Опции PGP
Список опций PGP
В GnuPG (gpg) имеется множество опций для точного контроля поведения и изменения конфигурации по умолчанию.
• Опции конфигурации GPG: Как изменить конфигурацию. • Опции GPG, связанные с ключами: Опции, связанные с ключами. • Ввод и вывод GPG: Опции ввода и вывода. • Опции OpenPGP: Специфичные для протокола OpenPGP опции. • Опции соответствия (Compliance): Опции соответствия. • Эзотерические опции GPG: Выполнение действий, которые обычно не требуются. • Устаревшие опции: Опции, признанные устаревшими.
Длинные опции (long options) можно поместить в файл настроек (по умолчанию ~/.gnupg/gpg.conf). Короткие имена опций (short option names) работать не будут — например, armor является допустимой опцией для файла настроек, а a — нет. Не нужно писать 2 дефиса, достаточно указать имя опции и любые необходимые аргументы. Строки, у которых первый непробельный символ является решёткой (#), игнорируются. Команды также можно помещать в этот файл, но обычно это бесполезно, так как команда будет выполняться автоматически при каждом запуске gpg.
Пожалуйста, помните, что разбор опций останавливается, как только встречается не-опция. Вы можете явно остановить разбор с помощью специальной опции --.
Таблица опций конфигурации GPG
| Опция (короткая) | Описание |
|---|---|
--default-key name | Использовать name как ключ по умолчанию для подписи. Рекомендуется использовать отпечаток или длинный ключевой ID. Переопределяется опцией -u. |
--default-recipient name | Использовать name как получателя по умолчанию, если не используется --recipient. Не запрашивать подтверждение. |
--default-recipient-self | Использовать ключ по умолчанию в качестве получателя по умолчанию. |
--no-default-recipient | Сбросить --default-recipient и --default-recipient-self. Не для файла опций. |
-v, --verbose | Выдавать больше информации при обработке. Если использовать дважды, входные данные выводятся подробно. |
--no-verbose | Сбросить уровень детализации до 0. Не для файла опций. |
-q, --quiet | Работать как можно тише. Не для файла опций. |
--batch | Использовать пакетный режим. Никогда не спрашивать, не разрешать интерактивные команды. |
--no-batch | Отключить пакетный режим. |
--no-tty | Убедиться, что TTY (терминал) никогда не используется для вывода. |
--yes | Предполагать ответ “да” на большинство вопросов. Не для файла опций. |
--no | Предполагать ответ “нет” на большинство вопросов. Не для файла опций. |
--proc-all-sigs | Отменить поведение --batch для остановки проверки подписи при первой плохой подписи. |
--list-filter {select=expr} | Фильтр списка для вывода только определенных ключей при выводе списка ключей. |
--list-options parameters | Строка параметров для настройки вывода списков ключей и подписей. См. подопции ниже. |
show-photos | Показывать фото ID ключей. По умолчанию no. |
show-usage | Показывать информацию об использовании ключей (E=шифрование, S=подпись, C=сертификация, A=аутентификация). По умолчанию yes. |
show-ownertrust | Показывать значение доверия (ownertrust) для ключей. По умолчанию no. |
show-trustsig | Показывать информацию о доверительных подписях. По умолчанию no. |
show-policy-urls | Показывать URL политик в списках --check-signatures. По умолчанию no. |
show-notations | Показывать все notations подписей. По умолчанию no. |
show-std-notations | Показывать только стандартные (IETF) notations подписей. По умолчанию no. |
show-user-notations | Показывать пользовательские notations подписей. По умолчанию no. |
show-x509-notations | Выводить сертификаты X.509, встроенные в подписи ключей, в формате PEM (для отладки). |
store-x509-notations | Сохранять сертификаты X.509, встроенные в подписи ключей, как файлы PEM. |
show-keyserver-urls | Показывать предпочтительные URL keyserver’ов. По умолчанию no. |
show-uid-validity | Показывать расчетную валидность user ID. По умолчанию yes. |
show-unusable-uids | Показывать отозванные и просроченные user ID. По умолчанию no. |
show-unusable-subkeys | Показывать отозванные и просроченные субключи. По умолчанию no. |
show-unusable-sigs | Показывать подписи ключей, сделанные с использованием слабых или неподдерживаемых алгоритмов. |
show-keyring | Показывать имя ключевого кольца в заголовке списков ключей. По умолчанию no. |
show-sig-expire | Показывать даты истечения срока действия подписей. По умолчанию no. |
show-sig-subpackets | Включать подпакеты подписи в список ключей (только с --with-colons). По умолчанию no. |
show-only-fpr-mbox | Для каждого user ID с действительным email выводить только отпечаток и адрес. |
sort-sigs | Сортировать подписи по keyID и времени создания для --list-sigs и --check-sigs. По умолчанию yes. |
--verify-options parameters | Строка параметров для настройки проверки подписей. См. подопции ниже. |
show-photos | Показывать фото ID на ключе, выпустившем подпись. По умолчанию no. |
show-policy-urls | Показывать URL политик в проверяемой подписи. По умолчанию yes. |
show-notations | Показывать все notations в проверяемой подписи. |
show-std-notations | Показывать только стандартные (IETF) notations в проверяемой подписи. По умолчанию yes. |
show-user-notations | Показывать пользовательские notations в проверяемой подписи. |
show-keyserver-urls | Показывать предпочтительные URL keyserver’ов в проверяемой подписи. По умолчанию yes. |
show-uid-validity | Показывать расчетную валидность user ID на ключе, выпустившем подпись. По умолчанию yes. |
show-unusable-uids | Показывать отозванные и просроченные user ID при проверке подписи. По умолчанию no. |
show-primary-uid-only | Показывать только основной user ID при проверке подписи. |
--enable-large-rsa | Разрешить создание RSA-ключей размером до 8192 бит (с --generate-key --batch). |
--disable-large-rsa | Запретить создание больших RSA-ключей. |
--enable-dsa2 | Включить усечение хэша для всех DSA-ключей. |
--disable-dsa2 | Отключить усечение хэша для DSA-ключей. |
--photo-viewer string | Командная строка для просмотра фото ID. Замещает %i, %I, %k, %K, %f, %t, %T, %v, %V, %U, %%. |
--exec-path string | Задать список каталогов для поиска программ просмотра фото. |
--keyring file | Добавить файл file в текущий список ключевых колец. |
--primary-keyring file | Обозначить file как основное ключевое кольцо (сюда импортируются новые ключи). |
--secret-keyring file | Устаревшая опция, игнорируется. |
--trustdb-name file | Использовать file вместо trustdb по умолчанию. |
--homedir dir | Установить домашний каталог в dir. |
--display-charset name | Установить кодировку для преобразования строк (например, iso-8859-1, koi8-r, utf-8). |
--utf8-strings | Считать аргументы командной строки строками в UTF-8. |
--no-utf8-strings | Считать аргументы в кодировке, указанной --display-charset. |
--options file | Читать опции из файла file, а не из файла по умолчанию. |
--no-options | Явно не читать никакой файл опций. Сокращение для --options /dev/null. |
-z n | Установить уровень сжатия n для алгоритмов ZIP/ZLIB. 0 - отключить сжатие. -1 - принудительное сжатие уровнем по умолчанию. |
--compress-level n | Установить уровень сжатия для ZIP/ZLIB. |
--bzip2-compress-level n | Установить уровень сжатия для BZIP2. |
--no-compress | Отключить сжатие. Identical to -z0. |
--bzip2-decompress-lowmem | Использовать метод распаковки BZIP2 с низким потреблением памяти (медленнее). |
--mangle-dos-filenames | Заменять расширение выходного файла для совместимости со старыми версиями Windows. |
--no-mangle-dos-filenames | Не изменять имена файлов (по умолчанию). |
--ask-cert-level | Запрашивать уровень сертификации при подписании ключа. |
--no-ask-cert-level | Не запрашивать уровень сертификации. |
--default-cert-level n | Уровень сертификации по умолчанию при подписании ключа (0-3). По умолчанию 0. |
--min-cert-level | Минимальный уровень сертификации для принятия подписи при построении базы доверия. По умолчанию 2. |
--trusted-key long key ID or fingerprint | Считать указанный ключ таким же доверенным, как свой собственный секретный ключ. |
--add-desig-revoker [sensitive:]fingerprint | Добавить указанный ключ как назначенного отзывающего для вновь создаваемых ключей. |
--default-new-key-adsk fingerprint | Добавить указанный субключ как ADSK (Additional Decryption Subkey) для вновь создаваемых ключей. |
--trust-model {pgp|classic|tofu|tofu+pgp|direct|always|auto} | Установить модель доверия. По умолчанию pgp. |
--always-trust | Идентично --trust-model always. |
--assert-signer fpr_or_file | Убедиться, что хотя бы одна действительная подпись сделана указанным ключом (по отпечатку). |
--assert-pubkey-algo algolist | Убедиться, что при проверке подписи использовался алгоритм из algolist. |
--auto-key-locate mechanisms | Механизмы автоматического поиска ключей (local, wkd, keyserver, ldap, cert, dane, ntds, nodefault, clear). По умолчанию local,wkd. |
--no-auto-key-locate | Отключить автоматический поиск ключей. |
--auto-key-import | Импортировать ключ, встроенный в подпись, при успешной проверке. |
--no-auto-key-import | Не импортировать встроенные ключи (по умолчанию). |
--auto-key-retrieve | Автоматически получать ключи с keyserver’а при проверке подписей неизвестных ключей. |
--no-auto-key-retrieve | Не получать ключи автоматически (по умолчанию). |
--keyid-format {none|short|0xshort|long|0xlong} | Формат отображения key ID. По умолчанию 0xlong. |
--keyserver name | Устарело. Использовать name в качестве keyserver’а. Используйте dirmngr.conf вместо этого. |
--keyserver-options {name=value} | Опции для keyserver’а (include-revoked, include-disabled, honor-keyserver-url, include-subkeys и др.). |
--completes-needed n | Количество полностью доверенных пользователей для представления нового подписанта (по умолчанию 1). |
--marginals-needed n | Количество частично доверенных пользователей для представления нового подписанта (по умолчанию 3). |
--tofu-default-policy {auto|good|unknown|bad|ask} | Политика TOFU по умолчанию (по умолчанию auto). |
--max-cert-depth n | Максимальная глубина цепочки сертификации (по умолчанию 5). |
--no-sig-cache | Не кэшировать статус проверки подписей ключей. |
--auto-check-trustdb | Автоматически запускать --check-trustdb при необходимости. |
--no-auto-check-trustdb | Отключить автоматическую проверку trustdb. |
--use-agent | Фиктивная опция. gpg всегда требует агент. |
--no-use-agent | Фиктивная опция. |
--gpg-agent-info | Фиктивная опция. Не имеет эффекта. |
--agent-program file | Указать программу-агент для операций с секретными ключами. |
--dirmngr-program file | Указать программу dirmngr для доступа к keyserver’ам. |
--disable-dirmngr | Полностью отключить использование Dirmngr. |
--no-autostart | Не запускать gpg-agent или dirmngr автоматически, если они еще не запущены. |
--lock-once | Заблокировать базы данных один раз и не снимать блокировку до завершения процесса. |
--lock-multiple | Снимать блокировки, когда они больше не нужны. |
--lock-never | Полностью отключить блокировку. |
--exit-on-status-write-error | Немедленно завершать процесс при ошибках записи в status FD. |
--limit-card-insert-tries n | Ограничить количество запросов на вставку смарт-карты числом n-1. |
--no-random-seed-file | Не использовать файл для хранения пула случайных чисел между вызовами. |
--no-greeting | Не показывать начальное сообщение об авторских правах. |
--no-secmem-warning | Не показывать предупреждение о “использовании незащищенной памяти”. |
--no-permission-warning | Не показывать предупреждение о небезопасных разрешениях файлов и каталогов. |
--require-secmem | Отказаться работать, если невозможно получить защищенную память. |
--no-require-secmem | Работать, даже если нет защищенной памяти (по умолчанию, с предупреждением). |
--require-cross-certification | Требовать наличия действительной перекрестной сертификации для субключей при проверке подписи. |
--no-require-cross-certification | Не требовать перекрестной сертификации. |
--expert | Разрешить пользователю выполнять определенные нестандартные или потенциально несовместимые действия. |
--no-expert | Запретить экспертный режим (по умолчанию). |
Таблица ключевых опций GPG (4.2.2 Key related options)
| Опция (короткая) | Описание |
|---|---|
--recipient name-r | Зашифровать для пользователя с ID name. Если эта опция или --hidden-recipient не указана, GnuPG запросит user-id (если не задан --default-recipient). |
--hidden-recipient name-R | Зашифровать для пользователя с ID name, но скрыть key ID его ключа. Помогает скрыть получателя сообщения и является ограниченной мерой против анализа трафика. |
--recipient-file file-f | Аналогично --recipient, но шифрует для ключа, хранящегося в указанном файле file. Файл должен содержать ровно один ключ. GnuPG считает ключ в файле полностью valid. |
--hidden-recipient-file file-F | Аналогично --hidden-recipient, но шифрует для ключа, хранящегося в указанном файле file. |
--encrypt-to name | То же, что --recipient, но предназначена для использования в файле опций. Может использоваться с вашим собственным user-id как “encrypt-to-self” (зашифровать для себя). Рекомендуется использовать отпечаток или длинный keyID. Эти ключи используются только при наличии других получателей. Проверка доверия для этих user id не выполняется, можно использовать даже отключенные ключи. |
--hidden-encrypt-to name | То же, что --hidden-recipient, но предназначена для использования в файле опций. Может использоваться как скрытый “encrypt-to-self”. |
--no-encrypt-to | Отключить использование всех ключей, заданных через --encrypt-to и --hidden-encrypt-to. |
--group {name=value} | Создает именованную группу, подобную псевдонимам в почтовых программах. Когда имя группы указывается как получатель, оно раскрывается в указанные значения. Значениями могут быть key IDs или отпечатки. Пространства в значениях обрабатываются как разделители. |
--ungroup name | Удалить заданную запись из списка групп. |
--no-groups | Удалить все записи из списка групп. |
--local-user name-u | Использовать name как ключ для подписи. Переопределяет --default-key. |
--sender mbox | При создании подписи: указывает user ID ключа для подписи и встраивает его в создаваемую подпись (используя subpacket “Signer’s User ID” OpenPGP). При проверке подписи: mbox используется для ограничения информации, выводимой кодом TOFU, соответствующими user IDs. GnuPG учитывает только почтовую часть User ID. |
--try-secret-key name | Для скрытых получателей GPG нужно знать ключи для пробной расшифровки. Эта опция позволяет задать дополнительные ключи для использования. Рекомендуется использовать long keyid во избежание неоднозначностей. |
--try-all-secrets | Не смотреть на key ID, хранящийся в сообщении, а пробовать все секретные ключи по очереди, чтобы найти правильный ключ для расшифровки. Принудительно включает поведение, используемое для анонимных получателей. |
--skip-hidden-recipients | При расшифровке пропускать всех анонимных получателей. Помогает избежать перебора всех секретных ключей, когда функция скрытых получателей используется для сокрытия ключа encrypt-to. |
--no-skip-hidden-recipients | Не пропускать анонимных получателей при расшифровке (поведение по умолчанию). |