблицу ключей к текущему списку. Если нужно пользоваться только указанной таблицей, пользуйтесь --keyring вместе с --no-default-keyring.

Если задан параметр --no-keyring, не используются вообще никакие таблицы ключей.

--secret-keyring файл

Это устаревший параметр, он игнорируется. Все секретные ключи хранятся в подкаталоге private-keys-v1.d домашнего каталога GnuPG.

--primary-keyring файл

Назначить файл первичной таблицей открытых ключей. Это значит, что новые ключи, импортируемые командой --import или с сервера ключей командой --recv-from), будут поступать в эту таблицу.

--trustdb-name файл

Использовать файл вместо основной базы данных доверия. Если аргумент начинается с тильды и косой черты, вместо них подставляется каталог $HOME. Если в имени файла косой черты нет, считается, что он находится в домашнем каталоге GnuPG ("~/.gnupg", если не используется ни --homedir, ни $GNUPGHOME).

--homedir каталог

Задать домашний каталог. Если этот параметр не используется, за домашний каталог принимается ~/.gnupg. Параметр учитывается только в командной строке. Он отменяет также любой домашний каталог, указанный в переменной среды GNUPGHOME или (в системах Windows) в пункте реестра HKCU\Software\GNU\GnuPG:HomeDir.

В системах Windows GnuPG можно установить как переносное приложение. В этом случае рассматривается только этот параметр командной строки, все другие способы задания домашнего каталога отключаются.

Для установки GnuPG в качестве переносного приложения под Windows создайте пустой файл под названием gpgconf.ctl в одном каталоге с gpgconf.exe. Тогда верхним каталогом установки будет этот каталог; или, если gpgconf.exe установлен непосредственно в каталоге под названием bin, на один уровень выше. Нужно также проверить, что следующие каталоги существуют и в них разрешена запись: ROOT/home для домашнего каталога GnuPG и ROOT/usr/local/var/cache/gnupg для внутренних буферных файлов.

--display-charset кодировка

Задать кодировку для неанглийских символов. Используется для преобразования некоторых информационных строк, таких как идентификаторы пользователя, в правильную кодировку UTF-8. Обратите внимание, что это никак не связано с кодировкой данных, которые шифруются или подписываются; GnuPG их не перекодирует. Если этот параметр не задан, кодировка определяется по текущим настройкам среды. Выбранная кодировка отображается на уровне подробности 3 (см. параметр --verbose). Допустимые значения кодировки:

iso-8859-1

Латинская кодировка 1

iso-8859-2

Латинская кодировка 2

iso-8859-15

В настоящее время то же, что Латинская кодировка 1

koi8-r

Обычная русская кодировка (RFC-1489).

utf-8

Не преобразовывать; предполагать, что операционная система изначально пользуется кодировкой UTF-8.

--utf8-strings
--no-utf8-strings

Считать, что аргументы командной строки даются в виде строк UTF-8. По умолчанию (--no-utf8-strings) считается, что они закодированы так, как указано параметром --display-charset. Эти параметры влияют на все следующие аргументы. Оба параметра можно вводить несколько раз.

--options файл

Читать параметры из файла файл, не пытаясь считать их из основного файла параметров в домашнем каталоге (см. параметр --homedir). Этот параметр игнорируется, если он встретился в файле параметров.

--no-options

То же, что --options /dev/null. Этот параметр обнаруживается до того, как программа попытается открыть файл параметров. Этот параметр предотвращает также создание домашнего каталога ~/.gnupg.

-z файл
--compress-level n
--bzip2-compress-level n

Установить уровень сжатия n для алгоритмов сжатия ZIP и ZLIB. По умолчанию используется исходный уровень сжатия zlib (как правило, 6). --bzip2-compress-level устанавливает уровень сжатия для алгоритма BZIP2 (по умолчанию тоже 6). Уровень сжатия BZIP2 вынесен в отдельный параметр, потому что BZIP2 значительно повышает расход памяти на каждом следующем уровне. -z устанавливает и то, и другое. Значение 0 выключает сжатие.

--bzip2-decompress-lowmem

Распаковывать файлы, сжатые BZIP2, другим методом. Этот метод требует почти вдвое меньше памяти, но и работает в два раза медленнее. Это полезно в условиях жестких ограничений по памяти, когда файл был сжат с высоким --bzip2-compress-level.

--mangle-dos-filenames
--no-mangle-dos-filenames

Старые версии Windows не работают с именами файлов, в которых больше одной точки. Параметр --mangle-dos-filenames заставляет GnuPG заменять (а не приписывать) расширение к имени выходного файла. Этот параметр по умолчанию выключен и не учитывается на платформах, отличных от Windows.

--ask-cert-level
--no-ask-cert-level

Запрашивать уровень сертификации, когда подписывается ключ. Если этот параметр не указан, уровень сертификации определяется параметром --default-cert-level. Подробнее об уровнях сертификации см. --default-cert-level. Выключается параметром --no-ask-cert-level. По умолчанию выключено.

--default-cert-level n

Исходное значение уровня сертификации при подписи ключа.

0 означает, что вы не делаете никакого конкретного заявления о том, насколько тщательно вы проверяли ключ.

1 означает, что вы убеждены, что ключ принадлежит человеку, который заявляет, что он владеет этим ключом, но вы не могли проверить или никак не проверяли ключ. Это полезно для проверки «инкогнито», когда вы подписываете ключ с псевдонимом.

2 означает, что вы провели частичную проверку ключа. Например, это может означать, что вы проверили отпечаток ключа и сверили пользовательский идентификатор на ключе по фотоидентификатору.

3 означает, что вы провели тщательную проверку ключа. Например, это может означать, что вы проверили отпечаток ключа на личной встрече с владельцем ключа, проверили с помощью трудноподделываемого документа с фотоидентификатором (например, паспорта), что имя владельца ключа соответствует имени в идентификаторе пользователя на ключе, что вы, наконец, проверили (обменявшись почтой), что адрес электронной почты на ключе принадлежит владельцу ключа.

Обратите внимание, что приведенные выше для уровней 2 и 3 примеры являются только примерами. В конечном счете только вы решаете, что для вас значит «частичная» и «тщательная» проверка.

По умолчанию принимается 0 (никакого конкретного заявления).

--min-cert-level

При построении базы данных доверия считать все подписи ниже указанного уровня сертификации недействительными. По умолчанию 2 (подписи уровня 1 не учитываются). Обратите внимание, что уровень 0 («никакого конкретного заявления») принимаются всегда.

--trusted-key длинный идентификатор ключа

Считать указанный ключ (для которого должен быть задан полный 8-байтный идентификатор) таким же надежным, как один из ваших секретных ключей. Этот параметр полезен, если вы не хотите держать свои секретные ключи в постоянном доступе, но хотите, чтобы была возможность проверять достоверность данного ключа получателя или подписавшего.

--trust-model {pgp|classic|tofu|tofu+pgp|direct|always|auto}

Установить, какой модели доверия должен следовать GnuPG:

pgp

Сеть доверия, скомбинированная с подписями доверия, как это делается в PGP 5.x и более поздних. Эта модель назначается для новых баз данных доверия по умолчанию.

classic

Стандартная сеть доверия, появившаяся в PGP 2.

tofu

TOFU значит «trust on first use (доверять по первому использованию)». В этой модели ключ, который встречается впервые, запоминается. Если впоследствии другой ключ встречается с идентификатором пользователя с тем же адресом электронной почты, оба ключа помечаются как подозрительные. В этом случае при последующем пользовании любым из этих ключей выводится предупреждение с описанием противоречия, возможной причины (либо пользователь создал новый ключ, не подписав старый ключ новым, а новый старым, либо ключ подделан, либо проводится атака «человек посередине»), и у пользователя запрашивается подтверждение достоверности соответствующего ключа.

Поскольку потенциальный злоумышленник может контролировать адрес электронной почты и тем самым обойти алгоритм обнаружения противоречий, пользуясь адресом электронной почты, который выглядит сходно с доверенным адресом, то при проверке сообщений каждый раз выводится статистика количества сообщений, подписанных этим ключом. Таким образом, пользователь может легко различить атаки, в которых фальшивые ключи выдаются за ключи нормальных корреспондентов.

По сравнению с сетью доверия TOFU предлагает значительно более слабые гарантии безопасности. В частности, TOFU помогает только гарантировать непротиворечивость (то есть что адрес электронной почты связан с одним и тем же ключом). Серьезное преимущество TOFU состоит в том, что для правильного пользования требуется минимум трудозатрат. Чтобы правильно пользоваться сетью доверия, нужно активно подписывать ключи и помечать пользователей как доверенные источники ключей. Эти процедуры требуют много времени, и хрестоматийные свидетельства показывают, что даже осведомленные в вопросах безопасности пользователи редко находят время, чтобы выполнять все это скрупулезно, и вместо этого полагаются на возникающие экспромтом процедуры, подобные TOFU.

В модели TOFU правила связаны с привязкой ключей к адресам электронной почты (которые извлекаются из идентификаторов пользователей и нормализуются). Есть пять правил, которые можно установить вручную параметром --tofu-policy. Исходные правила можно установить параметром --tofu-default-policy.

Существуют правила TOFU: auto, good, unknown, bad и ask. По умолчанию применяется правило auto (если это не изменено параметром --tofu-default-policy), оно помечает привязку как ограниченно доверенную. Правила good, unknown и bad помечают привязку уровнями доверия «полное», «неизвестно» и «никогда» соответственно. Правило unknown полезно, чтобы применять TOFU только для проверки противоречий, но никогда не присваивать положительного доверия. По последнему правилу, ask, уровень доверия привязки запрашивается у пользователя. В пакетном режиме (или если контекст не допускает ввода) пользователь не запрашивается, а возвращается уровень доверия не определено.

tofu+pgp

В этой модели TOFU сочетается с сетью доверия. Уровень доверия вычисляется по каждой из моделей, а затем выбирается максимальный в следующем порядке: неизвестно < неопределенно < ограниченно < полностью < абсолютно < просрочен < никогда.

Если установить --tofu-default-policy=unknown, эту модель можно применять для реализации сети доверия с алгоритмом обнаружения противоречий TOFU, но без назначения этим алгоритмом положительных значений доверия, против чего возражали бы некоторые осведомленные в вопросах безопасности пользователи.

direct

Действительность ключа устанавливается пользователем напрямую, а не вычисляется по сети доверия. Эта модель полностью основана на ключе и не различает идентификаторы пользователя. Обратите внимание, что переход на другую модель доверия значения доверия, присвоенные ключу, трансформируются в значения доверия владельцу, что указывает на то, что вы доверяете владельцу ключа подписывать другие ключи.

always

Пропустить оценку достоверности ключей и полагать, что используемые ключи всегда достоверны. Обычно это используется, только когда есть какая-то внешняя схема оценки. Этот параметр подавляет также вывод метки «[не определено]» при проверке ключей, когда нет свидетельств, что идентификатор пользователя привязан к ключу. Обратите внимание, что эта модель доверия все же не допускает применения просроченных, отозванных или выключенных ключей.

auto

Выбирать модель доверия по тому, что записано во внутренней базе данных доверия. Это делается по умолчанию, когда такая база данных уже существует.

--auto-key-locate механизмы
--no-auto-key-locate

С помощью этого параметра GnuPG может автоматически обнаруживать и извлекать ключи. Это происходит при шифровании для адреса электронной почты (в форме «user@example.com»), когда в локальной таблице ключей нет ключей user@example.com. В этот параметр можно передать любое количество перечисленных ниже механизмов в том порядке, в каком они будут применяться. Вместо перечисления механизмов через запятую можно вводить параметр несколько раз. Параметр --no-auto-key-locate и механизм «clear» сбрасывает список. Исходный список — «local,wkd».

cert

Искать ключ с помощью DNS CERT, как описано в RFC-4398.

pka

Искать ключ с помощью DNS PKA.

dane

Искать ключ с помощью DANE, как описано в draft-ietf-dane-openpgpkey-05.txt.

wkd

Искать ключ по протоколу сетевого каталога ключей.

ldap

С помощью DNS Service Discovery искать в данном домене серверы ключей LDAP. Если не удалось, попытаться обнаружить ключ с помощью Универсального метода проверки PGP ‘ldap://keys.(домен)’.

keyserver

Искать ключи на любом сервере, определенном параметром --keyserver.

keyserver-URL

Кроме того, здесь можно ввести URL сервера ключей, как в параметре --keyserver, чтобы опросить этот конкретный сервер ключей.

local

Искать ключ в локальных таблицах ключей. Этот механизм позволяет пользователю выбрать порядок поиска локальных ключей. Таким образом, ‘--auto-key-locate local’ эквивалентно --no-auto-key-locate.

nodefault

Выключается обычный поиск локальных ключей, который проводится перед попыткой применения любых механизмов, определенных параметром --auto-key-locate. Положение этого механизма не имеет значения. Его можно не задавать, когда используется local.

clear

Сбросить все назначенные механизмы. Это полезно для отмены механизмов, определяемых в файле настроек.

--auto-key-retrieve
--no-auto-key-retrieve

Эти параметры включают и выключают автоматическое извлечение ключей с сервера при проверке подписей, сделанных ключами, отсутствующими в локальной таблице ключей. Исходное значение — --no-auto-key-retrieve.

Если в список методов, передаваемых в auto-key-locate, включается «wkd», идентификатор подписавшего пользователя входит в подпись, а параметр --disable-signer-uid не задан, метод «wkd» также может применяться для получения ключей.

Обратите внимание, что параметр делает возможным эффект, подобный «сетевому проколу». Операторы сервера ключей или сетевого каталога ключей могут узнать, какие ключи вы запрашиваете, так что оператор может узнать и ваш адрес IP, и время, когда вы проверяли подпись, если пошлет вам сообщение, подписанное свежесозданным ключом (которого у вас в локальной таблице ключей, естественно, не найдется).

--keyid-format {none|short|0xshort|long|0xlong}

Выбрать формат отображения идентификаторов ключей. «none» вместо идентификатора ключа показывает отпечатк в отдельной строке. «short» — традиционный 8-символьный идентификатор. «long» — более длинный (но менее удобный) 16-символьный идентификатор. «0x» добавляет к каждому «0x» спереди, например, «0x99242560». Обратите внимание, что этот параметр не учитывается, когда введен параметр --with-colons.

--keyserver сервер

Этот параметр не рекомендуется к употреблению — пользуйтесь вместо этого параметром --keyserver в dirmngr.conf.

Использовать сервер в качестве сервера ключей. Это сервер, с которым соединяются --receive-keys, --send-keys и --search-keys, чтобы получать, отправлять, искать ключи. Аргумент сервер представляет URI: «схема:[//]имясервера[:порт]». Схема является типом сервера ключей: «hkp» — серверы ключей HTTP (или совместимые), «ldap» — серверы ключей LDAP, «mailto» — почтовый сервер ключей Graff. Обратите внимание, что в вашей конкретной установке GnuPG могут быть и другие типы серверов ключей. Названия схем нечувствительны к регистру символов. После имени сервера могут идти необязательные параметры настройки. Они задаются как в нижеописанном глобальном параметре --keyserver-options, но применяются к этому конкретному серверу.

Большинство серверов ключей синхронизируются друг с другом, так что обычно нет надобности высылать ключи больше чем на один сервер. Сервер hkp://keys.gnupg.net пользуется циклическим DNS, чтобы выдавать при каждом обращении новый сервер ключей.

--keyserver-options {имя=значение}

Список параметров, разделенных запятыми или пробелами. Задает параметры для сервера ключей. К параметрам можно спереди приписывать no-, чтобы придать им противоположное значение. Можно использовать аргументы, применимые в import-options или export-options, они будут применяться при импорте (--recv-key) или экспорте (--send-key) ключей на сервере. Хотя для некоторых типов серверов доступны не все параметры, есть несколько общих параметров:

include-revoked

При поиске ключа командой --search-keys не пропускать ключи, помеченные на сервере как отозванные. Обратите внимание, что не все серверы ключей различают отозванные и неотозванные ключи, и для таких серверов этот параметр не имеет смысла. Заметьте также, что большинство серверов ключей не проводит криптографической проверки отзывов ключей, так что без этого параметра могут быть пропущены ключи, неверно помеченные как отозванные.

include-disabled

При поиске ключа командой --search-keys не пропускать ключи, помеченные на сервере как отключенные. Обратите внимание, что этот параметр не используется с серверами ключей HKP.

auto-key-retrieve

Устаревший синоним параметра auto-key-retrieve. Не пользуйтесь им: в будущих версиях его удалят.

honor-keyserver-url

При выполнении команды --refresh-keys обновлять ключ с предпочтительного для ключа сервера, если в ключе задан URL этого сервера. Кроме того, если установлен auto-key-retrieve, а у проверяемой подписи есть URL предпочтительного сервера ключей, доставлять ключ с этого предпочтительного сервера. Обратите внимание, что параметр вводит «сетевой прокол»: создатель ключа может видеть, когда обновляется ключ. Таким образом, этот параметр по умолчанию выключен.

honor-pka-record

Если используется --auto-key-retrieve, а подпись проверяется по записи PKA, пользоваться сведениями PKA для доставки ключа. По умолчанию включено.

include-subkeys

При получении ключа перечислить подключи как потенциальные цели. Обратите внимание, что этот параметр не применяется с серверами ключей HKP, поскольку они не поддерживают получение ключей по идентификатору подключа.

timeout

Сообщить вспомогательной программе сервера ключей, какое время (в секундах) нужно пытаться выполнить операцию с сервером ключей перед тем, как отменить ее. Обратите внимание, что при выполнении сразу нескольких действий это значение понимается как задержка на одно действие. Например, если несколько ключей извлекаются командой --receive-keys, задержка применяется отдельно к извлечению каждого ключа, а не к команде --receive-keys в целом. Исходное значение — 30 секунд.

http-proxy=значение

Этот параметр не рекомендуется к употреблению. Установить прокси-сервер для операций с серверами HTTP и HKP. Отменяет любые прокси-серверы, определенные в dirmngr.conf.

verbose

Начиная с GnuPG 2.1, этот параметр не действует. Пользуйтесь вместо него параметрами настройки dirmngr.

debug

Начиная с GnuPG 2.1, этот параметр не действует. Пользуйтесь вместо него параметрами настройки dirmngr.

check-cert

Начиная с GnuPG 2.1, этот параметр не действует. Пользуйтесь вместо него параметрами настройки dirmngr.

ca-cert-file

Начиная с GnuPG 2.1, этот параметр не действует. Пользуйтесь вместо него параметрами настройки dirmngr.

--completes-needed n

Число пользователей с полным доверием, нужное для того, чтобы ввести нового подписывающего ключ пользователя (исходное значение равно 1).

--marginals-needed n

Число пользователей с ограниченным доверием, нужное для того, чтобы ввести нового подписывающего ключ пользователя (исходное значение равно 3).

--tofu-default-policy {auto|good|unknown|bad|ask}

Исходное правило TOFU (по умолчанию auto). Подробнее о значении параметра см. trust-model-tofu.

--max-cert-depth n

Максимальная глубина цепочки сертификации (исходное значение — 5).

--no-sig-cache

Не сохранять в буфере результат проверки подписей ключа. Буферизация сильно повышает скорость вывода ключей. Однако если вы подозреваете, что ваша таблица открытых ключей не защищена от модификаций, вы можете воспользоваться этим параметром, чтобы отключить буферирование. Вероятно, в этом нет смысла, потому что с доступом на запись к вашей таблице открытых ключей можно наносить всевозможный вред.

--auto-check-trustdb
--no-auto-check-trustdb

Если GnuPG считает, что информацию о сети доверия требуется обновить, внутри программы автоматически выполняется команда --check-trustdb. Это может занимать много времени. Отменяется параметром --no-auto-check-trustdb.

--use-agent
--no-use-agent

Параметр не учитывается. gpg всегда требует программы-агента.

--gpg-agent-info

Параметр не учитывается. Он никак не влияет на работу gpg.

--agent-program файл

Указать программу-агент для операций с секретными ключами. Исходное значение определяется выполнением gpgconf с параметром --list-dirs. Обратите внимание, что символ конвейера («|») применяется для регрессионного тестирования и поэтому не может появляться в имени файла.

--dirmngr-program файл

Указать программу dirmngr, применяемую для доступа к серверу ключей. Исходное значение равно /usr/local/bin/dirmngr.

--disable-dirmngr

Полностью отключить обращения к Dirmngr.

--no-autostart

Не запускать gpg-agent и dirmngr, когда они еще не запущены, а их функции требуются. Этот параметр полезен главным образом на машинах, где подключение к gpg-agent перенаправляется на другие машины. Если dirmngr требуется на удаленной машине, его можно запускать вручную с помощью gpgconf --launch dirmngr.

--lock-once

Заблокировать базы данных в первый раз, когда требуется блокировка, и не разблокировать до завершения процесса.

--lock-multiple

Снимать блокировку каждый раз, когда она больше не требуется. Применяйте этот параметр для отмены предыдущего --lock-once из файла настроек.

--lock-never

Полностью отключить блокировку. Этот параметр следует применять только в очень специфических средах, в которых можно гарантировать, что эти файлы доступны только для одного процесса. Возможно, это полезно на загрузочной дискете с самостоятельной системой шифрования. Неправильное применение этого параметра может привести к повреждению данных и ключей.

--exit-on-status-write-error

Ошибки записи в файловый дескриптор состояния будут приводить к немедленному завершению процесса. В сущности, это должно делаться по умолчанию, но это никогда не удавалось, таким образом, потребовался параметр, чтобы включать это, чтобы изменение не вывело из строя приложения, которые закрывают свой файловый дескриптор состояния, подключенный к каналу, слишком рано. Этот параметр можно использовать с --enable-progress-filter, чтобы штатным образом отменять долговременные операции gpg.

--limit-card-insert-tries n

Если n больше 0, количество запросов на вставку электронной карты ограничивается числом n-1. Таким образом, когда n равно 1, gpg вообще не просит вставить карту, если она не была вставлена с самого начала. Этот параметр полезен в файле настроек, если приложение не знает о поддержке электронных карт и ожидает вставки карты до бесконечности.

--no-random-seed-file

GnuPG пользуется файлом, чтобы сохранять внутренний резерв случайных величин между вызовами. Это ускоряет генерацию случайных чисел, однако иногда операции записи нежелательны. Этот параметр можно применять, чтобы достичь этого ценой замедления генерации случайных чисел.

--no-greeting

Подавить вступительное сообщение об авторских правах.

--no-secmem-warning

Подавить предупреждение о «пользовании небезопасной памятью».

--no-permission-warning

Подавить предупреждение о небезопасных правах доступа к файлам и домашнему каталогу (--homedir). Обратите внимание, что проверка прав доступа, которую выполняет GnuPG, не предназначена для того, чтобы делать серьезные выводы, это просто предупреждение об известных распространенных проблемах с назначением прав. Не предполагайте, что отсутствие предупреждения означает, что ваша система в безопасности.

Обратите внимание, что предупреждение о небезопасных правах доступа к --homedir нельзя подавить в файле gpg.conf, поскольку это позволило бы атакующему установить небезопасный gpg.conf и пользоваться этим файлом для подавления сообщений о самом gpg.conf. Предупреждение о правах доступа к --homedir можно подавлять только из командной строки.

--no-mdc-warning

Подавить предупреждение о недостающей защите целостности кодом обнаружения изменений.

--require-secmem
--no-require-secmem

Отказываться работать, если GnuPG не может получить защищенную память. По умолчанию выключено (т.е работает, но с предупреждением).

--require-cross-certification
--no-require-cross-certification

При проверке подписи, сделанной подключом, гарантировать, что «обратная подпись» перекрестной сертификации ключа имеется и действительна. Это предохраняет от тонкой уязвимости ключей, которыми можно подписывать. Для gpg по умолчанию принимается --require-cross-certification.

--expert
--no-expert

Позволять пользователю делать определенные бессмыслицы или глупости, такие как подпись просроченного или отозванного ключа, или определенные потенциально несовместимые вещи, как ключи необычных типов. Параметр отключает также определенные предупреждения о потенциально несовместимых действиях. Как говорит название параметра, он только для экспертов. Если вы не полностью представляете себе последствия того, что он вам позволяет делать, не включайте этот режим. Выключается параметром --no-expert.


Следующий: , Вверх: Параметры GPG   [Содержание][Указатель]