Linux

• 1: Шпаргалка по полезным командам Linux для работы с дисками и устройствами
• 1.1: Разбор конструкции find -exec и варианты использования
• 1.2: Шпаргалка по find, sed, ugrep
• 2: Что такое PGP?
• 2.1: Структура хранения ключей
• 2.2: gpg-agent
• 2.3: dirmngr
• 2.4: gpg
• 2.4.1: Команды GPG
• 2.4.2: Опции PGP
• 2.4.3: Ввод и вывод
• 2.4.4: OpenGPG опции
• 2.4.5: Опции соответствия
• 2.4.6: Дополнительные опции
• 2.4.7: Config
• 2.5: gpgsm
• 2.6: scdaemon
• 2.7: user id
• 2.8: сравнение SSH и PGP
• 3: Шпаргалка по основным командам nano
• 4: Шпаргалка по основным командам Vim
• 5: Пакет scrcpy для управления Android устройством через Linux
• 6: Шпаргалка по основным командам crone
• 7: Шпаргалка по работе с ядрами в Linux
• 8: Find and Sed
• 9: Управление пакетами PACMAN
• 10: UGREP и все о нем
• 11: Find
• 12: ZSH
• 13: Строчный редактор SED
• 14: SSH на все случаи жизни
• 15: i3

1 - Шпаргалка по полезным командам Linux для работы с дисками и устройствами

1. dd – Копирование и конвертация данных

Основное использование:

dd if=входной_файл of=выходной_файл [опции]

Примеры:

• Создать образ диска:

  dd if=/dev/sda of=backup.img bs=4M status=progress
  

• Записать образ на USB:

  dd if=ubuntu.iso of=/dev/sdb bs=4M status=progress
  

• Создать файл-заполнитель (1 ГБ):

  dd if=/dev/zero of=testfile bs=1G count=1
  

Опции:

• bs=N – размер блока (например, 4M, 1K).
• count=N – количество блоков.
• status=progress – показывает прогресс.
• Флаг conv= (convert) позволяет задать дополнительные преобразования данных. Можно указывать несколько параметров через запятую.

1. conv=sync

• Назначение: Дополняет каждый ввод (input block) нулями до полного размера блока, если он был прочитан не полностью.
• Пример использования:

  dd if=/dev/sda of=image.img bs=4K conv=sync
  

  • Если при чтении блока в 4 КБ считалось только 2 КБ (например, из-за ошибки), оставшиеся 2 КБ будут заполнены нулями.
  • Полезно для сохранения выравнивания блоков при копировании повреждённых данных.

2. conv=noerror

• Назначение: Продолжать копирование, даже если встретились ошибки чтения.
• Пример:

  dd if=/dev/sda of=image.img bs=4K conv=noerror,sync
  

  • Без noerror dd остановится при первой ошибке.
  • Важно: Обычно используется вместе с sync, чтобы сохранить размер блока.

3. Другие полезные флаги conv=

Примеры комбинаций

1. Копирование диска с игнорированием ошибок и синхронизацией блоков:

   dd if=/dev/sda of=backup.img bs=1M conv=noerror,sync status=progress
   

   • Продолжает копирование при ошибках, дополняя неполные блоки нулями.

2. Дозапись в файл без его обрезки:

   dd if=data.bin of=output.bin bs=1M conv=notrunc
   

3. Копирование с гарантированной записью на диск:

   dd if=source.iso of=/dev/sdb bs=4M conv=fsync
   

• Комбинация noerror,sync часто используется при копировании повреждённых дисков.
• Если нужно создать точную копию с возможными ошибками, лучше использовать ddrescue (из пакета gddrescue), так как он более эффективен при восстановлении данных.

2. df – Информация о свободном месте на дисках

Основное использование:

df [опции] [файл/устройство]

Примеры:

• Показать место в человеко-читаемом формате:

  df -h
  

• Показать только определённую файловую систему:

  df -h /dev/sda1
  

• Показать тип файловой системы:

  df -Th
  

Опции:

• -h – человеко-читаемый формат (KB, MB, GB).
• -T – показать тип файловой системы.
• -i – показать использование inodes.

3. du – Анализ использования диска файлами и папками

Основное использование:

du [опции] [путь]

Примеры:

• Проверить размер папки:

  du -sh /home/user/
  

• Показать размер всех подпапок:

  du -h --max-depth=1 /var/
  

• Найти самые большие файлы:

  du -ah / | sort -rh | head -10
  

Опции:

• -s – только итоговая сумма.
• -h – человеко-читаемый формат.
• --max-depth=N – глубина вложенности.

4. ncdu – Интерактивный анализ дискового пространства

Установка (если нет):

sudo apt install ncdu  # Debian/Ubuntu
sudo dnf install ncdu  # Fedora

Примеры:

• Анализ текущей папки:

  ncdu
  

• Анализ всей системы (требует root):

  sudo ncdu /
  

Управление в ncdu:

• ↑/↓ – навигация.
• Enter – войти в папку.
• d – удалить файл/папку.
• q – выход.

5. lsblk – Список блочных устройств (диски, разделы)

Основное использование:

lsblk [опции]

Примеры:

• Показать все устройства в дереве:

  lsblk
  

• Показать UUID и файловую систему:

  lsblk -f
  

• Показать размеры в человеко-читаемом формате:

  lsblk -o NAME,SIZE,FSTYPE,MOUNTPOINT -e7
  

Опции:

• -f – показать файловые системы.
• -o – выбрать поля для вывода.
• -e7 – исключить loop-устройства.

6. lsusb – Список USB-устройств

Основное использование:

lsusb [опции]

Примеры:

• Показать все USB-устройства:

  lsusb
  

• Подробный вывод:

  lsusb -v
  

Опции:

• -v – подробная информация.
• -t – вывод в виде дерева.

7. lspci – Список PCI-устройств

Основное использование:

lspci [опции]

Примеры:

• Показать все устройства:

  lspci
  

• Подробно о видеокарте:

  lspci -v -s $(lspci | grep VGA | cut -d' ' -f1)
  

Опции:

• -v – подробный вывод.
• -nn – показать ID производителя.
• -k – показать драйверы.

Итог

🚀 Полезные сочетания:

• df -h | grep -v loop – показать только реальные диски.
• du -sh * | sort -h – сортировка файлов по размеру.
• lsblk -o NAME,SIZE,MOUNTPOINT,FSTYPE – удобный вывод дисков.

1.1 - Разбор конструкции find -exec и варианты использования

1. Что означает {} \; в команде find?

• {} – это специальный placeholder, который заменяется на имя каждого найденного файла.
• \; – завершает команду, передаваемую в -exec. Обратный слэш (\) экранирует точку с запятой, чтобы shell не интерпретировал её как конец команды.

Пример:

find /home -user olduser -exec chown newuser {} \;

Здесь:

1. find ищет все файлы в /home, принадлежащие olduser.
2. Для каждого файла выполняется chown newuser filename.
3. {} подставляется как имя файла, а \; указывает на конец команды.

2. Альтернативные форматы -exec

Вариант 1: + вместо \; (группировка файлов)

• + в конце передаёт все найденные файлы одной командой (эффективно для массовых операций).

Пример:

find /var/log -name "*.log" -exec tar -czvf logs.tar.gz {} +

• Создаёт один архив со всеми .log-файлами (вместо запуска tar для каждого файла отдельно).

Вариант 2: -execdir (безопасное выполнение)

• Выполняет команду в директории файла (защита от path injection).

Пример:

find /tmp -type f -execdir rm {} \;

• Удаляет файлы, запуская rm из их родительских директорий.

3. Другие полезные команды с -exec

Изменение прав (chmod)

find /path -type f -exec chmod 644 {} \;

• Устанавливает права 644 на все файлы.

Поиск и замена текста (sed)

find . -name "*.txt" -exec sed -i 's/foo/bar/g' {} \;

• Заменяет foo на bar во всех .txt-файлах.

Копирование файлов (cp)

find /src -name "*.jpg" -exec cp {} /dest \;

• Копирует все .jpg из /src в /dest.

Подсчёт строк (wc)

find . -type f -exec wc -l {} \;

• Считает строки в каждом файле.

Удаление файлов старше 30 дней

find /backups -mtime +30 -exec rm {} \;

• Удаляет файлы, не изменявшиеся больше месяца.

4. Комбинации с xargs (альтернатива -exec)

Если -exec неудобен, можно использовать xargs:

find /path -name "*.tmp" | xargs rm

• xargs передаёт имена файлов в rm пачками (аналогично + в -exec).

С обработкой пробелов в именах:

find /path -name "*.log" -print0 | xargs -0 tar -czvf logs.tar.gz

• -print0 и -0 корректно обрабатывают пробелы в путях.

5. Полезные опции find для -exec

Итог

• {} \; – подставляет имя файла и завершает команду.
• + – группирует файлы для одной команды (эффективнее).
• -execdir – безопасное выполнение в директории файла.
• Альтернативы: xargs, -delete, -printf.

Пример на все случаи:

find ~/Downloads -name "*.iso" -size +1G -exec ls -lh {} +

• Находит ISO-файлы >1 ГБ в ~/Downloads и выводит их список с размерами.

1.2 - Шпаргалка по find, sed, ugrep

**Шпаргалка по find, sed, ugrep (+ grep)

1. find – Поиск файлов и выполнение действий

🔍 Базовый поиск

1. Найти файлы по имени (регистронезависимо):

   find /path -iname "*.txt"
   

2. Найти файлы, изменённые за последние 7 дней:

   find /path -mtime -7
   

3. Найти файлы размером >100 МБ:

   find /path -size +100M
   

4. Найти пустые файлы и директории:

   find /path -empty
   

5. Найти файлы с правами 755:

   find /path -perm 755
   

⚡ Действия с найденными файлами

6. Удалить все .tmp-файлы:

   find /path -name "*.tmp" -delete
   

7. Изменить владельца файлов:

   find /path -user olduser -exec chown newuser {} \;
   

8. Архивировать все .log-файлы:

   find /var/log -name "*.log" -exec tar -czvf logs.tar.gz {} +
   

9. Найти и заменить права:

   find /path -type f -exec chmod 644 {} \;
   

10. Найти файлы и вывести их размер:

    find /path -type f -exec du -h {} \;
    

2. sed – Потоковый редактор (поиск и замена текста)

🔧 Базовые замены

11. Заменить первое вхождение в строке:

    echo "Hello World" | sed 's/World/Linux/'
    

12. Заменить все вхождения:

    echo "a b a b" | sed 's/a/c/g'
    

13. Удалить строки, содержащие error:

    sed '/error/d' file.txt
    

14. Удалить пустые строки:

    sed '/^$/d' file.txt
    

15. Заменить только в строках, содержащих debug:

    sed '/debug/s/old/new/' file.txt
    

📂 Работа с файлами

16. Заменить в файле на месте (с бэкапом):

    sed -i.bak 's/old/new/g' file.txt
    

17. Удалить строки с 5 по 10:

    sed '5,10d' file.txt
    

18. Вывести только строки с 20 по 30:

    sed -n '20,30p' file.txt
    

19. Добавить текст в начало файла:

    sed -i '1i New Header' file.txt
    

20. Добавить текст в конец файла:

    sed -i '$a Footer Text' file.txt
    

3. grep/ugrep – Поиск текста в файлах

🔎 Базовый поиск

21. Найти слово в файле (регистронезависимо):

    grep -i "pattern" file.txt
    

22. Найти точное совпадение (целое слово):

    grep -w "word" file.txt
    

23. Вывести только совпадающую часть:

    grep -o "pattern" file.txt
    

24. Найти строки, НЕ содержащие шаблон:

    grep -v "exclude" file.txt
    

25. Подсчитать количество совпадений:

    grep -c "pattern" file.txt
    

📂 Рекурсивный поиск

26. Искать в всех файлах директории:

    grep -r "pattern" /path/
    

27. Искать только в .php-файлах:

    grep -r --include="*.php" "pattern" /path/
    

28. Искать в файлах без .log:

    grep -r --exclude="*.log" "pattern" /path/
    

29. Искать в скрытых файлах:

    grep -r --hidden "pattern" /path/
    

30. Искать в файлах изменённых за последние 2 дня:

    find /path -mtime -2 -type f -exec grep -l "pattern" {} \;
    

🚀 ugrep – Улучшенный grep

31. Поиск с подсветкой и нумерацией строк:

    ugrep -n --color=auto "pattern" file.txt
    

32. Поиск с контекстом (строки до/после):

    ugrep -C 3 "pattern" file.txt  # 3 строки вокруг
    

33. Поиск с инвертированным контекстом:

    ugrep -v -C 2 "pattern" file.txt
    

34. Поиск сжатых файлов (.gz, .zip):

    ugrep -z "pattern" archive.gz
    

35. Поиск с регулярными выражениями:

    ugrep -P "\d{3}-\d{2}-\d{4}" file.txt  # Поиск SSN
    

4. Комбинации команд (find + grep + sed)

🔗 Поиск + обработка

36. Найти все .conf-файлы и заменить http на https:

    find /etc -name "*.conf" -exec sed -i 's/http/https/g' {} \;
    

37. Найти файлы, содержащие password, и вывести их имена:

    find /path -type f -exec grep -l "password" {} \;
    

38. Удалить все строки с # TODO из .py-файлов:

    find . -name "*.py" -exec sed -i '/# TODO/d' {} \;
    

📊 Анализ логов

39. Найти ошибки в логах за последний час:

    grep "ERROR" /var/log/syslog | grep "$(date -d '1 hour ago' '+%b %d %H')"
    

40. Посчитать уникальные IP в Nginx-логе:

    awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr
    

📂 Массовая обработка файлов

41. Переименовать все .jpg → .png:

    find . -name "*.jpg" | sed 's/\.jpg$//' | xargs -I {} mv {}.jpg {}.png
    

42. Удалить BOM из UTF-8 файлов:

    find . -type f -exec sed -i '1s/^\xEF\xBB\xBF//' {} \;
    

43. Удалить все пробелы в конце строк:

    find . -type f -exec sed -i 's/[[:space:]]*$//' {} \;
    

🔒 Безопасность

44. Найти файлы с SUID/SGID:

    find / -type f \( -perm -4000 -o -perm -2000 \) -exec ls -la {} \;
    

45. Найти открытые порты и процессы:

    netstat -tulnp | grep -E '0.0.0.0|:::'
    

📜 Разное

46. Извлечь все email из файла:

    grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Z|a-z]{2,}\b" file.txt
    

47. Заменить CRLF → LF (Windows → Unix):

    sed -i 's/\r$//' file.txt
    

48. Удалить HTML-теги из файла:

    sed 's/<[^>]*>//g' file.html
    

49. Найти дубликаты файлов по содержимому:

    find . -type f -exec md5sum {} + | sort | uniq -w32 -dD
    

50. Случайная строка из файла:

    shuf -n 1 file.txt
    

Итоговая таблица

🚀 Совет:

• ugrep быстрее grep и поддерживает расширенные regex (-P).
• find + exec мощнее xargs, но xargs лучше для большого числа файлов.

2 - Что такое PGP?

PGP использует гибридную криптосистему, сочетающую в себе симметричное и асимметричное шифрование, что делает его одновременно эффективным и безопасным.

Ключевые концепции: как это работает

1. Асимметричное шифрование (Криптография с открытым ключом):
   • У каждого пользователя есть пара ключей:
     • Закрытый ключ (Private Key): Должен храниться в строжайшем секрете. Никогда и никому не передается. Используется для расшифровки данных, предназначенных вам, и для подписи ваших сообщений.
     • Открытый ключ (Public Key): Может свободно распространяться кому угодно (публиковаться на сайте, в ключевых серверах, отправляться по почте). Используется для шифрования данных, которые сможете расшифровать только вы, и для проверки вашей цифровой подписи.
   • Принцип: То, что зашифровано открытым ключом, может быть расшифровано только соответствующим закрытым ключом, и наоборот.

flowchart TD
    subgraph Sender [Отправитель]
        A[Исходное сообщение] --> B{Создать цифровую подпись}
        B --> C[Зашифровать своим<br>Закрытым ключом]
        C --> D[Цифровая подпись]

        A --> E[Исходное сообщение]
        D --> F{Объединить сообщение и подпись}
        E --> F
        F --> G[Подписанное сообщение]

        G --> H{Зашифровать сообщение}
        H --> I[Сгенерировать случайный<br>сеансовый ключ]
        I --> J[Зашифровать сообщение<br>сеансовым ключом симметрично]
        J --> K[Зашифрованное сообщение]

        I --> L[Зашифровать сеансовый ключ<br>Открытым ключом получателя]
        L --> M[Зашифрованный сеансовый ключ]

        K --> N{Объединить для отправки}
        M --> N
        N --> O[Итоговые данные для отправки]
    end

    O --> P[Передача по незащищенному каналу<br>e.g. Интернет, почтовый сервер]

    subgraph Receiver [Получатель]
        P --> Q[Итоговые данные для отправки]
        Q --> R{Разделить данные}
        R --> S[Зашифрованный сеансовый ключ]
        R --> T[Зашифрованное сообщение]

        S --> U[Расшифровать сеансовый ключ<br>своим Закрытым ключом]
        U --> V[Сеансовый ключ]
        
        T --> W[Расшифровать сообщение<br>сеансовым ключом]
        V --> W
        W --> X[Подписанное сообщение]

        X --> Y{Разделить сообщение и подпись}
        Y --> Z[Полученное сообщение]
        Y --> AA[Цифровая подпись]

        AA --> AB[Расшифровать подпись<br>Открытым ключом отправителя]
        AB --> AC[Оригинальный хэш отправителя]

        Z --> AD[Вычислить хэш от<br>полученного сообщения]
        AD --> AE[Хэш полученного сообщения]

        AC --> AF{Сравнить хэши}
        AE --> AF

        AF -- Совпали --> AG[✅ Подпись верна<br>Сообщение аутентично и не изменено]
        AF -- Не совпали --> AH[❌ Подпись неверна!<br>Сообщение отклонено]
    end

2. Цифровая подпись:

   • Позволяет получателю убедиться в двух вещах:
     • Аутентичность: Сообщение действительно отправлено вами.
     • Целостность: Сообщение не было изменено во время передачи.
   • Как создается: Вы создаете хэш (отпечаток) вашего сообщения и шифруете этот хэш своим закрытым ключом. Получатель расшифровывает хэш вашим открытым ключом, вычисляет хэш полученного сообщения самостоятельно и сравнивает их. Если они совпали — подпись верна.

3. Гибридная система:

   • Шифровать большие объемы данных (например, длинное письмо) асимметричным шифрованием computationally expensive (требует много вычислительных ресурсов).
   • Решение PGP:
     1. Программа создает случайный сеансовый ключ (симметричный, один и тот же для шифрования и расшифровки).
     2. Этим сеансовым ключом шифруется само сообщение (быстро и эффективно).
     3. Этот сеансовый ключ сам шифруется открытым ключом получателя.
     4. Зашифрованное сообщение и зашифрованный сеансовый ключ отправляются получателю.
   • Получатель:
     1. Своим закрытым ключом расшифровывает сеансовый ключ.
     2. Расшифрованным сеансовым ключом расшифровывает всё сообщение.

flowchart TD
    subgraph Sender [Отправитель]
        direction LR
        A[Исходные данные<br>Сообщение или файл] --> B[Сгенерировать случайный<br>сеансовый ключ]
        B --> C[Зашифровать данные<br>сеансовым ключом<br>Симметричное шифрование AES]
        B --> D[Зашифровать сеансовый ключ<br>Открытым ключом получателя<br>Асимметричное шифрование RSA]
        C --> E[Зашифрованные данные]
        D --> F[Зашифрованный сеансовый ключ]
        E --> G[Объединить и отправить]
        F --> G
    end

    G --> H[Передача]

    subgraph Receiver [Получатель]
        direction LR
        H --> I[Принять данные]
        I --> J[Извлечь зашифрованный<br>сеансовый ключ]
        I --> K[Извлечь зашифрованные данные]
        J --> L[Расшифровать сеансовый ключ<br>своим Закрытым ключом]
        L --> M[Сеансовый ключ]
        K --> N[Расшифровать данные<br>сеансовым ключом]
        M --> N
        N --> O[Исходные данные]
    end

Схема омена ключами

flowchart TD
    A[Алиса генерирует свою<br>пару ключей] --> B[Алиса публикует свой<br>Открытый ключ на сервере]
    A --> C[Алиса отправляет свой<br>Открытый ключ Бобу по email]

    subgraph Bob [Действия Боба]
        D[Боб генерирует свою<br>пару ключей] --> E[Боб получает ключ Алисы]
        B -.-> E
        C --> E
        E --> F{Верифицировать отпечаток ключа}
        F -- "Звонок Алисе,<br>сверка отпечатков" --> G[✅ Ключ доверен]
        F -- "Отпечаток не проверен" --> H[❌ Ключ не доверен]
        G --> I[Боб может отправлять<br>Алисе зашифрованные сообщения]
    end

    subgraph Alice [Действия Алисы]
        J[Алиса получает ключ Боба] --> K[Алиса верифицирует<br>отпечаток ключа Боба]
        K --> L[✅ Ключ доверен]
        L --> M[Алиса может отправлять<br>Бобу зашифрованные сообщения]
    end

Пошаговое руководство по применению PGP

Современное применение PGP чаще всего сводится к использованию его реализаций с графическим интерфейсом, которые упрощают процесс.

Шаг 1: Установка необходимого ПО

Вам не нужна оригинальная коммерческая программа PGP. Существует ее бесплатный и открытый аналог — GnuPG (GPG). Это движок командной строки. Для удобства ставьте программы с графическим интерфейсом:

• Для электронной почты:
  • Thunderbird (почтовый клиент) + дополнение Enigmail. Это классическая и очень мощная связка.
  • Mailvelope — расширение для браузеров (Chrome, Firefox), которое позволяет работать с PGP прямо в веб-интерфейсах, таких как Gmail, Outlook.com и т.д.
• Для шифрования файлов/текста:
  • Gpg4win (для Windows) — комплект, включающий GPG, Kleopatra (менеджер ключей), плагины для Outlook и др.
  • GPG Suite (для macOS) — аналогичный комплект для Mac.
  • Kleopatra — кроссплатформенный менеджер ключей и сертификатов.

Шаг 2: Генерация пары ключей

1. Установите, например, Gpg4win или GPG Suite.
2. Запустите менеджер ключей (Kleopatra или другой).
3. Нажмите «Создать новую пару ключей» («New Key Pair»).
4. Введите свои данные:
   • Имя и Email: Это идентифицирует ваш ключ. Указывайте реальный email, на который планируете получать зашифрованные письма.
   • Парольная фраза (Passphrase): Это ОЧЕНЬ ВАЖНО. Парольная фраза защищает ваш закрытый ключ на диске. Она должна быть длинной и сложной (например, 4-5 случайных слов). Без нее даже кража вашего закрытого ключа будет бесполезна.
5. Дождитесь завершения генерации. Процесс может занять несколько минут, так как программа собирает энтропию (случайные данные) от ваших действий с мышкой и клавиатурой.

Шаг 3: Обмен открытыми ключами

Чтобы кто-то мог отправить вам зашифрованное сообщение, ему нужен ваш открытый ключ.

• Экспорт: В вашем менеджере ключей (Kleopatra) вы можете экспортировать открытый ключ в файл (обычно с расширением .asc или .pub). Этот файл представляет собой блок текста между строками -----BEGIN PGP PUBLIC KEY BLOCK----- и -----END PGP PUBLIC KEY BLOCK-----.
• Способы распространения:
  • Отправить по email: Просто прикрепите файл .asc к письму.
  • Скопировать текст: Скопируйте текстовый блок и вставьте его в тело письма.
  • Ключевые серверы (Keyservers): Это специальные публичные базы данных открытых ключей. Вы можете «залить» (upload) свой ключ на сервер (например, keys.openpgp.org). Тогда любой человек, зная ваш email, сможет его найти. (Важно: удалить ключ с ключевого сервера обычно невозможно!)

Шаг 4: Импорт и проверка чужих открытых ключей

Чтобы отправить сообщение кому-то, вам нужен их открытый ключ.

1. Импорт: Получите файл ключа или текстовый блок. В вашем менеджере ключей будет функция «Импорт» («Import»), где вы можете указать файл или вставить текст.
2. Верификация (Крайне важный шаг!): Как убедиться, что импортированный ключ действительно принадлежит тому, кто вам его прислал, а не злоумышленнику (атака “man-in-the-middle”)?
   • Сравнение отпечатка (Fingerprint): У каждого ключа есть уникальный «отпечаток» — длинная строка из букв и цифр (например, AB12 CD34 EF56 7890 ...). Свяжитесь с человеком другим, доверенным каналом связи (телефонный звонок, мессенджер с E2EE типа Signal/Telegram, личная встреча) и сравните отпечатки. Если они совпали — ключ подлинный.
   • Подпись ключей (Web of Trust): Более продвинутый метод, когда ваши доверенные контакты digitally подписывают ваш ключ, подтверждая его подлинность для третьих лиц.

Шаг 5: Шифрование и подпись

• В почтовом клиенте (Thunderbird + Enigmail): После настройки в интерфейсе письма появятся кнопки «Зашифровать» (иконка с ключом) и «Подписать» (иконка с ручкой). Просто отметьте нужные галочки перед отправкой. Плагин сам найдет открытый ключ получателя в вашей связке и всё сделает.
• В веб-почте (Mailvelope): Расширение добавит свою кнопку в интерфейс Gmail/Yahoo и т.д. Нажав на нее, вы откроете окно, где можно ввести текст, выбрать получателя (чей открытый ключ использовать) и зашифровать. Результат вставится в тело письма.
• Для файлов (Kleopatra): Через меню «Файл» -> «Зашифровать/Расшифровать» можно выбрать файлы и указать получателей.

Шаг 6: Расшифровка и проверка

• Когда вы получаете зашифрованное письмо, ваш почтовый плагин (Enigmail/Mailvelope) автоматически распознает его.
• Он проверит, есть ли у вас в связке закрытый ключ, соответствующий адресу получателя.
• Если есть, он запросит у вас парольную фразу для доступа к этому закрытому ключу и автоматически расшифрует сообщение.
• Если письмо было подписано, плагин также покажет результат проверки подписи (например, зеленую галочку и текст “Проверенная подпись от Имя Отправителя”).

Сценарии применения

1. Конфиденциальная переписка: Самая частая цель. Защита содержимого писем от прочтения провайдерами, хакерами, правительственными агентствами.
2. Защита целостности данных: Отправка важных документов (договоров, инструкций) с подписью, чтобы получатель мог быть уверен, что их не подменили.
3. Шифрование файлов на диске: Можно зашифровать чувствительные файлы на своем компьютере или на флеш-накопителе, чтобы даже в случае утери устройства данные были защищены.
4. Анонимность в darknet: PGP — обязательный стандарт для безопасного общения на теневых форумах и в рынках, где анонимность критически важна.

Сильные и слабые стороны

Сильные стороны:

• Высокий уровень безопасности при правильном использовании.
• Де-факто стандарт, поддерживается многими платформами.
• Децентрализованность — не зависит от единого центра сертификации.

Слабые стороны:

• Сложность для обычных пользователей: Основная причина, почему PGP не стал мейнстримом.
• Проблема верификации ключей: Сложно надежно проверить, что ключ действительно принадлежит нужному человеку.
• Уязвимости метаданных: PGP шифрует тело письма, но не скрывает метаданные (тему, отправителя, получателя, дату отправки). Эта информация остается открытой.
• Управление ключами: Потеря закрытого ключа или парольной фразы означает безвозвратную потерю доступа к данным. Компрометация ключа требует его отзыва и генерации нового.

Вывод

PGP — это мощный, проверенный временем инструмент для защиты приватности, который остается золотым стандартом для шифрования email. Его применение требует определенных усилий для изучения и дисциплины для постоянного использования. Для большинства пользователей лучшей отправной точкой является установка Thunderbird с плагином Enigmail или браузерного расширения Mailvelope.

2.1 - Структура хранения ключей

1. База данных и структура хранения GnuPG на компьютере

GnuPG не использует единую базу данных в традиционном понимании (как SQLite или MySQL). Вместо этого он использует набор файлов в специальном каталоге (обычно ~/.gnupg/ в Linux/macOS или %APPDATA%\gnupg в Windows). Это портативная и простая в резервном копировании структура.

Вот ключевые файлы и их назначение:

Устаревшие файлы (встречаются в старых системах или после обновления):

• pubring.gpg, secring.gpg: Публичные и секретные ключи в старом формате. Современные версии GnuPG (>2.1) используют pubring.kbx и каталог private-keys-v1.d/ вместо secring.gpg.

Как это работает вместе?

1. Когда вы выполняете gpg --list-keys, программа читает список открытых ключей из pubring.kbx.
2. Когда вы проверяете подпись, gpg сверяется с trustdb.gpg, чтобы узнать, насколько ключ, которым подписан файл, валиден с точки зрения вашей сети доверия.
3. Когда вы подписываете или расшифровываете что-либо, gpg обращается к gpg-agent.
4. gpg-agent находит нужный секретный ключ в каталоге private-keys-v1.d/, запрашивает у вас пароль для его расшифровки (если он еще не закэширован) и выполняет криптографическую операцию.

2. Что устанавливается при установке GnuPG

При установке GnuPG (пакет gnupg, gnupg2 или установщик для Windows) устанавливается не одна программа, а целый набор взаимосвязанных компонентов:

Итог: Установка GnuPG — это установка целой экосистемы (gpg, gpg-agent, dirmngr), которая работает вместе, чтобы предоставить полнофункциональную криптографическую инфраструктуру. Данные хранятся в виде набора файлов в домашнем каталоге, а не в единой монолитной базе, что упрощает резервное копирование и перенос.

2.2 - gpg-agent

Агент автоматически запускается по требованию gpg, gpgsm, gpgconf или gpg-connect-agent. Таким образом, нет необходимости запускать его вручную. Если вы хотите использовать включенный агент Secure Shell, вы можете запустить агент с помощью:

gpg-connect-agent /bye

Если вы хотите вручную завершить текущий работающий агент, вы можете сделать это безопасно с помощью:

gpgconf --kill gpg-agent

Вы всегда должны добавить следующие строки в ваш .bashrc или любой другой файл инициализации, используемый для всех вызовов оболочки:

GPG_TTY=$(tty)
export GPG_TTY

Важно, чтобы эта переменная окружения всегда отражала вывод команды tty. Для систем W32 эта опция не требуется.

Пожалуйста, убедитесь, что подходящая программа pinentry установлена под именем по умолчанию (что зависит от системы) или используйте опцию pinentry-program, чтобы указать полное имя этой программы. Часто полезно установить символическую ссылку от фактически используемого pinentry (например, /usr/local/bin/pinentry-gtk) к ожидаемому (например, /usr/local/bin/pinentry).

2.3 - dirmngr

2.4 - gpg

Существуют две основные версии GnuPG: GnuPG 1.x и GnuPG 2.x. GnuPG 2.x поддерживает современные алгоритмы шифрования и, следовательно, должен быть предпочтительным вариантом по сравнению с GnuPG 1.x. Вам нужно использовать GnuPG 1.x только в том случае, если ваша платформа не поддерживает GnuPG 2.x или вам нужна поддержка некоторых функций, которые были устаревшими в GnuPG 2.x по соображениям безопасности, например, расшифровка данных, созданных с помощью ключей PGP-2.

Если вы ищете первую версию GnuPG, вы можете обнаружить, что эта версия установлена под именем gpg1.

Команды и опции

Команды не отличаются от опций, за исключением того факта, что разрешена только одна команда. Вообще говоря, нерелевантные опции тихо игнорируются, и их корректность может не проверяться.

gpg может быть запущен без команд. В этом случае он выведет предупреждение и выполнит разумное действие в зависимости от типа файла, переданного ему на вход (зашифрованное сообщение будет расшифровано, подпись будет проверена, файл с ключами будет выведен на экран и т.д.).

Если у вас возникли какие-либо проблемы, добавьте опцию --verbose (подробно) к вызову команды, чтобы увидеть больше диагностической информации.

2.4.1 - Команды GPG

Команды, не привязанные к конкретной функции

--version Выводит информацию о версии программы и лицензировании. Обратите внимание, что эту команду нельзя сокращать.

--help -h Выводит сообщение о использовании, суммирующее наиболее полезные опции командной строки. Обратите внимание, что эту команду нельзя произвольно сокращать (хотя можно использовать её короткую форму -h).

--warranty Выводит информацию о гарантиях.

--dump-options Выводит список всех доступных опций и команд. Обратите внимание, что эту команду нельзя сокращать.

Конечно, вот перевод и структурированная таблица с командами, а также примеры использования.

Команды для выбора типа операции

Конкретные примеры использования

1. Шифрование и подпись:

# Зашифровать и подписать файл 'document.txt' для получателя alice@example.com, используя свой ключ bob@example.com для подписи.
# Результат в файле 'document.txt.gpg'
gpg --encrypt --sign --recipient alice@example.com --local-user bob@example.com --output document.txt.gpg document.txt
# Короткая форма:
gpg -e -s -r alice@example.com -u bob@example.com -o document.txt.gpg document.txt

2. Создание и проверка отделённой подписи:

# Создать отделённую подпись для файла 'package.zip'
gpg --detach-sign --output package.zip.sig package.zip
# Проверить отделённую подпись
gpg --verify package.zip.sig package.zip

3. Симметричное шифрование:

# Зашифровать файл 'secret.txt' симметричным шифром с помощью пароля
gpg --symmetric --output secret.txt.gpg secret.txt
# Расшифровать полученный файл (gpg запросит пароль)
gpg --decrypt --output secret.txt secret.txt.gpg

4. Работа с ключами:

# Вывести список открытых ключей с отпечатками
gpg --list-keys --fingerprint
# Импортировать ключ из файла
gpg --import public_key.asc
# Экспортировать открытый ключ с ID 12345678 в файл
gpg --export --armor 12345678 > public_key.asc
# Обновить все ключи в ключевом кольце с keyserver'а
gpg --refresh-keys

5. Проверка подписи чистого текста:

# Проверить подпись файла 'message.txt.asc'
gpg --verify message.txt.asc
# Если нужно извлечь подписанное содержимое в файл 'message.txt'
gpg --output message.txt --decrypt message.txt.asc

Конечно, вот перевод, структурированная таблица и практические примеры.

Как управлять своими ключами

В этом разделе объясняются основные команды для управления ключами.

Таблица команд управления ключами

Ключевые понятия из --edit-key:

• sign / lsign / tsign / nrsign – Подписать ключ (обычная/локальная/доверительная/безотзывная).
• adduid – Добавить user ID.
• addkey – Добавить субключ.
• passwd – Сменить парольную фразу.
• revkey / revuid – Отозвать субключ / user ID.
• expire – Изменить срок действия.
• save – Сохранить изменения и выйти.
• quit – Выйти без сохранения.

Примеры использования

1. Быстрое создание ключа

# Создать ключ для Alice, который никогда не истекает, используя алгоритмы по умолчанию
gpg --quick-generate-key "Alice Lovelace <alice@example.com>" default default never

# Создать ключ для Bob с истечением через 1 год
gpg --quick-gen-key "Bob Babbage <bob@example.com>" default default 1y

# Создать ключ, защищённый паролем "secret", в пакетном режиме
echo "secret" | gpg --batch --pinentry-mode loopback --passphrase-fd 0 --quick-gen-key "Test User" default default

2. Управление сроком действия и субключами

# Установить срок действия основного ключа (с отпечатком XYZ123...) на 2025-12-31
gpg --quick-set-expire XYZ1234567890ABCDEFGH 2025-12-31

# Добавить субключ шифрования (алгоритм по умолчанию) к существующему ключу
gpg --quick-add-key XYZ1234567890ABCDEFGH default encr

# Добавить субключ для аутентификации (Ed25519) с истечением через 6 месяцев
gpg --quick-add-key XYZ1234567890ABCDEFGH ed25519 auth 6m

3. Работа с существующими ключами (подпись, отзыв)

# Подписать ключ с отпечатком ABCD... (все его user IDs)
gpg --quick-sign-key ABCD0987654321ABCD0987654321ABCD0987654321

# Подписать ключ, но только конкретный user ID ('=*@company.org' - точное совпадение)
gpg --quick-sign-key ABCD0987654321ABCD0987654321ABCD0987654321 "=*@company.org"

# Отозвать user ID 'old@email.com' у ключа 'user@example.com'
gpg --quick-revoke-uid "user@example.com" "old@email.com"

4. Импорт и экспорт

# Импортировать ключ из файла
gpg --import public_key.asc

# Экспортировать открытый ключ с отпечатком XYZ... в файл
gpg --export --armor XYZ1234567890ABCDEFGH > alice_public.asc

# Экспортировать секретный ключ для резервной копии (ОСТОРОЖНО!)
gpg --export-secret-keys --armor XYZ1234567890ABCDEFGH > alice_secret_backup.asc

5. Просмотр и проверка

# Показать список открытых ключей с отпечатками
gpg --list-keys --fingerprint

# Показать список секретных ключей
gpg --list-secret-keys

# Проверить подписи на всех ключах в ключевом кольце
gpg --check-signatures

6. Интерактивное управление через --edit-key

# Начать редактирование ключа (заменить 'user@example.com' на свой ID)
gpg --edit-key user@example.com

# В появившемся интерактивном меню (prompt: gpg>) можно использовать:
# gpg> adduid                         # Добавить новый user ID
# gpg> addkey                         # Добавить новый субключ
# gpg> passwd                         # Сменить пароль
# gpg> expire                         # Изменить срок действия
# gpg> key 1                          # Выбрать первый субключ (для операций с ним)
# gpg> trust                          # Изменить уровень доверия
# gpg> save                           # Сохранить изменения и выйти

Конечно, вот подробная таблица всех субкоманд --edit-key и дополнительные примеры.

Таблица субкоманд интерактивного меню --edit-key

Команда вводится после приглашения gpg>.

Примеры использования --edit-key

1. Базовое управление ключом

# Начать редактирование ключа для alice@example.com
gpg --edit-key alice@example.com

# В интерактивном меню:
gpg> adduid                         # Добавить новый user ID (запрос имени и email)
    Real name: Alice Lovelace
    Email address: alice@work.com
    Comment: Work account
    (Подтвердить)

gpg> uid 2                          # Выбрать второй user ID (только что добавленный)
gpg> primary                        # Сделать его основным
gpg> passwd                         # Изменить парольную фразу
gpg> save                           # Сохранить изменения и выйти

2. Управление субключами

gpg --edit-key bob@example.com

gpg> addkey                         # Добавить новый субключ
    Please select what kind of key you want:
       (3) DSA (sign only)
       (4) RSA (sign only)
       (5) Elgamal (encrypt only)
       (6) RSA (encrypt only)
       (7) DSA (set your own capabilities)
       (8) RSA (set your own capabilities)
       (10) ECC (sign only)
       (11) ECC (set your own capabilities)
       (12) ECC (encrypt only)
       (13) Existing key
    Your selection? 6               # Выбираем RSA (только шифрование)
    What keysize do you want? 4096  # Указываем размер ключа
    Key is valid for? 1y            # Указываем срок действия (1 год)
    (Подтвердить создание)

gpg> key 1                          # Выбрать первый субключ (для операций с ним)
gpg> expire                         # Изменить его срок действия
    Key is valid for? (0) 0
    Key does not expire at all
    Is this correct? (y/N) y        # Сделать бессрочным

gpg> revkey                         # ОТОЗВАТЬ этот субключ (если он скомпрометирован)
gpg> save

3. Подписание чужих ключей и управление доверием

# Предполагается, что ключ друга уже импортирован
gpg --edit-key friend@example.com

gpg> sign                           # Подписать ключ друга
    ... Вывод информации о ключе и его отпечатка ...
    Really sign? (y/N) y            # Подтверждаем подписание

gpg> tsign                          # Создать доверительную подпись
    Enter the depth of this trust signature (1-255): 1
    Enter the trust value (60=marginal, 120=full, 0-255): 120
    Enter a domain name (optional): our-community.org
    Really sign? (y/N) y

gpg> trust                          # Изменить уровень доверия к владельцу ключа
    Your decision? 5                # Указываем: "I trust ultimately"
gpg> save

4. Работа со смарт-картой (YubiKey и аналоги)

gpg --edit-key mykey@example.com

gpg> keytocard                      # Перенести выбранный секретный ключ на карту
    Please select where to store the key:
       (1) Signature key
       (2) Encryption key
       (3) Authentication key
    Your selection? 1               # Переносим подписывающий ключ в слот для подписи
    (Введите пароль админа карты)

gpg> key 1                          # Выбрать следующий ключ
gpg> keytocard
    Your selection? 2               # Переносим шифрующий ключ в слот для шифрования

gpg> save                           # Секретные ключи теперь на карте, в keyring - заглушки

5. Отзыв компонентов ключа

# Ключ скомпрометирован, нужно отозвать старый email и создать сертификат отзыва
gpg --edit-key compromised@example.com

gpg> uid 1                          # Выбрать user ID со старым email
gpg> revuid                         # ОТОЗВАТЬ этот user ID
    Create a revocation certificate for this user ID? (y/N) y
    Enter the reason for the revocation: 1 # 1 = Key has been compromised
    Enter an optional description; ...:
    (Подтвердить)

gpg> genrevoke                      # Создать сертификат отзыва для всего ключа
    Create a revocation certificate? (y/N) y
    Enter the reason for the revocation: 1
    ... (Описание) ...
    Вывод ASCII-armored сертификата отзыва
    Сохранить его в надёжное место!

gpg> quit                           # Пока не сохраняем изменения, только создали сертификат

# Позже, чтобы применить отзыв, импортируем сертификат
gpg --import revocation_certificate.asc

2.4.2 - Опции PGP

В GnuPG (gpg) имеется множество опций для точного контроля поведения и изменения конфигурации по умолчанию.

• Опции конфигурации GPG: Как изменить конфигурацию. • Опции GPG, связанные с ключами: Опции, связанные с ключами. • Ввод и вывод GPG: Опции ввода и вывода. • Опции OpenPGP: Специфичные для протокола OpenPGP опции. • Опции соответствия (Compliance): Опции соответствия. • Эзотерические опции GPG: Выполнение действий, которые обычно не требуются. • Устаревшие опции: Опции, признанные устаревшими.

Длинные опции (long options) можно поместить в файл настроек (по умолчанию ~/.gnupg/gpg.conf). Короткие имена опций (short option names) работать не будут — например, armor является допустимой опцией для файла настроек, а a — нет. Не нужно писать 2 дефиса, достаточно указать имя опции и любые необходимые аргументы. Строки, у которых первый непробельный символ является решёткой (#), игнорируются. Команды также можно помещать в этот файл, но обычно это бесполезно, так как команда будет выполняться автоматически при каждом запуске gpg.

Пожалуйста, помните, что разбор опций останавливается, как только встречается не-опция. Вы можете явно остановить разбор с помощью специальной опции --.

Таблица опций конфигурации GPG

Таблица ключевых опций GPG (4.2.2 Key related options)

2.4.3 - Ввод и вывод

Ввод и Вывод

--armor -a Создавать вывод в формате ASCII-armor (защищенный ASCII). По умолчанию создается бинарный формат OpenPGP.

--no-armor Предполагать, что входные данные не в формате ASCII-armor.

--output file -o file Записывать вывод в файл file. Для записи в стандартный поток вывода (stdout) используйте - в качестве имени файла.

--max-output n Эта опция устанавливает лимит на количество байт, которые будут сгенерированы при обработке файла. Поскольку OpenPGP поддерживает различные уровни сжатия, возможно, что открытый текст данного сообщения может быть значительно больше исходного сообщения OpenPGP. Хотя GnuPG корректно работает с такими сообщениями, часто возникает желание установить максимальный размер файла, который будет сгенерирован, прежде чем обработка будет принудительно остановлена из-за ограничений ОС. По умолчанию 0, что означает «без ограничений».

--chunk-size n Режим шифрования AEAD шифрует данные блоками (chunks), чтобы принимающая сторона могла проверять ошибки передачи или подделку в конце каждого блока, а не откладывать это до получения всех данных. Используемый размер блока составляет 2^n байт. Наименьшее разрешенное значение для n — 6 (64 байта), а наибольшее — значение по умолчанию 22, что создает блоки размером не более 4 МиБ.

--input-size-hint n Эта опция может быть использована, чтобы сообщить GPG размер входных данных в байтах. n должно быть положительным числом в десятичной системе счисления. Эта опция полезна только если ввод осуществляется не из файла. GPG может использовать эту подсказку для оптимизации стратегии выделения буферов. Она также используется в строке --status-fd «PROGRESS» для предоставления значения «total», если оно недоступно другими способами.

--key-origin string[,url] gpg может отслеживать происхождение ключа. Некоторые источники известны неявно (например, keyserver, web key directory) и устанавливаются автоматически. Для стандартного импорта происхождение импортируемых ключей можно задать с помощью этой опции. Чтобы узнать возможные значения, используйте "help" в качестве string. Некоторые источники могут хранить необязательный аргумент url; такой URL можно добавить к string через запятую.

--import-options parameters Это строка, разделенная пробелами или запятыми, которая задает параметры для импорта ключей. К параметрам можно добавлять префикс ‘no-’, чтобы придать противоположное значение. Параметры:

import-local-sigs Разрешить импорт подписей ключей, помеченных как “local” (локальные). Обычно это не полезно, если не используется схема с общим ключевым кольцом. По умолчанию no.

keep-ownertrust Обычно возможные, но все еще существующие значения доверия (ownertrust) ключа очищаются, если ключ импортируется. Это в целом желательно, чтобы ранее удаленный ключ не получал автоматически значения доверия仅仅 из-за импорта. С другой стороны, иногда необходимо повторно импортировать набор доверенных ключей, сохраняя уже назначенные значения доверия. Этого можно достичь, используя эту опцию.

repair-pks-subkey-bug При импорте пытаться исправить повреждения, вызванные ошибкой keyserver PKS (версии до 0.9.6), которая искажает ключи с несколькими подключами. Обратите внимание, что это не может полностью восстановить поврежденный ключ, так как некоторые crucial данные удаляются keyserver’ом, но это, по крайней мере, возвращает вам один подключ. По умолчанию no для обычного --import и yes для keyserver --receive-keys.

import-show show-only Показывать список ключа непосредственно перед его сохранением. Это можно комбинировать с опцией --dry-run, чтобы только просмотреть ключи; опция show-only является ярлыком для этой комбинации. Команда --show-keys — это еще один ярлык для этого. Обратите внимание, что суффиксы, такие как ’#’ для строк “sec” и “sbb”, могут выводиться, а могут и нет.

import-export Запустить весь код импорта, но вместо сохранения ключа в локальное ключевое кольцо записать его в вывод. Опция экспорта export-dane влияет на вывод. Эта опция может быть использована, например, для удаления всех недействительных частей из ключа без необходимости его сохранять.

merge-only Во время импорта разрешать обновления существующих ключей, но не разрешать импорт любых новых ключей. По умолчанию no.

import-clean После импорта compact (удалить все подписи, кроме самоподписи) любые user ID из нового ключа, которые не пригодны для использования. Затем удалить любые подписи из нового ключа, которые не пригодны для использования. Это включает подписи, выпущенные ключами, которых нет в ключевом кольце. Эта опция эквивалентна выполнению команды --edit-key “clean” после импорта. По умолчанию no.

self-sigs-only Принимать только самоподписи при импорте ключа. Все другие подписи ключей пропускаются на раннем этапе импорта. Эту опцию можно использовать с keyserver-options для смягчения попыток flooding ключа поддельными подписями с keyserver’а. Недостаток заключается в том, что все другие действительные подписи ключей, требуемые Web of Trust, также не импортируются. Обратите внимание, что при использовании этой опции вместе с import-clean она подавляет финальный шаг очистки после объединения импортированного ключа с существующим ключом.

ignore-attributes Игнорировать все attribute user ID (photo ID) и их подписи при импорте ключа.

repair-keys После импорта исправлять различные проблемы с ключами. Например, это переупорядочивает подписи и удаляет дубликаты подписей. По умолчанию yes.

bulk-import При использовании keyboxd (опция use-keyboxd в common.conf) выполняет импорт в рамках одной транзакции.

import-minimal Импортировать минимально возможный ключ. Это удаляет все подписи, кроме самой последней самоподписи на каждом user ID. Эта опция эквивалентна выполнению команды --edit-key “minimize” после импорта. По умолчанию no.

restore import-restore Импортировать в режиме восстановления ключа. Это импортирует все данные, которые обычно пропускаются во время импорта; включая все специфичные для GnuPG данные. Все другие противоречащие опции переопределяются.

--import-filter {name=expr} --export-filter {name=expr} Эти опции определяют фильтр импорта/экспорта, который применяется к импортируемому/экспортируемому ключевому блоку непосредственно перед его сохранением/записью. name определяет тип используемого фильтра, expr — выражение для вычисления. Опцию можно использовать несколько раз, что добавляет больше выражений к тому же имени name.

Доступные типы фильтров:

keep-uid Этот фильтр будет сохранять пакет user id и зависящие от него пакеты в ключевом блоке, если выражение оценивается как истина.

drop-subkey Этот фильтр удаляет выбранные подключи. В настоящее время реализовано только для --export-filter.

drop-sig Этот фильтр удаляет выбранные подписи ключей на user ids. Самоподписи не рассматриваются. В настоящее время реализовано только для --import-filter.

select Этот фильтр реализован только для --list-filter. Можно использовать все имена свойств.

Синтаксис выражения см. в главе «ВЫРАЖЕНИЯ ФИЛЬТРА». Имена свойств для выражений зависят от фактического типа фильтра и указаны в следующей таблице. Обратите внимание, что все имена свойств также могут использоваться --list-filter.

Имена свойств могут иметь префикс с областью видимости, разделенной косой чертой. Допустимые области видимости: "pub" для открытых и секретных первичных ключей, "sub" для открытых и секретных подключей, "uid" для пакетов user-ID и "sig" для пакетов подписей. Неверные области видимости в настоящее время игнорируются.

Доступные свойства:

uid Строка с user id. (keep-uid)

mbox Часть addr-spec user id с почтовым ящиком или пустая строка. (keep-uid)

algostr Строка с описанием алгоритма ключа. Например, “rsa3072” или “ed25519”.

key_algo Число с алгоритмом открытого ключа пакета ключа или подключа. (drop-subkey)

key_size Число с эффективным размером ключа пакета ключа или подключа. (drop-subkey)

key_created key_created_d Первое — это метка времени создания пакета открытого ключа или подключа. Второе — то же самое, но представленное в виде строки ISO, например, “2016-08-17”. (drop-subkey)

key_expires key_expires_d Время истечения срока действия открытого ключа или подключа или 0, если срок действия не истекает. Второе — то же самое, но представленное в виде строки с датой ISO или пустой строки, например, “2038-01-19”.

fpr Шестнадцатеричный отпечаток (fingerprint) текущего подключа или первичного ключа. (drop-subkey)

primary Логическое значение, указывающее, является ли user id первичным. (keep-uid)

expired Логическое значение, указывающее, истек ли срок действия user id (keep-uid), ключа (drop-subkey) или подписи (drop-sig).

revoked Логическое значение, указывающее, был ли отозван user id (keep-uid) или ключ (drop-subkey).

disabled Логическое значение, указывающее, отключен ли первичный ключ.

secret Логическое значение, указывающее, является ли ключ или подключ секретным. (drop-subkey)

usage Строка, указывающая флаги использования для подключа, из последовательности «ecsa?». Например, подключ, способный только подписывать и аутентифицировать, будет точным совпадением для “sa”. (drop-subkey)

sig_created sig_created_d Первое — это метка времени создания пакета подписи. Второе — то же самое, но представленное в виде строки с датой ISO, например, “2016-08-17”. (drop-sig)

sig_expires sig_expires_d Время истечения срока действия пакета подписи или 0, если срок действия не истекает. Второе — то же самое, но представленное в виде строки с датой ISO или пустой строки, например, “2038-01-19”.

sig_algo Число с алгоритмом открытого ключа пакета подписи. (drop-sig)

sig_digest_algo Число с алгоритмом хеширования пакета подписи. (drop-sig)

origin Строка с происхождением ключа или вопросительный знак. Например, строка “wkd” используется, если ключ получен из Web Key Directory.

lastupd Метка времени последнего обновления ключа с keyserver’а или из Web Key Directory.

url Строка с URL, связанным с последним поиском ключа.

--export-options parameters Это строка, разделенная пробелами или запятыми, которая задает параметры для экспорта ключей. К параметрам можно добавлять префикс ‘no-’, чтобы придать противоположное значение. Параметры:

export-local-sigs Разрешить экспорт подписей ключей, помеченных как “local” (локальные). Обычно это не полезно, если не используется схема с общим ключевым кольцом. По умолчанию no.

export-attributes Включать attribute user IDs (photo IDs) при экспорте. Не включение attribute user IDs полезно для экспорта ключей, которые будут использоваться программой OpenPGP, не принимающей attribute user IDs. По умолчанию yes.

export-sensitive-revkeys Включать информацию о назначенном отзывающем (designated revoker), которая была помечена как “sensitive” (чувствительная). По умолчанию no.

backup export-backup Экспортировать для использования в качестве резервной копии. Экспортируемые данные включают все данные, необходимые для последующего восстановления ключа или ключей с помощью GnuPG. Формат基本上是 OpenPGP формат, но расширенный специфичными для GnuPG данными. Все другие противоречащие опции переопределяются.

export-clean Compact (удалить все подписи) user IDs экспортируемого ключа, если user IDs не пригодны для использования. Также не экспортировать любые подписи, которые не пригодны для использования. Это включает подписи, выпущенные ключами, которых нет в ключевом кольце. Эта опция эквивалентна выполнению команды --edit-key “clean” перед экспортом, за исключением того, что локальная копия ключа не изменяется. По умолчанию no.

export-minimal Экспортировать минимально возможный ключ. Это удаляет все подписи, кроме самой последней самоподписи на каждом user ID. Эта опция эквивалентна выполнению команды --edit-key “minimize” перед экспортом, за исключением того, что локальная копия ключа не изменяется. По умолчанию no.

export-revocs Экспортировать только отдельные (standalone) сертификаты отзыва ключа. Эта опция не экспортирует отзывы сторонних сертификатов отзыва.

export-dane Вместо вывода material ключа выводить записи OpenPGP DANE, пригодные для размещения в файлах зон DNS. Перед каждой записью выводится строка ORIGIN, чтобы позволить направлять записи в соответствующую зону.

mode1003 Включить использование нового формата экспорта секретного ключа. Этот формат избегает повторного шифрования, требуемого текущим форматом OpenPGP, а также улучшает безопасность секретного ключа, если он был защищен парольной фразой. Обратите внимание, что незащищенный ключ экспортируется как есть и, следовательно, небезопасен; общее правило передачи секретных ключей в зашифрованном OpenPGP файле все равно применяется в этом режиме. Версии GnuPG до 2.4.0 не могут импортировать такой секретный файл.

--with-colons Выводить списки ключей, разделенные двоеточиями. Обратите внимание, что вывод будет закодирован в UTF-8 независимо от каких-либо настроек --display-charset. Этот формат полезен, когда GnuPG вызывается из скриптов и других программ, так как он легко анализируется машиной. Подробности этого формата документированы в файле doc/DETAILS, который включен в дистрибутив исходного кода GnuPG.

--fixed-list-mode Не объединять primary user ID и primary key в режиме листинга --with-colon и выводить все метки времени в виде секунд с 1970-01-01. Начиная с GnuPG 2.0.10, этот режим всегда используется, и поэтому эта опция устарела; однако использовать ее не вредно.

--legacy-list-mode Вернуться к режиму списка открытых ключей до версии 2.1. Это влияет только на удобочитаемый вывод, а не на машинный интерфейс (т.е. --with-colons). Обратите внимание, что устаревший формат не передает подходящую информацию для эллиптических кривых.

--with-fingerprint То же, что и команда --fingerprint, но изменяет только формат вывода и может использоваться вместе с другой командой.

--with-subkey-fingerprint --without-subkey-fingerprint Если для первичного ключа выводится отпечаток, эта опция принудительно выводит отпечаток для всех подключей. Этого также можно было бы достичь, используя --with-fingerprint дважды, но используя эту опцию вместе с форматом keyid по умолчанию “none”, выводится compact отпечаток. Начиная с версии 2.6.0 эта опция активна по умолчанию; используйте вариант «without», чтобы отключить ее.

--with-v5-fingerprint В режиме листинга с двоеточиями выводить строки “fp2” для ключей OpenPGP версии 4, имеющих отпечаток ключа в стиле v5.

--with-icao-spelling Печатать spelling отпечатка по стандарту ICAO в дополнение к шестнадцатеричным цифрам.

--with-keygrip Включать keygrip в списки ключей. В режиме --with-colons это неявно включено для секретных ключей.

--with-key-origin Включать локально хранящуюся информацию о происхождении и последнем обновлении ключа в список ключей. В режиме --with-colons это выводится всегда. Эти данные в настоящее время являются экспериментальными и не должны рассматриваться как часть стабильного API.

--with-wkd-hash Выводить идентификатор Web Key Directory вместе с каждым user ID в списках ключей. Это экспериментальная функция, и семантика может измениться.

--with-secret Включать информацию о наличии секретного ключа в списках открытых ключей, выполненных с помощью --with-colons.

Таблица опций GnuPG

Параметры для --import-options:

Параметры для --export-options:

Типы фильтров для --import-filter / --export-filter:

2.4.4 - OpenGPG опции

Специфичные опции для протокола OpenPGP

--force-ocb --force-aead Принудительно использовать AEAD шифрование вместо MDC шифрования. AEAD — это современный и более быстрый способ аутентифицированного шифрования, чем старый метод MDC. --force-aead является псевдонимом и устарел. См. также опцию --chunk-size.

--force-mdc --disable-mdc Эти опции устарели и не имеют эффекта начиная с GnuPG 2.2.8. MDC всегда используется, если только ключи не указывают, что можно использовать алгоритм AEAD, и в этом случае используется AEAD. Но обратите внимание: если исключительно требуется создание устаревшего сообщения без MDC, опция --rfc2440 позволяет это сделать.

--disable-signer-uid По умолчанию идентификатор пользователя (user ID) ключа подписи встраивается в подпись данных. На данный момент это делается только в том случае, если ключ подписи был указан с помощью local-user с использованием почтового адреса или с помощью sender. Эта информация может быть полезна проверяющему для поиска ключа; см. опцию --auto-key-retrieve.

--include-key-block --no-include-key-block Эта опция используется для встраивания фактического ключа подписи в подпись данных. Встраиваемый ключ сокращается до одного идентификатора пользователя и включает только подключ подписи, использованный для создания подписи, а также действительные подключи шифрования. Вся остальная информация удаляется из ключа, чтобы сохранить его, и, следовательно, подпись небольшой. Эта опция является аналогом опции gpgsm --include-certs в OpenPGP и позволяет получателю подписанного сообщения отвечать зашифрованно отправителю без использования каких-либо онлайн-каталогов для поиска ключа. По умолчанию установлено --no-include-key-block. См. также опцию --auto-key-import.

--personal-cipher-preferences string Установить список личных предпочтений шифров на строку string. Используйте gpg --version, чтобы получить список доступных алгоритмов, и используйте none, чтобы вообще не устанавливать предпочтений. Это позволяет пользователю безопасно переопределить алгоритм, выбранный предпочтениями ключа получателя, поскольку GPG будет выбирать только алгоритм, пригодный для использования всеми получателями. Самый высокорейтинговый шифр в этом списке также используется для команды шифрования --symmetric.

--personal-digest-preferences string Установить список личных предпочтений хеширования на строку string. Используйте gpg --version, чтобы получить список доступных алгоритмов, и используйте none, чтобы вообще не устанавливать предпочтений. Это позволяет пользователю безопасно переопределить алгоритм, выбранный предпочтениями ключа получателя, поскольку GPG будет выбирать только алгоритм, пригодный для использования всеми получателями. Самый высокорейтинговый алгоритм хеширования в этом списке также используется при подписании без шифрования (например, --clear-sign или --sign).

--personal-compress-preferences string Установить список личных предпочтений сжатия на строку string. Используйте gpg --version, чтобы получить список доступных алгоритмов, и используйте none, чтобы вообще не устанавливать предпочтений. Это позволяет пользователю безопасно переопределить алгоритм, выбранный предпочтениями ключа получателя, поскольку GPG будет выбирать только алгоритм, пригодный для использования всеми получателями. Самый высокорейтинговый алгоритм сжатия в этом списке также используется, когда нет ключей получателей для рассмотрения (например, --symmetric).

--s2k-cipher-algo name Использовать name в качестве алгоритма шифрования для симметричного шифрования с парольной фразой, если не заданы --personal-cipher-preferences и --cipher-algo. По умолчанию используется AES-128.

--s2k-digest-algo name Использовать name в качестве алгоритма хеширования, используемого для преобразования (mangling) парольных фраз для симметричного шифрования. По умолчанию используется SHA-1.

--s2k-mode n Выбирает способ преобразования парольных фраз для симметричного шифрования. Если n равно 0, будет использоваться обычная парольная фраза (что в целом не рекомендуется), 1 добавляет соль (salt) (которую не следует использовать) к парольной фразе, а 3 (по умолчанию) повторяет весь процесс несколько раз (см. --s2k-count).

--s2k-count n Указать, сколько раз повторяется процесс преобразования парольных фраз для симметричного шифрования. Это значение может находиться в диапазоне от 1024 до 65011712 включительно. Значение по умолчанию запрашивается у gpg-agent. Обратите внимание, что не все значения в диапазоне 1024–65011712 являются допустимыми, и если выбрано недопустимое значение, GnuPG округлит его до ближайшего допустимого значения. Эта опция имеет смысл только если --s2k-mode установлен в значение по умолчанию 3.

Таблица опций GnuPG (OpenPGP protocol specific)

2.4.5 - Опции соответствия

Опции соответствия (Compliance options)

Эти опции контролируют, каким стандартам соответствует GnuPG. Одновременно может быть активна только одна из этих опций. Если указано несколько опций, последняя из них отменяет все предыдущие. Обратите внимание, что настройка по умолчанию почти всегда является правильной. Перед использованием любой из этих опций ознакомьтесь с разделом «ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ПРОГРАММАМИ OPENPGP» ниже.

--gnupg Использовать стандартное поведение GnuPG. Это, по сути, поведение OpenPGP (см. --openpgp), но с расширениями из предлагаемого обновления OpenPGP и с некоторыми дополнительными обходными путями для распространенных проблем совместимости в разных версиях PGP. Это опция по умолчанию, поэтому обычно в ней нет необходимости, но она может быть полезна для переопределения другой опции соответствия в файле gpg.conf.

--openpgp Сбросить все параметры пакетов, шифрования и хеширования до строгого поведения OpenPGP. Эта опция подразумевает --allow-old-cipher-algos. Используйте эту опцию, чтобы сбросить все предыдущие настройки, такие как --s2k-*, --cipher-algo, --digest-algo и --compress-algo, к значениям, соответствующим OpenPGP. Все обходные пути для PGP отключены.

--rfc4880 Сбросить все параметры пакетов, шифрования и хеширования до строгого поведения RFC-4880. Эта опция подразумевает --allow-old-cipher-algos. Обратите внимание, что в настоящее время это то же самое, что и --openpgp.

--rfc4880bis Сбросить все параметры пакетов, шифрования и хеширования в строгое соответствие предлагаемым обновлениям RFC-4880.

--rfc2440 Сбросить все параметры пакетов, шифрования и хеширования до строгого поведения RFC-2440. Обратите внимание, что при использовании этой опции пакеты шифрования создаются в устаревшем режиме без защиты MDC. Это опасно, и поэтому должно использоваться только для экспериментов. Эта опция подразумевает --allow-old-cipher-algos. См. также опцию --ignore-mdc-error.

--pgp6 Эта опция устарела; она обрабатывается как псевдоним для --pgp7.

--pgp7 Настроить все параметры для максимального соответствия PGP 7. Это разрешало шифры IDEA, 3DES, CAST5, AES128, AES192, AES256 и TWOFISH, хеши MD5, SHA1 и RIPEMD160, а также алгоритмы сжатия “none” и ZIP. Эта опция подразумевает --escape-from-lines и отключает --throw-keyids.

--pgp8 Настроить все параметры для максимального соответствия PGP 8. PGP 8 гораздо ближе к стандарту OpenPGP, чем предыдущие версии PGP, поэтому все, что она делает, это отключает --throw-keyids и устанавливает --escape-from-lines. Разрешены все алгоритмы, кроме хешей SHA224, SHA384 и SHA512.

--compliance string Эта опция может быть использована вместо одной из опций выше. Допустимые значения для string — это названия опций выше (без двойного дефиса) и, возможно, другие, как показано при использовании "help" для string.

--min-rsa-length n Эта опция настраивает режим соответствия "de-vs" для более строгих требований к размеру ключа. Например, значение 3000 превращает ключи rsa2048 и dsa2048 в ключи, не соответствующие стандарту VS-NfD.

--require-pqc-encryption Эта опция принудительно требует использование квантово-устойчивых (quantum-resistant) алгоритмов шифрования. Если не все открытые ключи являются квантово-устойчивыми, шифрование завершится ошибкой. Использование алгоритма симметричного шифрования AES-256 также обеспечивается этой опцией. При расшифровке выводится предупреждение для всех неквантово-устойчивых ключей. На данный момент алгоритмы Kyber (ML-KEM768 и ML-KEM1024) и AES-256 считаются квантово-устойчивыми; Kyber всегда используется в композитной схеме вместе с классическим ECC-алгоритмом.

--disable-pqc-encryption Эта опция отключает использование квантово-устойчивых подключей и использует подключ с неквантово-устойчивым алгоритмом, если он доступен, или выдает ошибку в противном случае. Опция игнорируется, если активна --require-pqc-encryption.

--require-compliance Чтобы проверить, что данные были зашифрованы в соответствии с правилами текущего режима соответствия, пользователю gpg необходимо анализировать строки статуса (status lines). Это позволяет интерфейсам (frontends) обрабатывать проверку соответствия более гибким способом. Однако для использования в скриптах необходимый анализ строк статуса требует значительных усилий; вместо этого можно использовать эту опцию, чтобы убедиться, что процесс gpg завершится с ошибкой, если правила соответствия не выполнены. Обратите внимание, что в настоящее время эта опция имеет эффект только в режиме "de-vs".

Таблица опций соответствия GnuPG

2.4.6 - Дополнительные опции

Таблица опций GnuPG (PGP)

2.4.7 - Config

Файлы конфигурации

Существует несколько файлов конфигурации для управления определенными аспектами работы gpg. Если не указано иное, они ожидаются в текущем домашнем каталоге (см. опцию --homedir).

gpg.conf Это стандартный файл конфигурации, читаемый gpg при запуске. Он может содержать любые допустимые длинные опции; начальные два дефиса указывать не нужно, и опцию нельзя сокращать. Это имя по умолчанию можно изменить в командной строке (см. опцию gpg --options). Вам следует создавать резервные копии этого файла.

common.conf Это необязательный файл конфигурации, читаемый gpg при запуске. Он может содержать опции, относящиеся ко всем компонентам GnuPG. В настоящее время его основное использование — для опции "use-keyboxd". Если домашний каталог по умолчанию ~/.gnupg не существует, GnuPG создает этот каталог и файл common.conf с "use-keyboxd".

Примечание: В крупных системах полезно размещать предопределенные файлы в каталоге /usr/local/etc/skel/.gnupg, чтобы новые пользователи начинали работу с готовой конфигурацией. Для существующих пользователей предоставляется небольшой вспомогательный скрипт для создания этих файлов (см. addgnupghome).

Для внутренних целей gpg создает и поддерживает несколько других файлов; все они находятся в текущем домашнем каталоге (см. опцию --homedir). Только программа gpg может изменять эти файлы.

~/.gnupg Это домашний каталог по умолчанию, который используется, если не задана ни переменная окружения GNUPGHOME, ни опция --homedir.

~/.gnupg/pubring.gpg Публичный ключевой контейнер (keyring) в устаревшем формате. Вам следует создавать резервные копии этого файла.

Если этот файл недоступен, gpg по умолчанию использует новый формат keybox и создает файл pubring.kbx, если только этот файл уже не существует, в этом случае он также будет использоваться для ключей OpenPGP.

Примечание: Если существуют оба файла, pubring.gpg и pubring.kbx, но в последнем нет ключей OpenPGP, будет использоваться устаревший файл pubring.gpg. Будьте осторожны: версии GnuPG до 2.1 всегда будут использовать файл pubring.gpg, потому что они не знают о новом формате keybox. Если вам придется использовать GnuPG 1.4 для расшифровки архивных данных, вам следует сохранить этот файл.

~/.gnupg/pubring.gpg.lock Файл блокировки (lock file) для публичного ключевого контейнера.

~/.gnupg/pubring.kbx Публичный ключевой контейнер в новом формате keybox. Этот файл используется совместно с gpgsm. Вам следует создавать резервные копии этого файла. См. выше связь между этим файлом и его предшественником.

Чтобы преобразовать существующий файл pubring.gpg в формат keybox, вы сначала создаете резервную копию значений доверия (ownertrust), затем переименовываете pubring.gpg в publickeys.backup (чтобы он не распознавался любой версией GnuPG), запускаете импорт и, наконец, восстанавливаете значения доверия:

$ cd ~/.gnupg
$ gpg --export-ownertrust >otrust.lst
$ mv pubring.gpg publickeys.backup
$ gpg --import-options restore --import publickeys.backup
$ gpg --import-ownertrust otrust.lst

~/.gnupg/pubring.kbx.lock Файл блокировки для pubring.kbx.

~/.gnupg/secring.gpg Устаревший контейнер секретных ключей, используемый версиями GnuPG до 2.1. Он не используется GnuPG 2.1 и позднее. Вы можете захотеть сохранить его на случай, если вам придется использовать GnuPG 1.4 для расшифровки архивных данных.

~/.gnupg/secring.gpg.lock Файл блокировки для устаревшего контейнера секретных ключей.

~/.gnupg/.gpg-v21-migrated Файл, указывающий, что миграция на GnuPG 2.1 была выполнена.

~/.gnupg/trustdb.gpg База данных доверия (trust database). Нет необходимости создавать резервные копии этого файла; лучше создать резервную копию значений доверия владельца (см. опцию --export-ownertrust).

~/.gnupg/trustdb.gpg.lock Файл блокировки для базы данных доверия.

~/.gnupg/random_seed Файл, используемый для сохранения состояния внутреннего пула случайных чисел.

~/.gnupg/openpgp-revocs.d/ Это каталог, в котором gpg хранит предварительно сгенерированные отзывные сертификаты. Имя файла соответствует отпечатку OpenPGP соответствующего ключа. Рекомендуется создавать резервные копии этих сертификатов и, если основной закрытый ключ не хранится на диске, перемещать их на внешнее запоминающее устройство. Любой, кто имеет доступ к этим файлам, может отозвать соответствующий ключ. Вы можете распечатать их. Вам следует создавать резервные копии всех файлов в этом каталоге и позаботиться о том, чтобы эта резервная копия хранилась в надежном месте.

Работа дополнительно контролируется несколькими переменными окружения:

HOME Используется для определения местоположения домашнего каталога по умолчанию.

GNUPGHOME Если установлена, указывает каталог, используемый вместо "~/.gnupg".

GPG_AGENT_INFO Эта переменная устарела; она использовалась версиями GnuPG до 2.1.

PINENTRY_USER_DATA Это значение передается через gpg-agent в pinentry. Это полезно для передачи дополнительной информации пользовательскому pinentry.

COLUMNS LINES Используются для масштабирования некоторых дисплеев под полный размер экрана.

LANGUAGE Помимо своего использования в GNU, она используется в версии для W32 (Windows) для переопределения выбора языка, сделанного через реестр. Если она используется и установлена в допустимое и доступное имя языка (langid), файл с переводом загружается из gpgdir/gnupg.nls/langid.mo. Здесь gpgdir — это каталог, из которого был загружен бинарный файл gpg. Если его не удается загрузить, предпринимается попытка использовать реестр, и в крайнем случае используется родная система локалей Windows.

GNUPG_BUILD_ROOT Эта переменная используется только набором регрессионных тестов в качестве вспомогательного средства в операционных системах без надлежащей поддержки для определения имени текстового файла процесса.

GNUPG_EXEC_DEBUG_FLAGS Эта переменная позволяет включить диагностику для управления процессами. Ожидается десятичное числовое значение. Бит 0 включает общую диагностику, бит 1 включает определенные предупреждения в Windows.

GNUPG_ASSUME_COMPLIANCE Вспомогательная переменная для отладки, чтобы перевести систему в состояние предположения о соответствии. Например, в режиме de-vs это вернет 2023 в качестве идентификатора вместо 23.

При вызове компонента gpg-agent программа gpg отправляет набор переменных окружения в gpg-agent. Имена этих переменных можно перечислить с помощью команды:

gpg-connect-agent 'getinfo std_env_names' /bye | awk '$1=="D" {print $2}'

2.5 - gpgsm

2.6 - scdaemon

2.7 - user id

• По идентификатору ключа. Этот формат определяется по длине строки и её содержимому или префиксу 0x. Идентификатор ключа X.509 сертификата — это младшие 64 бита его SHA-1 отпечатка. Использование идентификаторов ключей — это просто сокращение; для всей автоматизированной обработки следует использовать отпечаток.

  При использовании gpg можно добавить восклицательный знак (!), чтобы принудительно использовать указанный основной или вторичный ключ, а не пытаться вычислить, какой основной или вторичный ключ использовать.

  Последние четыре строки примера дают идентификатор ключа в длинной форме, как это используется в протоколе OpenPGP. Вы можете увидеть длинный идентификатор ключа, используя опцию --with-colons.

  234567C4
  0F34E556E
  01347A56A
  0xAB123456
  
  234AABBCC34567C4
  0F323456784E56EAB
  01AB3FED1347A5612
  0x234AABBCC34567C4
  

• По отпечатку. Этот формат определяется по длине строки и её содержимому или префиксу 0x. Обратите внимание, что только 20-байтовая версия отпечатка доступна с gpgsm (т.е. SHA-1 хэш сертификата).

  При использовании gpg можно добавить восклицательный знак (!), чтобы принудительно использовать указанный основной или вторичный ключ, а не пытаться вычислить, какой основной или вторичный ключ использовать.

  Лучший способ указать идентификатор ключа — использовать отпечаток. Это избегает любых неоднозначностей в случае дублирования идентификаторов ключей.

  1234343434343434C434343434343434
  123434343434343C3434343434343734349A3434
  0E12343434343434343434EAB3484343434343434
  0xE12343434343434343434EAB3484343434343434
  

  gpgsm также принимает двоеточия между каждой парой шестнадцатеричных цифр, поскольку это де-факто стандарт представления отпечатков X.509. gpg также позволяет использовать SHA-1 отпечаток, разделенный пробелами, как это выводится командами для отображения ключей.

• По точному совпадению с идентификатором пользователя OpenPGP. Это обозначается ведущим знаком равенства. Это не имеет смысла для сертификатов X.509.

  =Heinrich Heine <heinrichh@uni-duesseldorf.de>
  

• По точному совпадению с адресом электронной почты. Это указывается заключением адреса электронной почты в угловые скобки.

  <heinrichh@uni-duesseldorf.de>
  

• По частичному совпадению с адресом электронной почты. Это указывается префиксом строки поиска символом @. Это использует поиск подстроки, но учитывает только адрес электронной почты (т.е. внутри угловых скобок).

  @heinrichh
  

• По точному совпадению с DN субъекта. Это указывается ведущим слэшем, за которым непосредственно следует закодированный в RFC-2253 DN субъекта. Обратите внимание, что вы не можете использовать строку, напечатанную командой gpgsm --list-keys, потому что она была переупорядочена и изменена для лучшей читаемости; используйте --with-colons, чтобы напечатать необработанную (но стандартно экранированную) строку RFC-2253.

  /CN=Heinrich Heine,O=Poets,L=Paris,C=FR
  

• По точному совпадению с DN издателя. Это указывается ведущим символом решетки, за которым непосредственно следует слэш, а затем закодированный в RFC-2253 DN издателя. Это должно вернуть корневой сертификат издателя. См. примечание выше.

  #/CN=Root Cert,O=Poets,L=Paris,C=FR
  

2.8 - сравнение SSH и PGP

SSH и PGP ключи — это два столпа современной кибербезопасности, но они решают совершенно разные задачи. Их часто путают, потому что оба используют асимметричную криптографию (пары из открытого и закрытого ключей).

Проще всего запомнить так:

• SSH-ключи — это пропуск. Их основная задача — аутентификация (доказательство того, что вы имеете право доступа к чему-либо).
• PGP-ключи — это универсальный инструмент. Их задачи — шифрование (чтобы не могли прочитать), подпись (чтобы могли проверить авторство и целостность) и иногда аутентификация.

Сравнительная таблица: SSH vs PGP ключи

Наглядные схемы работы

1. Схема работы SSH-ключа для доступа к серверу

flowchart TD
    subgraph User [Пользователь на своем компьютере]
        A[Запрос подключения к серверу] --> B[SSH-клиент предъявляет<br>свой Открытый ключ]
        A --> C[Сервер отправляет<br>«Вызов» случайными данными]
        C --> D[SSH-клиент подписывает «Вызов»<br>своим Закрытым ключом]
        D --> E[Отправляет подпись серверу]
    end

    subgraph Server [Удаленный сервер]
        B --> F[Сервер проверяет<br>есть ли присланный Открытый ключ<br>в файле authorized_keys]
        E --> G[Сервер проверяет подпись<br>«Вызова» с помощью<br>найденного Открытого ключа]
        G -- Подпись верна --> H[✅ Аутентификация успешна<br>Доступ разрешен]
        G -- Подпись неверна --> I[❌ Доступ запрещен]
    end

2. Схема работы PGP-ключа для подписи данных

flowchart TD
    subgraph Sender [Отправитель Подписывает данные]
        A[Исходные данные] --> B[Создает их хэш отпечаток]
        B --> C[Подписывает хэш<br>своим Закрытым PGP-ключом]
        C --> D[Цифровая подпись]
        A --> E[Объединяет исходные данные<br>и подпись для отправки]
        D --> E
    end

    subgraph Receiver [Получатель Проверяет подпись]
        E --> F[Разделяет полученное<br>на данные и подпись]
        F --> G[Вычисляет хэш<br>от полученных данных]
        F --> H[Расшифровывает подпись<br>Открытым PGP-ключом отправителя<br>и получает оригинальный хэш]
        G --> I{Сравнивает хэши}
        H --> I
        I -- Совпали --> J[✅ Подпись верна<br>Данные подлинны и не изменены]
        I -- Не совпали --> K[❌ Подпись неверна!<br>Данные отклонены]
    end

Ключевые выводы и аналогия

Представьте себе большую охраняемую территорию:

• SSH-ключ — это пропускная карта, которую вы прикладываете к турникету. Турникет (сервер) проверяет, есть ли номер вашей карты в базе разрешенных номеров. Если есть — вас пускают. Задача решена.
• PGP-ключ — это ваша печать и набор секретных кодов.
  • Шифрование: Вы можете положить документ в шкатулку и запереть ее на кодовый замок, который откроется только кодом конкретного получателя.
  • Подпись: Вы можете запечатать документ сургучной печатью. Любой, у кого есть оттиск вашей печати (ваш открытый ключ), может убедиться, что документ распечатали вы и его не вскрывали.

Можно ли использовать PGP-ключ для SSH? Технически да, это возможно через дополнительные надстройки (например, gpg-agent может работать как ssh-agent). Это позволяет использовать один главный PGP-ключ для множества задач (почта, подпись кода, доступ к серверам). Но «из коробки» эти системы не совместимы.

3 - Шпаргалка по основным командам nano

Шпаргалка для редактора nano

Запуск nano

• Открыть файл: nano имя_файла
• Создать новый файл: nano (после сохранения нужно указать имя)

Основные команды (управляются через Ctrl + клавиша или ^)

• ^G – открыть справку (помощь)
• ^O – сохранить файл (O – Write Out)
• ^X – выйти из nano (если есть изменения, предложит сохранить)
• ^K – вырезать строку (Kill)
• ^U – вставить строку (Unpaste)
• ^W – поиск по тексту (Where)
• ^\ – поиск и замена (ввести искомое, затем замену)
• ^C – показать позицию курсора (строка/столбец)

Навигация

• ^F – вперед на 1 символ (Forward)
• ^B – назад на 1 символ (Backward)
• ^Право/Лево – перемещение по словам (Alt + стрелки в некоторых версиях)
• ^A – в начало строки (A – Home)
• ^E – в конец строки (E – End)
• ^Y – вверх на страницу
• ^V – вниз на страницу

Дополнительно

• ^T – проверка орфографии (если включено)
• ^R – вставить содержимое другого файла (Read File)
• ^D – удалить символ под курсором (Delete)
• ^_ (Ctrl + Shift + “-”) – перейти на номер строки

Выход и сохранение

1. ^X → если есть изменения, нажмите:
   • Y – сохранить, N – не сохранять, Ctrl+C – отмена.
2. Если сохраняете (Y), введите имя файла и нажмите Enter.

Подсказка: Внизу экрана всегда отображаются основные комбинации. Для более продвинутых функций (например, подсветки синтаксиса) может потребоваться конфигурационный файл ~/.nanorc.

4 - Шпаргалка по основным командам Vim

Режимы в Vim

1. Нормальный режим (командный) — Esc
   (используется для навигации и команд)
2. Режим вставки — i, a, o
   (для редактирования текста)
3. Визуальный режим (выделение) — v, V, Ctrl+v
4. Командная строка — :
   (для сложных команд, например сохранения)

Основные команды (в нормальном режиме)

1. Навигация

• h, j, k, l — влево, вниз, вверх, вправо
• w / b — вперед/назад по словам
• 0 / $ — в начало/конец строки
• gg / G — в начало/конец файла
• Ctrl+d / Ctrl+u — вниз/вверх на полэкрана
• :10 — перейти на 10-ю строку

2. Редактирование

• i — вставить перед курсором
• a — вставить после курсора
• o / O — новая строка ниже/выше
• x — удалить символ под курсором
• dd — удалить строку
• yy — скопировать строку
• p / P — вставить после/перед курсором
• u — отменить действие
• Ctrl+r — повторить отмененное

3. Поиск и замена

• /слово — поиск слова вперед
• ?слово — поиск слова назад
• n / N — следующее/предыдущее совпадение
• :%s/старое/новое/g — заменить все вхождения в файле
• :%s/старое/новое/gc — заменить с подтверждением

4. Работа с файлами

• :w — сохранить
• :w имя_файла — сохранить как…
• :q — выйти
• :q! — выйти без сохранения
• :wq или ZZ — сохранить и выйти
• :e имя_файла — открыть другой файл

5. Полезные фишки

• . — повторить последнюю команду
• % — перейти к парной скобке (), {}, []
• >> / << — сдвинуть строку вправо/влево
• Ctrl+v → выделение → I → текст → Esc — вставить текст в несколько строк
• :set number — показать номера строк
• :sp файл / :vsp файл — разделить окно горизонтально/вертикально

Примеры использования

1. Редактирование конфига

   vim /etc/nginx/nginx.conf
   

   • Нажать i для редактирования
   • Нажать Esc, затем :wq для сохранения и выхода

2. Поиск и замена

   • Ввести :%s/old/new/g для замены всех “old” на “new”

3. Копирование строк

   • Навести курсор на строку → yy → перейти куда нужно → p

Выход из Vim (шутка, но важно!)

• Если застряли — нажать Esc, затем:
  • :q! → выйти без сохранения
  • :wq → сохранить и выйти

Эта шпаргалка покрывает 90% повседневных задач в Vim. Для продвинутых возможностей (макросы, плагины) стоит изучить vimtutor (введите в терминале).

5 - Пакет scrcpy для управления Android устройством через Linux

scrcpy — это инструмент командной строки для зеркалирования экрана и управления Android-устройством с компьютера через USB или Wi-Fi. Он не требует root-доступа и работает на Linux, Windows и macOS.

Для чего нужен scrcpy в Linux?

1. Зеркалирование экрана Android

   • Показывает экран телефона/планшета на ПК с низкой задержкой (до 60 FPS).
   • Полезно для стриминга, записи экрана или демонстрации.

2. Управление Android с ПК

   • Можно кликать мышкой, печатать с клавиатуры.
   • Поддержка мультитача (если устройство поддерживает HID).

3. Передача файлов

   • Drag & Drop файлов между ПК и Android (scrcpy --push-target /sdcard/).

4. Запись экрана

   • Сохранение видео без потери качества:

     scrcpy --record screen.mp4
     

5. Беспроводное подключение (Wi-Fi)

   • После подключения по USB можно переключиться на Wi-Fi:

     scrcpy --tcpip=192.168.1.100  # вместо USB
     

6. Экономия заряда

   • Если экран телефона выключен, но управление работает (scrcpy --turn-screen-off).

7. Разработка и отладка

   • Удобен для тестирования приложений без эмулятора.

Как установить scrcpy в Linux?

1. Установка из репозиториев (проще)

sudo apt install scrcpy  # Debian/Ubuntu
sudo dnf install scrcpy  # Fedora
sudo pacman -S scrcpy    # Arch Linux

2. Установка вручную (последняя версия)

# Требуются зависимости:
sudo apt install ffmpeg adb gcc git meson ninja-build

# Сборка из исходников
git clone https://github.com/Genymobile/scrcpy
cd scrcpy
./install_release.sh

Базовые команды

Плюсы и минусы

✅ Плюсы

• Низкая задержка (~35 мс)
• Не требует root
• Поддержка Linux, Windows, macOS
• Можно использовать мышку/клавиатуру

❌ Минусы

• Нет звука (можно через sndcpy отдельно)
• Для Wi-Fi нужно сначала подключиться по USB

6 - Шпаргалка по основным командам crone

Формат команды cron

Команда 0 3 * * 0 /usr/bin/docker system prune -af --filter "until=168h" && /usr/bin/docker volume prune -f в cron состоит из двух частей:

1. Расписание: 0 3 * * 0
2. Команда: /usr/bin/docker system prune -af --filter "until=168h" && /usr/bin/docker volume prune -f

Разбор расписания (пять полей):

┌───────────── минуты (0 - 59)
│ ┌───────────── час (0 - 23)
│ │ ┌───────────── день месяца (1 - 31)
│ │ │ ┌───────────── месяц (1 - 12)
│ │ │ │ ┌───────────── день недели (0 - 6) (0 - воскресенье)
│ │ │ │ │
│ │ │ │ │
0 3 * * 0

• 0 - в 0 минут часа
• 3 - в 3 часа утра
• * - каждый день месяца
• * - каждый месяц
• 0 - только по воскресеньям

Итог: команда выполняется каждое воскресенье в 3:00 утра.

Где хранятся файлы конфигурации cron

1. Системные cron-задачи:

• /etc/crontab - основной файл конфигурации
• /etc/cron.d/ - каталог для дополнительных конфигураций
• /etc/cron.hourly/, /etc/cron.daily/, /etc/cron.weekly/, /etc/cron.monthly/ - каталоги для скриптов, выполняемых с указанной периодичностью

2. Пользовательские cron-задачи:

• /var/spool/cron/crontabs/ - каталог с индивидуальными файлами для каждого пользователя (обычно редактируются через crontab -e)
• Для просмотра: crontab -l
• Для редактирования: crontab -e

Особенности:

1. При редактировании через crontab -e не нужно указывать пользователя - задача будет выполняться от имени текущего пользователя
2. В системных файлах (/etc/crontab) требуется указать пользователя:
   0 3 * * 0 root /usr/bin/docker system prune -af...
3. Для root-задач лучше использовать crontab -e от root или размещать в /etc/cron.d/

Проверка cron-задач

После добавления задачи можно проверить:

# Для пользовательских задач
crontab -l

# Для системных задач
cat /etc/crontab
ls /etc/cron.d/

Дополнительные параметры cron

В конец cron-задачи можно добавить перенаправление вывода:

0 3 * * 0 /usr/bin/docker system prune -af --filter "until=168h" && /usr/bin/docker volume prune -f > /var/log/docker-clean.log 2>&1

Где:

• > /var/log/docker-clean.log - перенаправление stdout в файл
• 2>&1 - перенаправление stderr в тот же файл

7 - Шпаргалка по работе с ядрами в Linux

1. Узнать текущее ядро

uname -r

2. Список установленных ядер

sudo mhwd-kernel -l

3. Удалить ядро

sudo mhwd-kernel -r <kernel-name>

• <kernel-name> — имя ядра, которое вы хотите удалить (например, linux515).

4. Обновить конфигурацию bootloader

sudo update-grub

или

sudo grub-mkconfig -o /boot/grub/grub.cfg

5. Установить новое ядро

sudo mhwd-kernel -i <kernel-name>

• <kernel-name> — имя ядра, которое вы хотите установить (например, linux519).

6. Переключиться на другое ядро

1. Установите новое ядро: sudo mhwd-kernel -i <kernel-name>
2. Перезагрузите систему: sudo reboot
3. В меню bootloader выберите новое ядро.

7. Проверка текущего ядра

uname -r

8. Ручное удаление ядра (не рекомендуется)

sudo pacman -Rdd <package-name>

• <package-name> — имя пакета ядра, которое вы хотите удалить (например, linux515).

Внимание: Будьте осторожны при удалении ядер, особенно если вы не уверены, какое ядро активно используется.

8 - Find and Sed

Примеры использования поисковых запросов POSIX c SED FIND GREP

Замена текста в множестве файлов с множеством вложенных директорий

Вариант с использованием FIND XARGS SED UG

#Заменяем в файлах md 
find . -type f -name "*.md" | xargs sed -Ei 's/bx-apps/bx_apps/g'

#Проверяем, что ничего не осталось
ug -r -g'*.md' 'bx-apps' *

А теперь с толкованием по шагам:

1. find . - точка говорит что ищем в текущей директории
2. -type f - говорит что будем искать имена файлов -type d имена директорий
3. -name "*.md" - говорит что GLOB паттерн файлов с расширением md
4. | принимаем на вход поток имен файлов от find
5. xargs - запустит приложение и передаст ему на вход имя файла
6. sed -Ei - запустим потоковый редактор SED с расширенным функционалом POSIX (-E) и править будем прямо в самих файлах (i)
7. 's/bx-apps/bx_apps/g' - regex строка замены слова bx-apps на bx_apps с ключом g, т.е. глобально.

А теперь проверим, что получилось:

1. ug -r - это просто grep только удобный и продвинутый, -r значит от сюда и рекурсивно по всем директориям
2. -g'*.md' - это glob поиск по файлам с расширением *.md
3. 'bx-apps' - собственно что должны искать

По результату ничего не должно показать. Кстати, перед началом выполнения find | sed можно выполнить тоже ug только с поиском того, что хотим заменить ug -r -g'*.md' 'bx-apps'

Вариант с использованием того же только без UG

#Проверим наличие строк для замены
find . -type f -name "*.md" | xargs sed -En '/bx-apps/p'

#Заменяем в файлах md 
find . -type f -name "*.md" | xargs sed -Ei 's/bx-apps/bx_apps/g'

#Проверяем, что ничего не осталось
find . -type f -name "*.md" | xargs sed -En '/bx-apps/p'

Без повторений рассмотрим только изменения:

1. sed -En - не будет изменять файл, а только выведет строки в которых встретит искомую строку
2. '/bx-apps/p' - искомая строка с ключом p это просто напечатать.

Вариант с использованием того же только без FIND

#Проверяем, что ничего не осталось
ug -r -g'*.md' 'bx-apps' *

#Заменяем в файлах md 
ug -r --format='%f' -g'*.md' | xargs sed -Ei 's/bx-apps/bx_apps/g'

#Проверяем, что ничего не осталось
ug -r -g'*.md' 'bx-apps' *

Объяснения:

1. ug -r -g'*.md' 'bx-apps' - уже знакомая строка, выведет все файлы и строки с искомой строкой
2. ug -r --format='%f' -g'*.md' - новое значение --format='%f' - это формат вывода данных, где:
   • %f - путь и имя файла
   • %n - номер строки в файле
   • %O - контекст, с найденным словом
   • %~ - перевод строки

9 - Управление пакетами PACMAN

ARCH, MANJARO для управления пакетами, загрузка, удаление, обновление.

Команды пакета PACMAN

Выполняются под правами администратора, поэтому пишем

sudo pacman --help

использование:  pacman <действие> [...]
действия:
    pacman {-h --help}
    pacman {-V --version}
    pacman {-D --database} <параметры> <пакет(ы)>
    pacman {-F --files}    [параметры] [файл(ы)]
    pacman {-Q --query}    [параметры] [пакет(ы)]
    pacman {-R --remove}   [параметры] <пакет(ы)>
    pacman {-S --sync}     [параметры] [пакет(ы)]
    pacman {-T --deptest}  [параметры] [пакет(ы)]
    pacman {-U --upgrade}  [параметры] <файл(ы)>

используйте 'pacman { -h --help}' вместе с другими операциями для просмотра параметров

Утилита -D

использование:

pacman {-D --database} <параметры> <пакет(ы)>

параметры:

Установочная информация о менеджере пакетов

Утилита -F

использование:

pacman {-F --files} [параметры] [файл(ы)]

параметры:

Утилита -Q

использование:

pacman {-Q --query} [параметры] [пакет(ы)]

параметры:

Утилита -R

использование:

pacman {-R --remove} [параметры] <пакет(ы)>

параметры:

Утилита -S

использование:

pacman {-S --sync} [параметры] [пакет(ы)]

параметры:

Утилита -T

использование:

pacman {-T --deptest} [параметры] [пакет(ы)]

параметры:

Утилита -U

использование:

pacman {-U --upgrade} [параметры] <файл(ы)>

параметры:

10 - UGREP и все о нем

Примеры использования поисковых запросов POSIX

Установка UGREP

pkg install ugrep

Файл конфигурации .ugrep хранится в корне домашнего каталога

ug –save-config OPTIONS

сохранит новые настройки

Я уже в восторге от UGREP

Примеры

Опции UG со списком файлов

Опции UG для отображения результата

Опции управления паттерном

Googling files

непереводимая вещь, но смысл типа ищем как гуглинг

Приблизительный поиск

Ищем в архивах

Это уже для меня конкретное откровение! Чтобы grep еще и в архивах искал

Двоичные файлы и устройства

опции для –hexdump

получает аргументы

• [1-8] — количество колонок дампа
• [a] — все выводить
• [bch] — не выводить символы, пробелы и байт коды
• [A[NUM]][B[NUM]][C[NUM]] — строки перед и после

Ищет по двоичному коду:

 ug -X 'ffffff'

000a9660  41 41 67 42 2c 43 41 43  70 42 2c 51 41 41 51 2c  |AAgB,CACpB,QAAQ,|
000a9880  41 55 2c 43 41 41 43 2c  43 41 41 43 3b 4d 41 43  |AU,CAAC,CAAC;MAC|
000a9890  35 42 2c 49 41 41 49 2c  43 41 41 43 2c 43 41 41  |5B,IAAI,CAAC,CAA|
000a98a0  43 6a 42 2c 51 41 41 51  2c 47 41 41 47 2c 49 41  |CjB,QAAQ,GAAG,IA|
000a98b0  41 49 3b 4d 41 43 72 42  2c 49 41 41 49 2c 49 41  |AI;MACrB,IAAI,IA|
000a98c0  41 49 2c 43 41 41 43 2c  43 41 41 43 73 47 2c 65  |AI,CAAC,CAACsG,e|
000a98d0  41 41 65 2c 45 41 41 45  3b 51 41 43 7a 42 78 67  |AAe,EAAE;QACzBxg|
000a98e0  46 2c 59 41 41 59 2c 43  41 41 43 2c 49 41 41 49  |F,YAAY,CAAC,IAAI|
000a98f0  2c 43 41 41 43 2c 43 41  41 43 77 67 46 2c 65 41  |,CAAC,CAACwgF,eA|
000a9900  41 65 2c 43 41 41 43 3b  51 41 43 6e 43 2c 49 41  |Ae,CAAC;QACnC,IA|
000a9910  41 49 2c 43 41 41 43 2c  43 41 41 43 41 2c 65 41  |AI,CAAC,CAACA,eA|
000a9920  41 65 2c 47 41 41 47 2c  49 41 41 49 3b 4d 41 43  |Ae,GAAG,IAAI;MAC|
000a9930  39 42 3b 49 41 43 46 3b  49 41 43 41 2c 4b 41 41  |9B;IACF;IACA,KAA|
000a9940  4b 2c 43 41 41 43 6c 37  46 2c 4d 41 41 4d 2c 43  |K,CAACl7F,MAAM,C|
000a9950  41 41 43 2c 43 41 41 43  3b 45 41 43 68 42 3b 45  |AAC,CAAC;EAChB;E|
000a9960  41 47 41 36 6e 42 2c 4f  41 41 4f 41 2c 43 41 41  |AGA6nB,OAAOA,CAA|
000a9970  41 2c 45 41 41 47 3b 49  41 43 52 2c 49 41 41 49  |A,EAAG;IACR,IAAI|
000a9980  2c 43 41 41 43 2c 49 41  41 49 2c 43 41 41 43 35  |,CAAC,IAAI,CAAC5|
000a9990  59 2c 4d 41 41 4d 2c 45  41 41 45 3b 4d 41 47 68  |Y,MAAM,EAAE;MAGh|
000a99a0  42 2c 49 41 41 49 2c 49  41 41 49 2c 43 41 41 43  |B,IAAI,IAAI,CAAC|
000a99b0  2c 43 41 41 43 34 72 46  2c 51 41 41 51 2c 45 41  |,CAAC4rF,QAAQ,EA|