Ввод и вывод
Ввод и Вывод
--armor
-a
Создавать вывод в формате ASCII-armor (защищенный ASCII). По умолчанию создается бинарный формат OpenPGP.
--no-armor
Предполагать, что входные данные не в формате ASCII-armor.
--output file
-o file
Записывать вывод в файл file. Для записи в стандартный поток вывода (stdout) используйте - в качестве имени файла.
--max-output n
Эта опция устанавливает лимит на количество байт, которые будут сгенерированы при обработке файла. Поскольку OpenPGP поддерживает различные уровни сжатия, возможно, что открытый текст данного сообщения может быть значительно больше исходного сообщения OpenPGP. Хотя GnuPG корректно работает с такими сообщениями, часто возникает желание установить максимальный размер файла, который будет сгенерирован, прежде чем обработка будет принудительно остановлена из-за ограничений ОС. По умолчанию 0, что означает «без ограничений».
--chunk-size n
Режим шифрования AEAD шифрует данные блоками (chunks), чтобы принимающая сторона могла проверять ошибки передачи или подделку в конце каждого блока, а не откладывать это до получения всех данных. Используемый размер блока составляет 2^n байт. Наименьшее разрешенное значение для n — 6 (64 байта), а наибольшее — значение по умолчанию 22, что создает блоки размером не более 4 МиБ.
--input-size-hint n
Эта опция может быть использована, чтобы сообщить GPG размер входных данных в байтах. n должно быть положительным числом в десятичной системе счисления. Эта опция полезна только если ввод осуществляется не из файла. GPG может использовать эту подсказку для оптимизации стратегии выделения буферов. Она также используется в строке --status-fd «PROGRESS» для предоставления значения «total», если оно недоступно другими способами.
--key-origin string[,url]
gpg может отслеживать происхождение ключа. Некоторые источники известны неявно (например, keyserver, web key directory) и устанавливаются автоматически. Для стандартного импорта происхождение импортируемых ключей можно задать с помощью этой опции. Чтобы узнать возможные значения, используйте "help" в качестве string. Некоторые источники могут хранить необязательный аргумент url; такой URL можно добавить к string через запятую.
--import-options parameters
Это строка, разделенная пробелами или запятыми, которая задает параметры для импорта ключей. К параметрам можно добавлять префикс ‘no-’, чтобы придать противоположное значение. Параметры:
import-local-sigs
Разрешить импорт подписей ключей, помеченных как “local” (локальные). Обычно это не полезно, если не используется схема с общим ключевым кольцом. По умолчанию no.
keep-ownertrust
Обычно возможные, но все еще существующие значения доверия (ownertrust) ключа очищаются, если ключ импортируется. Это в целом желательно, чтобы ранее удаленный ключ не получал автоматически значения доверия仅仅 из-за импорта. С другой стороны, иногда необходимо повторно импортировать набор доверенных ключей, сохраняя уже назначенные значения доверия. Этого можно достичь, используя эту опцию.
repair-pks-subkey-bug
При импорте пытаться исправить повреждения, вызванные ошибкой keyserver PKS (версии до 0.9.6), которая искажает ключи с несколькими подключами. Обратите внимание, что это не может полностью восстановить поврежденный ключ, так как некоторые crucial данные удаляются keyserver’ом, но это, по крайней мере, возвращает вам один подключ. По умолчанию no для обычного --import и yes для keyserver --receive-keys.
import-show
show-only
Показывать список ключа непосредственно перед его сохранением. Это можно комбинировать с опцией --dry-run, чтобы только просмотреть ключи; опция show-only является ярлыком для этой комбинации. Команда --show-keys — это еще один ярлык для этого. Обратите внимание, что суффиксы, такие как ’#’ для строк “sec” и “sbb”, могут выводиться, а могут и нет.
import-export
Запустить весь код импорта, но вместо сохранения ключа в локальное ключевое кольцо записать его в вывод. Опция экспорта export-dane влияет на вывод. Эта опция может быть использована, например, для удаления всех недействительных частей из ключа без необходимости его сохранять.
merge-only
Во время импорта разрешать обновления существующих ключей, но не разрешать импорт любых новых ключей. По умолчанию no.
import-clean
После импорта compact (удалить все подписи, кроме самоподписи) любые user ID из нового ключа, которые не пригодны для использования. Затем удалить любые подписи из нового ключа, которые не пригодны для использования. Это включает подписи, выпущенные ключами, которых нет в ключевом кольце. Эта опция эквивалентна выполнению команды --edit-key “clean” после импорта. По умолчанию no.
self-sigs-only
Принимать только самоподписи при импорте ключа. Все другие подписи ключей пропускаются на раннем этапе импорта. Эту опцию можно использовать с keyserver-options для смягчения попыток flooding ключа поддельными подписями с keyserver’а. Недостаток заключается в том, что все другие действительные подписи ключей, требуемые Web of Trust, также не импортируются. Обратите внимание, что при использовании этой опции вместе с import-clean она подавляет финальный шаг очистки после объединения импортированного ключа с существующим ключом.
ignore-attributes
Игнорировать все attribute user ID (photo ID) и их подписи при импорте ключа.
repair-keys
После импорта исправлять различные проблемы с ключами. Например, это переупорядочивает подписи и удаляет дубликаты подписей. По умолчанию yes.
bulk-import
При использовании keyboxd (опция use-keyboxd в common.conf) выполняет импорт в рамках одной транзакции.
import-minimal
Импортировать минимально возможный ключ. Это удаляет все подписи, кроме самой последней самоподписи на каждом user ID. Эта опция эквивалентна выполнению команды --edit-key “minimize” после импорта. По умолчанию no.
restore
import-restore
Импортировать в режиме восстановления ключа. Это импортирует все данные, которые обычно пропускаются во время импорта; включая все специфичные для GnuPG данные. Все другие противоречащие опции переопределяются.
--import-filter {name=expr}
--export-filter {name=expr}
Эти опции определяют фильтр импорта/экспорта, который применяется к импортируемому/экспортируемому ключевому блоку непосредственно перед его сохранением/записью. name определяет тип используемого фильтра, expr — выражение для вычисления. Опцию можно использовать несколько раз, что добавляет больше выражений к тому же имени name.
Доступные типы фильтров:
keep-uid
Этот фильтр будет сохранять пакет user id и зависящие от него пакеты в ключевом блоке, если выражение оценивается как истина.
drop-subkey
Этот фильтр удаляет выбранные подключи. В настоящее время реализовано только для --export-filter.
drop-sig
Этот фильтр удаляет выбранные подписи ключей на user ids. Самоподписи не рассматриваются. В настоящее время реализовано только для --import-filter.
select
Этот фильтр реализован только для --list-filter. Можно использовать все имена свойств.
Синтаксис выражения см. в главе «ВЫРАЖЕНИЯ ФИЛЬТРА». Имена свойств для выражений зависят от фактического типа фильтра и указаны в следующей таблице. Обратите внимание, что все имена свойств также могут использоваться --list-filter.
Имена свойств могут иметь префикс с областью видимости, разделенной косой чертой. Допустимые области видимости: "pub" для открытых и секретных первичных ключей, "sub" для открытых и секретных подключей, "uid" для пакетов user-ID и "sig" для пакетов подписей. Неверные области видимости в настоящее время игнорируются.
Доступные свойства:
uid
Строка с user id. (keep-uid)
mbox
Часть addr-spec user id с почтовым ящиком или пустая строка. (keep-uid)
algostr
Строка с описанием алгоритма ключа. Например, “rsa3072” или “ed25519”.
key_algo
Число с алгоритмом открытого ключа пакета ключа или подключа. (drop-subkey)
key_size
Число с эффективным размером ключа пакета ключа или подключа. (drop-subkey)
key_created
key_created_d
Первое — это метка времени создания пакета открытого ключа или подключа. Второе — то же самое, но представленное в виде строки ISO, например, “2016-08-17”. (drop-subkey)
key_expires
key_expires_d
Время истечения срока действия открытого ключа или подключа или 0, если срок действия не истекает. Второе — то же самое, но представленное в виде строки с датой ISO или пустой строки, например, “2038-01-19”.
fpr
Шестнадцатеричный отпечаток (fingerprint) текущего подключа или первичного ключа. (drop-subkey)
primary
Логическое значение, указывающее, является ли user id первичным. (keep-uid)
expired
Логическое значение, указывающее, истек ли срок действия user id (keep-uid), ключа (drop-subkey) или подписи (drop-sig).
revoked
Логическое значение, указывающее, был ли отозван user id (keep-uid) или ключ (drop-subkey).
disabled
Логическое значение, указывающее, отключен ли первичный ключ.
secret
Логическое значение, указывающее, является ли ключ или подключ секретным. (drop-subkey)
usage
Строка, указывающая флаги использования для подключа, из последовательности «ecsa?». Например, подключ, способный только подписывать и аутентифицировать, будет точным совпадением для “sa”. (drop-subkey)
sig_created
sig_created_d
Первое — это метка времени создания пакета подписи. Второе — то же самое, но представленное в виде строки с датой ISO, например, “2016-08-17”. (drop-sig)
sig_expires
sig_expires_d
Время истечения срока действия пакета подписи или 0, если срок действия не истекает. Второе — то же самое, но представленное в виде строки с датой ISO или пустой строки, например, “2038-01-19”.
sig_algo
Число с алгоритмом открытого ключа пакета подписи. (drop-sig)
sig_digest_algo
Число с алгоритмом хеширования пакета подписи. (drop-sig)
origin
Строка с происхождением ключа или вопросительный знак. Например, строка “wkd” используется, если ключ получен из Web Key Directory.
lastupd
Метка времени последнего обновления ключа с keyserver’а или из Web Key Directory.
url
Строка с URL, связанным с последним поиском ключа.
--export-options parameters
Это строка, разделенная пробелами или запятыми, которая задает параметры для экспорта ключей. К параметрам можно добавлять префикс ‘no-’, чтобы придать противоположное значение. Параметры:
export-local-sigs
Разрешить экспорт подписей ключей, помеченных как “local” (локальные). Обычно это не полезно, если не используется схема с общим ключевым кольцом. По умолчанию no.
export-attributes
Включать attribute user IDs (photo IDs) при экспорте. Не включение attribute user IDs полезно для экспорта ключей, которые будут использоваться программой OpenPGP, не принимающей attribute user IDs. По умолчанию yes.
export-sensitive-revkeys
Включать информацию о назначенном отзывающем (designated revoker), которая была помечена как “sensitive” (чувствительная). По умолчанию no.
backup
export-backup
Экспортировать для использования в качестве резервной копии. Экспортируемые данные включают все данные, необходимые для последующего восстановления ключа или ключей с помощью GnuPG. Формат基本上是 OpenPGP формат, но расширенный специфичными для GnuPG данными. Все другие противоречащие опции переопределяются.
export-clean
Compact (удалить все подписи) user IDs экспортируемого ключа, если user IDs не пригодны для использования. Также не экспортировать любые подписи, которые не пригодны для использования. Это включает подписи, выпущенные ключами, которых нет в ключевом кольце. Эта опция эквивалентна выполнению команды --edit-key “clean” перед экспортом, за исключением того, что локальная копия ключа не изменяется. По умолчанию no.
export-minimal
Экспортировать минимально возможный ключ. Это удаляет все подписи, кроме самой последней самоподписи на каждом user ID. Эта опция эквивалентна выполнению команды --edit-key “minimize” перед экспортом, за исключением того, что локальная копия ключа не изменяется. По умолчанию no.
export-revocs
Экспортировать только отдельные (standalone) сертификаты отзыва ключа. Эта опция не экспортирует отзывы сторонних сертификатов отзыва.
export-dane
Вместо вывода material ключа выводить записи OpenPGP DANE, пригодные для размещения в файлах зон DNS. Перед каждой записью выводится строка ORIGIN, чтобы позволить направлять записи в соответствующую зону.
mode1003
Включить использование нового формата экспорта секретного ключа. Этот формат избегает повторного шифрования, требуемого текущим форматом OpenPGP, а также улучшает безопасность секретного ключа, если он был защищен парольной фразой. Обратите внимание, что незащищенный ключ экспортируется как есть и, следовательно, небезопасен; общее правило передачи секретных ключей в зашифрованном OpenPGP файле все равно применяется в этом режиме. Версии GnuPG до 2.4.0 не могут импортировать такой секретный файл.
--with-colons
Выводить списки ключей, разделенные двоеточиями. Обратите внимание, что вывод будет закодирован в UTF-8 независимо от каких-либо настроек --display-charset. Этот формат полезен, когда GnuPG вызывается из скриптов и других программ, так как он легко анализируется машиной. Подробности этого формата документированы в файле doc/DETAILS, который включен в дистрибутив исходного кода GnuPG.
--fixed-list-mode
Не объединять primary user ID и primary key в режиме листинга --with-colon и выводить все метки времени в виде секунд с 1970-01-01. Начиная с GnuPG 2.0.10, этот режим всегда используется, и поэтому эта опция устарела; однако использовать ее не вредно.
--legacy-list-mode
Вернуться к режиму списка открытых ключей до версии 2.1. Это влияет только на удобочитаемый вывод, а не на машинный интерфейс (т.е. --with-colons). Обратите внимание, что устаревший формат не передает подходящую информацию для эллиптических кривых.
--with-fingerprint
То же, что и команда --fingerprint, но изменяет только формат вывода и может использоваться вместе с другой командой.
--with-subkey-fingerprint
--without-subkey-fingerprint
Если для первичного ключа выводится отпечаток, эта опция принудительно выводит отпечаток для всех подключей. Этого также можно было бы достичь, используя --with-fingerprint дважды, но используя эту опцию вместе с форматом keyid по умолчанию “none”, выводится compact отпечаток. Начиная с версии 2.6.0 эта опция активна по умолчанию; используйте вариант «without», чтобы отключить ее.
--with-v5-fingerprint
В режиме листинга с двоеточиями выводить строки “fp2” для ключей OpenPGP версии 4, имеющих отпечаток ключа в стиле v5.
--with-icao-spelling
Печатать spelling отпечатка по стандарту ICAO в дополнение к шестнадцатеричным цифрам.
--with-keygrip
Включать keygrip в списки ключей. В режиме --with-colons это неявно включено для секретных ключей.
--with-key-origin
Включать локально хранящуюся информацию о происхождении и последнем обновлении ключа в список ключей. В режиме --with-colons это выводится всегда. Эти данные в настоящее время являются экспериментальными и не должны рассматриваться как часть стабильного API.
--with-wkd-hash
Выводить идентификатор Web Key Directory вместе с каждым user ID в списках ключей. Это экспериментальная функция, и семантика может измениться.
--with-secret
Включать информацию о наличии секретного ключа в списках открытых ключей, выполненных с помощью --with-colons.
Таблица опций GnuPG
| Опция (короткая) | Опция (полная) | Описание |
|---|---|---|
-a |
--armor |
Создавать вывод в формате ASCII-armor (защищенный ASCII). |
--no-armor |
Предполагать, что входные данные не в формате ASCII-armor. | |
-o |
--output file |
Записывать вывод в указанный файл. Используйте - для stdout. |
--max-output n |
Установить лимит (в байтах) на размер генерируемых данных. 0 = без лимита. | |
--chunk-size n |
Установить размер блока (chunk) для AEAD шифрования (2^n байт, n=6..22). | |
--input-size-hint n |
Сообщить GPG предполагаемый размер входных данных (в байтах) для оптимизации. | |
--key-origin string[,url] |
Установить происхождение импортируемых ключей. | |
--import-options parameters |
Задать параметры импорта (см. список значений ниже). | |
--import-filter {name=expr} |
Применить фильтр к импортируемому ключевому блоку. | |
--export-filter {name=expr} |
Применить фильтр к экспортируемому ключевому блоку. | |
--export-options parameters |
Задать параметры экспорта (см. список значений ниже). | |
--with-colons |
Выводить списки ключей в машиночитаемом формате (разделены двоеточиями). | |
--fixed-list-mode |
(Устарело) Не объединять primary user ID и key, выводить время в секундах. | |
--legacy-list-mode |
Использовать устаревший (до 2.1) формат человекочитаемого вывода. | |
--with-fingerprint |
Выводить отпечатки пальцев ключей (изменяет только формат вывода). | |
--with-subkey-fingerprint |
Принудительно выводить отпечатки для всех подключей (по умолчанию вкл. с 2.6.0). | |
--without-subkey-fingerprint |
Отключить вывод отпечатков для подключей. | |
--with-v5-fingerprint |
В colon-режиме выводить строки “fp2” для v4 ключей с v5-отпечатком. | |
--with-icao-spelling |
Выводить spelling отпечатка по стандарту ICAO. | |
--with-keygrip |
Включать keygrip в списки ключей. | |
--with-key-origin |
Включать информацию о происхождении и времени обновления ключа. | |
--with-wkd-hash |
Выводить Web Key Directory хеш для каждого user ID. | |
--with-secret |
Включать информацию о наличии секретного ключа в списках открытых ключей (для --with-colons). |
Параметры для --import-options:
| Параметр | Описание |
|---|---|
import-local-sigs |
Разрешить импорт подписей, помеченных как “local”. |
keep-ownertrust |
Сохранять существующие значения доверия (ownertrust) при импорте. |
repair-pks-subkey-bug |
Пытаться исправить ключи, поврежденные из-за ошибки keyserver PKS. |
import-show, show-only |
Показывать ключ перед сохранением. show-only + --dry-run = только просмотр. |
import-export |
Запустить импорт, но записать результат в вывод, а не в keyring. |
merge-only |
Разрешить только обновление существующих ключей, запретить импорт новых. |
import-clean |
Очистить ключ от невалидных user ID и подписей после импорта. |
self-sigs-only |
Импортировать только самоподписи, игнорируя все другие подписи ключей. |
ignore-attributes |
Игнорировать attribute user IDs (photo IDs) и их подписи. |
repair-keys |
Исправлять проблемы с ключами (упорядочить подписи, убрать дубли) после импорта. |
bulk-import |
Выполнять импорт в keyboxd в рамках одной транзакции. |
import-minimal |
Импортировать минимальный ключ (только последние самоподписи на каждом user ID). |
restore, import-restore |
Импорт в режиме восстановления (включает все данные, обычно пропускаемые). |
Параметры для --export-options:
| Параметр | Описание |
|---|---|
export-local-sigs |
Разрешить экспорт подписей, помеченных как “local”. |
export-attributes |
Включать attribute user IDs (photo IDs) в экспорт. |
export-sensitive-revkeys |
Включать информацию о “sensitive” назначенных отзывающих (designated revokers). |
backup, export-backup |
Экспорт в формате резервной копии (включает все данные для восстановления). |
export-clean |
Очистить ключ от невалидных user ID и подписей перед экспортом (не изменяет локальный ключ). |
export-minimal |
Экспортировать минимальный ключ (только последние самоподписи на каждом user ID). |
export-revocs |
Экспортировать только standalone сертификаты отзыва. |
export-dane |
Выводить записи OpenPGP DANE для DNS вместо material ключа. |
mode1003 |
Использовать новый, более безопасный формат экспорта секретных ключей (GnuPG >= 2.4.0). |
Типы фильтров для --import-filter / --export-filter:
| Тип фильтра | Описание |
|---|---|
keep-uid |
Сохранять user ID пакет, если выражение истинно. |
drop-subkey |
Удалять выбранные подключи (только для --export-filter). |
drop-sig |
Удалять выбранные подписи ключей (не самоподписи) (только для --import-filter). |
select |
Фильтр для выбора (только для --list-filter). |