Опции PGP
Список опций PGP
В GnuPG (gpg) имеется множество опций для точного контроля поведения и изменения конфигурации по умолчанию.
• Опции конфигурации GPG: Как изменить конфигурацию. • Опции GPG, связанные с ключами: Опции, связанные с ключами. • Ввод и вывод GPG: Опции ввода и вывода. • Опции OpenPGP: Специфичные для протокола OpenPGP опции. • Опции соответствия (Compliance): Опции соответствия. • Эзотерические опции GPG: Выполнение действий, которые обычно не требуются. • Устаревшие опции: Опции, признанные устаревшими.
Длинные опции (long options) можно поместить в файл настроек (по умолчанию ~/.gnupg/gpg.conf). Короткие имена опций (short option names) работать не будут — например, armor является допустимой опцией для файла настроек, а a — нет. Не нужно писать 2 дефиса, достаточно указать имя опции и любые необходимые аргументы. Строки, у которых первый непробельный символ является решёткой (#), игнорируются. Команды также можно помещать в этот файл, но обычно это бесполезно, так как команда будет выполняться автоматически при каждом запуске gpg.
Пожалуйста, помните, что разбор опций останавливается, как только встречается не-опция. Вы можете явно остановить разбор с помощью специальной опции --.
Таблица опций конфигурации GPG
| Опция (короткая) | Описание |
|---|---|
--default-key name |
Использовать name как ключ по умолчанию для подписи. Рекомендуется использовать отпечаток или длинный ключевой ID. Переопределяется опцией -u. |
--default-recipient name |
Использовать name как получателя по умолчанию, если не используется --recipient. Не запрашивать подтверждение. |
--default-recipient-self |
Использовать ключ по умолчанию в качестве получателя по умолчанию. |
--no-default-recipient |
Сбросить --default-recipient и --default-recipient-self. Не для файла опций. |
-v, --verbose |
Выдавать больше информации при обработке. Если использовать дважды, входные данные выводятся подробно. |
--no-verbose |
Сбросить уровень детализации до 0. Не для файла опций. |
-q, --quiet |
Работать как можно тише. Не для файла опций. |
--batch |
Использовать пакетный режим. Никогда не спрашивать, не разрешать интерактивные команды. |
--no-batch |
Отключить пакетный режим. |
--no-tty |
Убедиться, что TTY (терминал) никогда не используется для вывода. |
--yes |
Предполагать ответ “да” на большинство вопросов. Не для файла опций. |
--no |
Предполагать ответ “нет” на большинство вопросов. Не для файла опций. |
--proc-all-sigs |
Отменить поведение --batch для остановки проверки подписи при первой плохой подписи. |
--list-filter {select=expr} |
Фильтр списка для вывода только определенных ключей при выводе списка ключей. |
--list-options parameters |
Строка параметров для настройки вывода списков ключей и подписей. См. подопции ниже. |
show-photos |
Показывать фото ID ключей. По умолчанию no. |
show-usage |
Показывать информацию об использовании ключей (E=шифрование, S=подпись, C=сертификация, A=аутентификация). По умолчанию yes. |
show-ownertrust |
Показывать значение доверия (ownertrust) для ключей. По умолчанию no. |
show-trustsig |
Показывать информацию о доверительных подписях. По умолчанию no. |
show-policy-urls |
Показывать URL политик в списках --check-signatures. По умолчанию no. |
show-notations |
Показывать все notations подписей. По умолчанию no. |
show-std-notations |
Показывать только стандартные (IETF) notations подписей. По умолчанию no. |
show-user-notations |
Показывать пользовательские notations подписей. По умолчанию no. |
show-x509-notations |
Выводить сертификаты X.509, встроенные в подписи ключей, в формате PEM (для отладки). |
store-x509-notations |
Сохранять сертификаты X.509, встроенные в подписи ключей, как файлы PEM. |
show-keyserver-urls |
Показывать предпочтительные URL keyserver’ов. По умолчанию no. |
show-uid-validity |
Показывать расчетную валидность user ID. По умолчанию yes. |
show-unusable-uids |
Показывать отозванные и просроченные user ID. По умолчанию no. |
show-unusable-subkeys |
Показывать отозванные и просроченные субключи. По умолчанию no. |
show-unusable-sigs |
Показывать подписи ключей, сделанные с использованием слабых или неподдерживаемых алгоритмов. |
show-keyring |
Показывать имя ключевого кольца в заголовке списков ключей. По умолчанию no. |
show-sig-expire |
Показывать даты истечения срока действия подписей. По умолчанию no. |
show-sig-subpackets |
Включать подпакеты подписи в список ключей (только с --with-colons). По умолчанию no. |
show-only-fpr-mbox |
Для каждого user ID с действительным email выводить только отпечаток и адрес. |
sort-sigs |
Сортировать подписи по keyID и времени создания для --list-sigs и --check-sigs. По умолчанию yes. |
--verify-options parameters |
Строка параметров для настройки проверки подписей. См. подопции ниже. |
show-photos |
Показывать фото ID на ключе, выпустившем подпись. По умолчанию no. |
show-policy-urls |
Показывать URL политик в проверяемой подписи. По умолчанию yes. |
show-notations |
Показывать все notations в проверяемой подписи. |
show-std-notations |
Показывать только стандартные (IETF) notations в проверяемой подписи. По умолчанию yes. |
show-user-notations |
Показывать пользовательские notations в проверяемой подписи. |
show-keyserver-urls |
Показывать предпочтительные URL keyserver’ов в проверяемой подписи. По умолчанию yes. |
show-uid-validity |
Показывать расчетную валидность user ID на ключе, выпустившем подпись. По умолчанию yes. |
show-unusable-uids |
Показывать отозванные и просроченные user ID при проверке подписи. По умолчанию no. |
show-primary-uid-only |
Показывать только основной user ID при проверке подписи. |
--enable-large-rsa |
Разрешить создание RSA-ключей размером до 8192 бит (с --generate-key --batch). |
--disable-large-rsa |
Запретить создание больших RSA-ключей. |
--enable-dsa2 |
Включить усечение хэша для всех DSA-ключей. |
--disable-dsa2 |
Отключить усечение хэша для DSA-ключей. |
--photo-viewer string |
Командная строка для просмотра фото ID. Замещает %i, %I, %k, %K, %f, %t, %T, %v, %V, %U, %%. |
--exec-path string |
Задать список каталогов для поиска программ просмотра фото. |
--keyring file |
Добавить файл file в текущий список ключевых колец. |
--primary-keyring file |
Обозначить file как основное ключевое кольцо (сюда импортируются новые ключи). |
--secret-keyring file |
Устаревшая опция, игнорируется. |
--trustdb-name file |
Использовать file вместо trustdb по умолчанию. |
--homedir dir |
Установить домашний каталог в dir. |
--display-charset name |
Установить кодировку для преобразования строк (например, iso-8859-1, koi8-r, utf-8). |
--utf8-strings |
Считать аргументы командной строки строками в UTF-8. |
--no-utf8-strings |
Считать аргументы в кодировке, указанной --display-charset. |
--options file |
Читать опции из файла file, а не из файла по умолчанию. |
--no-options |
Явно не читать никакой файл опций. Сокращение для --options /dev/null. |
-z n |
Установить уровень сжатия n для алгоритмов ZIP/ZLIB. 0 - отключить сжатие. -1 - принудительное сжатие уровнем по умолчанию. |
--compress-level n |
Установить уровень сжатия для ZIP/ZLIB. |
--bzip2-compress-level n |
Установить уровень сжатия для BZIP2. |
--no-compress |
Отключить сжатие. Identical to -z0. |
--bzip2-decompress-lowmem |
Использовать метод распаковки BZIP2 с низким потреблением памяти (медленнее). |
--mangle-dos-filenames |
Заменять расширение выходного файла для совместимости со старыми версиями Windows. |
--no-mangle-dos-filenames |
Не изменять имена файлов (по умолчанию). |
--ask-cert-level |
Запрашивать уровень сертификации при подписании ключа. |
--no-ask-cert-level |
Не запрашивать уровень сертификации. |
--default-cert-level n |
Уровень сертификации по умолчанию при подписании ключа (0-3). По умолчанию 0. |
--min-cert-level |
Минимальный уровень сертификации для принятия подписи при построении базы доверия. По умолчанию 2. |
--trusted-key long key ID or fingerprint |
Считать указанный ключ таким же доверенным, как свой собственный секретный ключ. |
--add-desig-revoker [sensitive:]fingerprint |
Добавить указанный ключ как назначенного отзывающего для вновь создаваемых ключей. |
--default-new-key-adsk fingerprint |
Добавить указанный субключ как ADSK (Additional Decryption Subkey) для вновь создаваемых ключей. |
--trust-model {pgp|classic|tofu|tofu+pgp|direct|always|auto} |
Установить модель доверия. По умолчанию pgp. |
--always-trust |
Идентично --trust-model always. |
--assert-signer fpr_or_file |
Убедиться, что хотя бы одна действительная подпись сделана указанным ключом (по отпечатку). |
--assert-pubkey-algo algolist |
Убедиться, что при проверке подписи использовался алгоритм из algolist. |
--auto-key-locate mechanisms |
Механизмы автоматического поиска ключей (local, wkd, keyserver, ldap, cert, dane, ntds, nodefault, clear). По умолчанию local,wkd. |
--no-auto-key-locate |
Отключить автоматический поиск ключей. |
--auto-key-import |
Импортировать ключ, встроенный в подпись, при успешной проверке. |
--no-auto-key-import |
Не импортировать встроенные ключи (по умолчанию). |
--auto-key-retrieve |
Автоматически получать ключи с keyserver’а при проверке подписей неизвестных ключей. |
--no-auto-key-retrieve |
Не получать ключи автоматически (по умолчанию). |
--keyid-format {none|short|0xshort|long|0xlong} |
Формат отображения key ID. По умолчанию 0xlong. |
--keyserver name |
Устарело. Использовать name в качестве keyserver’а. Используйте dirmngr.conf вместо этого. |
--keyserver-options {name=value} |
Опции для keyserver’а (include-revoked, include-disabled, honor-keyserver-url, include-subkeys и др.). |
--completes-needed n |
Количество полностью доверенных пользователей для представления нового подписанта (по умолчанию 1). |
--marginals-needed n |
Количество частично доверенных пользователей для представления нового подписанта (по умолчанию 3). |
--tofu-default-policy {auto|good|unknown|bad|ask} |
Политика TOFU по умолчанию (по умолчанию auto). |
--max-cert-depth n |
Максимальная глубина цепочки сертификации (по умолчанию 5). |
--no-sig-cache |
Не кэшировать статус проверки подписей ключей. |
--auto-check-trustdb |
Автоматически запускать --check-trustdb при необходимости. |
--no-auto-check-trustdb |
Отключить автоматическую проверку trustdb. |
--use-agent |
Фиктивная опция. gpg всегда требует агент. |
--no-use-agent |
Фиктивная опция. |
--gpg-agent-info |
Фиктивная опция. Не имеет эффекта. |
--agent-program file |
Указать программу-агент для операций с секретными ключами. |
--dirmngr-program file |
Указать программу dirmngr для доступа к keyserver’ам. |
--disable-dirmngr |
Полностью отключить использование Dirmngr. |
--no-autostart |
Не запускать gpg-agent или dirmngr автоматически, если они еще не запущены. |
--lock-once |
Заблокировать базы данных один раз и не снимать блокировку до завершения процесса. |
--lock-multiple |
Снимать блокировки, когда они больше не нужны. |
--lock-never |
Полностью отключить блокировку. |
--exit-on-status-write-error |
Немедленно завершать процесс при ошибках записи в status FD. |
--limit-card-insert-tries n |
Ограничить количество запросов на вставку смарт-карты числом n-1. |
--no-random-seed-file |
Не использовать файл для хранения пула случайных чисел между вызовами. |
--no-greeting |
Не показывать начальное сообщение об авторских правах. |
--no-secmem-warning |
Не показывать предупреждение о “использовании незащищенной памяти”. |
--no-permission-warning |
Не показывать предупреждение о небезопасных разрешениях файлов и каталогов. |
--require-secmem |
Отказаться работать, если невозможно получить защищенную память. |
--no-require-secmem |
Работать, даже если нет защищенной памяти (по умолчанию, с предупреждением). |
--require-cross-certification |
Требовать наличия действительной перекрестной сертификации для субключей при проверке подписи. |
--no-require-cross-certification |
Не требовать перекрестной сертификации. |
--expert |
Разрешить пользователю выполнять определенные нестандартные или потенциально несовместимые действия. |
--no-expert |
Запретить экспертный режим (по умолчанию). |
Таблица ключевых опций GPG (4.2.2 Key related options)
| Опция (короткая) | Описание |
|---|---|
--recipient name-r |
Зашифровать для пользователя с ID name. Если эта опция или --hidden-recipient не указана, GnuPG запросит user-id (если не задан --default-recipient). |
--hidden-recipient name-R |
Зашифровать для пользователя с ID name, но скрыть key ID его ключа. Помогает скрыть получателя сообщения и является ограниченной мерой против анализа трафика. |
--recipient-file file-f |
Аналогично --recipient, но шифрует для ключа, хранящегося в указанном файле file. Файл должен содержать ровно один ключ. GnuPG считает ключ в файле полностью valid. |
--hidden-recipient-file file-F |
Аналогично --hidden-recipient, но шифрует для ключа, хранящегося в указанном файле file. |
--encrypt-to name |
То же, что --recipient, но предназначена для использования в файле опций. Может использоваться с вашим собственным user-id как “encrypt-to-self” (зашифровать для себя). Рекомендуется использовать отпечаток или длинный keyID. Эти ключи используются только при наличии других получателей. Проверка доверия для этих user id не выполняется, можно использовать даже отключенные ключи. |
--hidden-encrypt-to name |
То же, что --hidden-recipient, но предназначена для использования в файле опций. Может использоваться как скрытый “encrypt-to-self”. |
--no-encrypt-to |
Отключить использование всех ключей, заданных через --encrypt-to и --hidden-encrypt-to. |
--group {name=value} |
Создает именованную группу, подобную псевдонимам в почтовых программах. Когда имя группы указывается как получатель, оно раскрывается в указанные значения. Значениями могут быть key IDs или отпечатки. Пространства в значениях обрабатываются как разделители. |
--ungroup name |
Удалить заданную запись из списка групп. |
--no-groups |
Удалить все записи из списка групп. |
--local-user name-u |
Использовать name как ключ для подписи. Переопределяет --default-key. |
--sender mbox |
При создании подписи: указывает user ID ключа для подписи и встраивает его в создаваемую подпись (используя subpacket “Signer’s User ID” OpenPGP). При проверке подписи: mbox используется для ограничения информации, выводимой кодом TOFU, соответствующими user IDs. GnuPG учитывает только почтовую часть User ID. |
--try-secret-key name |
Для скрытых получателей GPG нужно знать ключи для пробной расшифровки. Эта опция позволяет задать дополнительные ключи для использования. Рекомендуется использовать long keyid во избежание неоднозначностей. |
--try-all-secrets |
Не смотреть на key ID, хранящийся в сообщении, а пробовать все секретные ключи по очереди, чтобы найти правильный ключ для расшифровки. Принудительно включает поведение, используемое для анонимных получателей. |
--skip-hidden-recipients |
При расшифровке пропускать всех анонимных получателей. Помогает избежать перебора всех секретных ключей, когда функция скрытых получателей используется для сокрытия ключа encrypt-to. |
--no-skip-hidden-recipients |
Не пропускать анонимных получателей при расшифровке (поведение по умолчанию). |