gpg - Herramienta de cifrado y firma OpenPGP
SINTAXIS
gpg [--homedir dir] [--options file] [opciones] comando [argumentos]
DESCRIPCIÓN
gpg es la parte OpenPGP de GNU Privacy Guard (GnuPG). Es una herramienta para proporcionar servicios de cifrado y firma digital utilizando el estándar OpenPGP. gpg cuenta con una gestión completa de claves y
todas las características que se esperarían de una implementación completa de OpenPGP.
Hay dos versiones principales de GnuPG: GnuPG 1.x y GnuPG 2.x. GnuPG 2.x admite algoritmos de cifrado modernos y, por lo tanto, debe preferirse a GnuPG 1.x. Solo necesita utilizar GnuPG 1.x si su plataforma no admite GnuPG 2.x, o si necesita soporte para algunas características que GnuPG 2.x ha obsoleto, por ejemplo, para descifrar datos creados con claves PGP-2.
Si está buscando la versión 1 de GnuPG, puede que la encuentre instalada con el nombre gpg1.
VALOR DE RETORNO
El programa devuelve 0 si no hay errores graves, 1 si al menos una firma es incorrecta y otros códigos de error para errores fatales.
Tenga en cuenta que la verificación de la firma requiere un conocimiento exacto de lo que se ha firmado y quién lo ha firmado. Por lo tanto, utilizar solo el código de retorno no es una forma adecuada de verificar una firma mediante un script. Utilice correctamente los códigos de estado o utilice la herramienta gpgv, que está diseñada para facilitar la verificación de firmas en scripts.
ADVERTENCIAS
Utilice una contraseña segura para su cuenta de usuario y asegúrese de que todos los problemas de seguridad se solucionen siempre en su máquina. Además, emplee una protección física diligente de su máquina. Considere la posibilidad de utilizar una buena frase de contraseña como protección final de su clave secreta en caso de que su máquina sea robada. Es importante que su clave secreta nunca se filtre. El uso de un token o tarjeta inteligente fácil de transportar con la clave secreta suele ser recomendable.
Si va a verificar firmas independientes, asegúrese de que el programa lo sepa; ya sea dando ambos nombres de archivo en la línea de comandos o utilizando '-' para especificar STDIN.
Para el uso de gpg en scripts u otros usos no supervisados, asegúrese de utilizar la interfaz de análisis de máquina y no la interfaz predeterminada, que está destinada al uso directo por parte de humanos. La interfaz de análisis de máquina proporciona una API estable y bien documentada, independiente del idioma o de los cambios futuros de gpg. Para habilitar esta interfaz, utilice las opciones --with-colons y --status-fd. Para ciertas operaciones, la opción --command-fd también puede ser útil. Consulte esta página de manual y el archivo 'DETAILS' para la especificación de la interfaz. Tenga en cuenta que las páginas de "información" de GnuPG, así como la versión PDF del manual de GnuPG, incluyen un capítulo sobre el uso no supervisado de GnuPG. Como alternativa, se puede utilizar la biblioteca GPGME como una abstracción de alto nivel sobre esa interfaz.
INTEROPERABILIDAD
GnuPG intenta ser una implementación muy flexible del estándar OpenPGP. En particular, GnuPG implementa muchas de las partes opcionales del estándar, como el hash SHA-512 y los algoritmos de compresión ZLIB y BZIP2. Es importante tener en cuenta que no todos los programas OpenPGP implementan estos algoritmos opcionales y que, al forzar su uso a través de las opciones --cipher-algo, --digest-algo, --cert-digest-algo o --compress-algo en GnuPG, es posible crear un mensaje OpenPGP perfectamente válido, pero que no puede ser leído por el destinatario previsto.
Existen docenas de variaciones de programas OpenPGP, y cada uno admite un subconjunto ligeramente diferente de estos algoritmos opcionales. Por ejemplo, hasta hace poco, ninguna versión (no modificada) de PGP admitía el algoritmo de cifrado BLOWFISH. Un mensaje que utiliza BLOWFISH simplemente no podía ser leído por un usuario de PGP. De forma predeterminada, GnuPG utiliza el sistema de preferencias estándar de OpenPGP, que siempre hace lo correcto y crea mensajes que pueden ser utilizados por todos los destinatarios, independientemente del programa OpenPGP que utilicen. Solo anule esta configuración predeterminada segura si realmente sabe lo que está haciendo.
Si absolutamente debe anular la configuración predeterminada segura, o si las preferencias en una clave determinada no son válidas por alguna razón, es mucho mejor utilizar las opciones --pgp6, --pgp7 o --pgp8. Estas opciones son seguras, ya que no fuerzan ningún algoritmo en particular en violación de OpenPGP, sino que reducen los algoritmos disponibles a una lista "segura para PGP".
COMANDOS
Los comandos no se distinguen de las opciones, excepto por el hecho de que solo se permite un comando. En general, las opciones irrelevantes se ignoran silenciosamente y es posible que no se verifique su corrección.
gpg se puede ejecutar sin comandos. En este caso, imprimirá una advertencia y realizará una acción razonable según el tipo de archivo que se le proporcione como entrada (un mensaje cifrado se descifra, una firma se verifica, un archivo que contiene claves se enumera, etc.).
Si encuentra algún problema, agregue la opción --verbose a la invocación para ver más diagnósticos.
Comandos no específicos de la función
--version
Imprime la versión del programa y la información de la licencia. Tenga en cuenta que no puede abreviar este comando.
--help
-h Imprime un mensaje de uso que resume las opciones de línea de comandos más útiles. Tenga en cuenta que no puede abreviar arbitrariamente este comando (aunque puede utilizar su forma abreviada -h).
--warranty
Imprime la información de la garantía.
--dump-options
Imprime una lista de todas las opciones y comandos disponibles. Tenga en cuenta que no puede abreviar este comando.
Comandos para seleccionar el tipo de operación
--sign
-s Firma un mensaje. Este comando se puede combinar con --encrypt (para firmar y cifrar un mensaje), --symmetric (para firmar y cifrar simétricamente un mensaje) o con --encrypt y --symmetric (para firmar y cifrar un mensaje que se puede descifrar utilizando una clave secreta o una frase de contraseña). La clave de firma se elige de forma predeterminada o se puede establecer explícitamente utilizando las opciones --local-user y --default-key.
--clear-sign
--clearsign
Crea una firma en texto plano. El contenido de una firma en texto plano es legible sin ningún software especial. El software OpenPGP solo es necesario para verificar la firma. Las firmas en texto plano pueden modificar los espacios en blanco al final de las líneas para garantizar la compatibilidad entre plataformas y no están destinadas a ser reversibles. La clave de firma se elige de forma predeterminada o se puede establecer explícitamente mediante las opciones --local-user y --default-key.
--detach-sign
-b Crea una firma independiente.
--encrypt
-e Cifra datos con una o más claves públicas. Este comando se puede combinar con --sign (para firmar
y cifrar un mensaje), --symmetric (para cifrar un mensaje que se puede descifrar utilizando una
clave secreta o una frase de contraseña), o --sign y --symmetric juntos (para un mensaje firmado que
puede ser descifrado utilizando una clave secreta o una frase de contraseña). Las opciones
--recipient y relacionadas especifican qué claves públicas se utilizarán para el cifrado.
--symmetric
-c Cifra con un cifrado simétrico utilizando una frase de contraseña. El cifrado simétrico
predeterminado es AES-128, pero se puede elegir con la opción --cipher-algo. Este comando se puede
combinar con --sign (para un mensaje firmado y cifrado simétricamente), --encrypt (para un
mensaje que puede ser descifrado mediante una clave secreta o una frase de contraseña), o
--sign y --encrypt juntos (para un mensaje firmado que puede ser descifrado mediante una clave
secreta o una frase de contraseña). Gpg almacena en caché
la frase de contraseña utilizada para el cifrado simétrico para que una operación de descifrado no
requiera que el usuario introduzca la frase de contraseña. La opción --no-symkey-cache se puede
utilizar para deshabilitar esta función.
--store
Almacena solo (crea un paquete de datos literal simple).
--decrypt
-d Descifra el archivo especificado en la línea de comandos (o STDIN si no se especifica ningún
archivo) y lo escribe en STDOUT (o en el archivo especificado con --output). Si el archivo descifrado
está firmado, también se verifica la firma. Este comando difiere de la operación predeterminada,
ya que nunca escribe en el nombre de archivo que se incluye en el archivo y rechaza los archivos
que no comienzan con un mensaje cifrado.
--verify
Asume que el primer argumento es un archivo firmado y lo verifica sin generar ninguna salida. Sin argumentos, el paquete de firma se lee desde STDIN. Si se proporciona solo un argumento, se espera que el archivo especificado incluya una firma completa.
Con más de un argumento, el primer argumento debe especificar un archivo con una firma independiente
y los archivos restantes deben contener los datos firmados. Para leer los datos firmados desde
STDIN, use '-' como segundo nombre de archivo. Por motivos de seguridad, una firma independiente
no leerá el material firmado desde STDIN si no se especifica explícitamente.
Nota: Si no se utiliza la opción --batch, gpg puede asumir que un único argumento es un archivo
con una firma adjunta y tratará de encontrar el archivo de datos correspondiente eliminando ciertos sufijos. El uso de esta función histórica para verificar una firma adjunta no se recomienda; siempre debe especificar el archivo de datos explícitamente.
Nota: Al verificar una firma de texto sin formato, gpg verifica solo lo que constituye los
datos firmados en texto sin formato y no ningún dato adicional fuera de la firma de texto sin formato o las líneas de encabezado
que siguen directamente a la línea del marcador de guiones. La opción --output se puede usar para escribir los
datos reales firmados, pero también existen otras posibles complicaciones con este formato. Se sugiere evitar las firmas de texto sin formato en favor de las firmas adjuntas.
Nota: Con la opción --batch, la verificación de firmas se detiene en la primera firma incorrecta.
Este es un valor predeterminado seguro para el procesamiento no supervisado, pero a veces se necesita un estado de todas las firmas. Para anular esta salida temprana, use la opción --proc-all-sigs.
Nota: Para verificar si un archivo fue firmado por una clave determinada, se puede usar la opción --assert-signer.
Como alternativa, se puede usar la herramienta gpgv. gpgv está diseñada para comparar los datos firmados
con una lista de claves confiables y devuelve éxito solo para una firma válida.
Tiene su propia página de manual.
--multifile
Esto modifica ciertos comandos para aceptar varios archivos para el procesamiento en la línea de comandos o leerlos de STDIN con cada nombre de archivo en una línea separada. Esto permite procesar muchos
archivos a la vez. --multifile se puede usar actualmente junto con --verify,
--encrypt y --decrypt. Tenga en cuenta que --multifile --verify no se puede usar con firmas adjuntas.
--verify-files
Idéntico a --multifile --verify.
--encrypt-files
Idéntico a --multifile --encrypt.
--decrypt-files
Idéntico a --multifile --decrypt.
--list-keys
-k
--list-public-keys
Lista las claves especificadas. Si no se especifican claves, se enumeran todas las claves de los anillos de claves públicas configurados.
Nunca utilice la salida de este comando en scripts u otros programas. La salida está destinada
solo para humanos y es probable que su formato cambie. La opción --with-colons emite la
salida en un formato estable y analizable por máquinas, que está destinada a ser utilizada por scripts y
otros programas.
--list-secret-keys
-K Listar las claves secretas especificadas. Si no se especifican claves, se enumeran todas las claves secretas conocidas. Una # después de las etiquetas iniciales sec o ssb significa que la clave secreta o la subclave no se pueden usar actualmente. También decimos que esta clave se ha desconectado (por ejemplo, una clave principal se puede desconectar exportando la clave con el comando --export-secret-subkeys). Un > después de estas etiquetas indica que la clave se almacena en una tarjeta inteligente. Consulte también --list-keys.
--check-signatures
--check-sigs
Igual que --list-keys, pero también se verifican y se enumeran las firmas de clave. Tenga en cuenta que
por razones de rendimiento, no se muestra el estado de revocación de una clave de firma. Este comando tiene
el mismo efecto que usar --list-keys con --with-sig-check.
El estado de la verificación se indica mediante una bandera que aparece inmediatamente después de la etiqueta "sig" (y, por lo tanto, antes de las banderas descritas a continuación). Un "!" indica que la firma se ha verificado correctamente, un "-" denota una firma incorrecta y un "%" se utiliza si se produjo un error al verificar la firma (por ejemplo, un algoritmo no compatible). Las firmas para las que no está disponible la clave pública no se enumeran; para ver sus keyids, se puede utilizar el comando --list-sigs.
Para cada firma que se enumera, hay varias banderas entre la bandera de estado de la firma y el keyid. Estas banderas proporcionan información adicional sobre cada firma. De izquierda a derecha, son los números 1-3 para el nivel de comprobación del certificado (consulte --ask-cert-level), "L" para una firma local o no exportable (consulte --lsign-key), "R" para una firma no revocable (consulte el comando --edit-key "nrsign"), "P" para una firma que contiene una URL de política (consulte --cert-policy-url), "N" para una firma que contiene una anotación (consulte --cert-notation), "X" para una firma caducada (consulte --ask-cert-expire) y los números 1-9 o "T" para 10 o más para indicar los niveles de firma de confianza (consulte el comando --edit-key "tsign").
--locate-keys
--locate-external-keys
Localice las claves que se indican como argumentos. Este comando utiliza básicamente el mismo algoritmo que se utiliza al localizar claves para el cifrado y, por lo tanto, se puede utilizar para ver qué claves podría utilizar gpg. En particular, se utilizan métodos externos definidos por --auto-key-locate para localizar una clave si los argumentos contienen direcciones de correo electrónico válidas. Solo se enumeran las claves públicas.
La variante --locate-external-keys no tiene en cuenta una clave existente localmente y, por lo tanto, se puede utilizar para forzar la actualización de una clave mediante los métodos definidos por --auto-key-locate. Si se proporciona una huella digital y los métodos definidos por --auto-key-locate definen servidores LDAP, la clave se obtiene de estos recursos; se omiten los servidores de claves no LDAP definidos.
--show-keys
Este comando toma las claves OpenPGP como entrada e imprime información sobre ellas de la misma manera que el comando --list-keys lo hace para las claves almacenadas localmente. Además, también se habilitan las opciones de lista show-unusable-uids, show-unusable-subkeys, show-notations y show-policy-urls. Como es habitual para el procesamiento automatizado, este comando debe combinarse con la opción --with-colons.
--fingerprint
Enumere todas las claves (o las especificadas) junto con sus huellas digitales. Esta es la misma salida que --list-keys, pero con la salida adicional de una línea con la huella digital. También se puede combinar con --check-signatures. Si se proporciona este comando dos veces, también se enumeran las huellas digitales de todas las claves secundarias. Este comando también fuerza la impresión bonita de las huellas digitales si el formato de keyid se ha establecido en "none".
--list-packets
Lista solo la secuencia de paquetes. Este comando solo es útil para la depuración. Cuando se usa con la opción --verbose, los valores MPI reales se vuelcan y no solo sus longitudes. Tenga en cuenta que la salida de este comando puede cambiar con las nuevas versiones.
--edit-card
--card-edit
Presenta un menú para trabajar con una tarjeta inteligente. El subcomando "help" proporciona una visión general de los comandos disponibles. Para obtener una descripción detallada, consulte el documento Card HOWTO en https://gnupg.org/documentation/howtos.html#GnuPG-cardHOWTO. Tenga en cuenta que el comando "openpgp" se puede usar para cambiar a la aplicación OpenPGP de las tarjetas, que por defecto presentan otra aplicación (por ejemplo, PIV).
--card-status
Muestra el contenido de la tarjeta inteligente.
--change-pin
Presenta un menú que permite cambiar el PIN de una tarjeta inteligente. Esta funcionalidad también está disponible como el subcomando "passwd" con el comando --edit-card.
--delete-keys name
Elimina una clave del llavero público. En modo por lotes, se requiere --yes o la clave debe especificarse por huella digital. Esto es una salvaguarda contra la eliminación accidental de varias claves. Si se utiliza la sintaxis de exclamación con la huella digital de una subclave, solo se elimina esa subclave; si se utiliza la sintaxis de exclamación con la huella digital de la clave primaria, se elimina toda la clave pública.
--delete-secret-keys name
Elimina una clave del llavero secreto. En modo por lotes, la clave debe especificarse por huella digital. La opción --yes se puede utilizar para indicar a gpg-agent que no solicite una confirmación. Esta precaución adicional se realiza porque gpg no puede estar seguro de que la clave secreta (controlada por gpg-agent) solo se utilice para la clave pública OpenPGP dada. Si se utiliza la sintaxis de exclamación con la huella digital de una subclave, solo se elimina la parte secreta de esa subclave; si se utiliza la sintaxis de exclamación con la huella digital de la clave primaria, solo se elimina la parte secreta de la clave primaria.
--delete-secret-and-public-key name
Igual que --delete-key, pero si existe una clave secreta, primero se eliminará. En modo por lotes, la clave debe especificarse por huella digital. La opción --yes se puede utilizar para indicar a gpg-agent que no solicite una confirmación.
--export
Exporta todas las claves de todos los llaveros (llavero predeterminado y los registrados mediante la opción --keyring), o si se proporciona al menos un nombre, solo las de los nombres dados. Las claves exportadas se escriben en STDOUT o en el archivo especificado con la opción --output. Úselo junto con --armor para enviar esas claves por correo electrónico.
--send-keys keyIDs
Similar a --export, pero envía las claves a un servidor de claves. Se pueden utilizar huellas digitales en lugar de identificadores de clave. No envíe todo su llavero a un servidor de claves; seleccione solo las claves que sean nuevas o hayan sido modificadas por usted. Si no se proporciona ningún keyID, gpg no hace nada.
Tenga cuidado: Los servidores de claves están diseñados para ser sistemas de escritura única y, por lo tanto, no es posible eliminar nunca las claves una vez que se han enviado a un servidor de claves.
--export-secret-keys
--export-secret-subkeys
Similar a --export, pero exporta las claves secretas en su lugar. Las claves exportadas se escriben en STDOUT o en el archivo especificado con la opción --output. Este comando se utiliza a menudo junto con la opción --armor para facilitar la impresión de la clave para realizar una copia de seguridad en papel; sin embargo, la herramienta externa paperkey hace un mejor trabajo al crear copias de seguridad en papel. Tenga en cuenta que la exportación de una clave secreta puede ser un riesgo para la seguridad si las claves exportadas se envían a través de un canal inseguro.
La segunda forma del comando tiene la propiedad especial de volver inútil la parte secreta de la clave primaria; esta es una extensión GNU de OpenPGP y no se puede esperar que otras implementaciones importen dicha clave correctamente. Su uso previsto es generar una clave completa con una clave secundaria de firma adicional en una máquina dedicada. Este comando luego exporta la clave sin la clave primaria a la máquina principal.
GnuPG puede solicitarle que ingrese la frase de contraseña de la clave. Esto es necesario porque el método de protección interna de la clave secreta es diferente del especificado por el protocolo OpenPGP.
--export-ssh-key
Este comando se utiliza para exportar una clave en el formato de clave pública OpenSSH. Requiere la especificación de una clave por los medios habituales y exporta la última subclave válida que tiene una capacidad de autenticación a STDOUT o al archivo especificado con la opción --output. Ese resultado se puede agregar directamente al archivo 'authorized_key' de ssh.
Al especificar la clave que se va a exportar utilizando un ID de clave o una huella digital seguido de un signo de exclamación (!), se puede exportar una subclave específica o la clave primaria. Esto ni siquiera requiere que la clave tenga el indicador de capacidad de autenticación establecido.
--import
--fast-import
Importar/fusionar claves. Esto agrega las claves dadas al anillo de claves. La versión rápida es actualmente solo un sinónimo.
Existen otras opciones que controlan cómo funciona este comando. Lo más notable aquí es la opción --import-options merge-only, que no inserta nuevas claves, sino que solo realiza la fusión de nuevas firmas, ID de usuario y subclaves.
--receive-keys keyIDs
--recv-keys keyIDs
Importar las claves con los keyIDs dados desde un servidor de claves.
--refresh-keys
Solicitar actualizaciones de un servidor de claves para las claves que ya existen en el anillo de claves local. Esto es útil para actualizar una clave con las últimas firmas, ID de usuario, etc. Llamar a esto sin ningún argumento actualizará todo el anillo de claves.
--search-keys names
Buscar en el servidor de claves los nombres dados. Múltiples nombres dados aquí se unirán para crear la cadena de búsqueda para el servidor de claves. Tenga en cuenta que los servidores de claves buscan nombres de una manera diferente y más simple que gpg. La mejor opción es usar una dirección de correo electrónico. Debido a razones de privacidad de datos, los servidores de claves pueden incluso no permitir la búsqueda por ID de usuario o dirección de correo electrónico y, por lo tanto, solo pueden devolver resultados cuando se utilizan con el comando --recv-key para buscar por huella digital o ID de clave.
--fetch-keys URIs
Recupera las claves ubicadas en los URIs especificados. Tenga en cuenta que diferentes instalaciones de GnuPG pueden admitir diferentes protocolos (HTTP, FTP, LDAP, etc.). Al utilizar HTTPS, se utilizan los certificados raíz proporcionados por el sistema con este comando.
--update-trustdb
Realiza el mantenimiento de la base de datos de confianza. Este comando itera sobre todas las claves y construye la Red de Confianza. Este es un comando interactivo porque puede tener que preguntar por los valores de "ownertrust" para las claves. El usuario debe proporcionar una estimación de cuán de confianza es el propietario de la clave mostrada para certificar (firmar) otras claves. GnuPG solo solicita el valor de "ownertrust" si aún no se ha asignado a una clave. Utilizando el menú --edit-key, el valor asignado se puede cambiar en cualquier momento.
--check-trustdb
Realiza el mantenimiento de la base de datos de confianza sin interacción del usuario. De vez en cuando, la base de datos de confianza debe actualizarse para que se puedan rastrear las claves o firmas caducadas y los cambios resultantes en la Red de Confianza. Normalmente, GnuPG calculará cuándo es necesario hacerlo y lo hará automáticamente a menos que se establezca --no-auto-check-trustdb. Este comando se puede utilizar para forzar una comprobación de la base de datos de confianza en cualquier momento. El procesamiento es idéntico al de --update-trustdb, pero omite las claves con un "ownertrust" que aún no se ha definido.
Para su uso con trabajos cron, este comando se puede utilizar junto con --batch, en cuyo caso la comprobación de la base de datos de confianza se realiza solo si es necesario. Para forzar una ejecución incluso en modo por lotes, agregue la opción --yes.
--export-ownertrust
Envía los valores de "ownertrust" a STDOUT. Esto es útil para fines de copia de seguridad, ya que estos son los únicos valores que no se pueden recrear a partir de una base de datos de confianza dañada. Ejemplo: gpg --export-ownertrust > otrust.txt
--import-ownertrust
Actualiza la base de datos de confianza con los valores de "ownertrust" almacenados en archivos (o STDIN si no se proporciona); los valores existentes se sobrescribirán. En caso de una base de datos de confianza gravemente dañada y si tiene una copia de seguridad reciente de los valores de "ownertrust" (por ejemplo, en el archivo ‘otrust.txt’), puede recrear la base de datos de confianza utilizando estos comandos: cd ~/.gnupg rm trustdb.gpg gpg --import-ownertrust < otrust.txt
--rebuild-keydb-caches
Al actualizar desde la versión 1.0.6 a la 1.0.7, este comando debe utilizarse para crear cachés de firmas en el llavero. También podría ser útil en otras situaciones.
--print-md algo
--print-mds
Imprime el resumen del mensaje del algoritmo "algo" para todos los archivos o STDIN dados. Con la segunda forma (o un "*" obsoleto para "algo"), se imprimen los resúmenes para todos los algoritmos disponibles.
--gen-random 0|1|2|16|30 count
Emite "count" bytes aleatorios del nivel de calidad 0, 1 o 2 dados. Si "count" no se proporciona o es cero, se emitirá una secuencia infinita de bytes aleatorios. Si se utiliza con --armor, la salida se codificará en Base64. El nivel especial 16 utiliza un nivel de calidad de 1 y genera una secuencia infinita de octetos codificados en hexadecimal. El nivel especial 30 genera aleatoriamente 30 caracteres zBase-32.
--gen-prime mode bits
Usa el código fuente, Luke :-). El formato de salida puede cambiar con cualquier versión.
--enarmor
--dearmor
Empaqueta o desempaqueta una entrada arbitraria en/desde un formato ASCII OpenPGP. Esta es una extensión de GnuPG a OpenPGP y, en general, no es muy útil. El comando --dearmor también se puede usar para desempaquetar formatos PEM.
--unwrap
Esta opción modifica el comando --decrypt para que muestre el mensaje original con la capa de cifrado eliminada. Por lo tanto, la salida será una estructura de datos OpenPGP, que a menudo significa un mensaje OpenPGP firmado. Tenga en cuenta que esta opción puede o no eliminar una capa de compresión que a menudo se encuentra debajo de la capa de cifrado.
--tofu-policy {auto|good|unknown|bad|ask} keys
Establece la política TOFU para todos los enlaces asociados con las claves especificadas. Para obtener más información sobre el significado de las políticas, consulte: [trust-model-tofu]. Las claves se pueden especificar ya sea por su huella digital (preferido) o su ID de clave.
Cómo administrar sus claves
Esta sección explica los comandos principales para la administración de claves.
--quick-generate-key user-id [algo [usage [expire]]]
--quick-gen-key
Este es un comando simple para generar una clave estándar con un ID de usuario. En contraste con --generate-key, la clave se genera directamente sin necesidad de responder a una serie de preguntas. A menos que se proporcione la opción --yes, la creación de la clave se cancelará si el ID de usuario dado ya existe en el anillo de claves.
Si se invoca directamente en la consola sin opciones especiales, se requiere una respuesta a una pregunta de confirmación de tipo "¿Continuar?". En caso de que el ID de usuario ya exista en el anillo de claves, aparecerá una segunda pregunta para forzar la creación de la clave.
Si se proporcionan algo o usage, solo se crea la clave primaria y no se muestran preguntas. Para especificar una fecha de vencimiento pero aún crear una clave primaria y una subclave, use "default" o "future-default" para algo y "default" para usage. Para obtener una descripción de estos argumentos opcionales, consulte el comando --quick-add-key. El argumento usage también acepta el valor "cert" que se puede usar para crear una clave primaria solo para certificación; el valor predeterminado es crear una clave para certificación y firma.
El argumento expire se puede usar para especificar una fecha de vencimiento para la clave. Se admiten varios formatos; comúnmente se utilizan los formatos ISO "YYYY-MM-DD" o "YYYYMMDDThhmmss". Para hacer que la clave caduque en N segundos, N días, N semanas, N meses o N años, use "seconds=N", "Nd", "Nw", "Nm" o "Ny", respectivamente. No especificar un valor o usar "-" da como resultado una clave que caduca en un intervalo predeterminado razonable. Los valores "never", "none" se pueden usar para que no haya fecha de vencimiento.
Si este comando se usa con --batch, --pinentry-mode se ha establecido en loopback y se usa una de las opciones de frase de contraseña (--passphrase, --passphrase-fd o --passphrase-file), la frase de contraseña proporcionada se usa para la nueva clave y el agente no la solicita. Para crear una clave sin ninguna protección, se puede usar --passphrase "".
Para crear una clave OpenPGP a partir de las claves disponibles en la tarjeta inteligente insertada, se puede utilizar la cadena especial `card'' para el parámetroalgo. Si la tarjeta inteligente tiene una clave de cifrado y una clave de firma, gpg las identificará y creará una clave OpenPGP que consistirá en la clave primaria habitual y una subclave. Esto solo funciona con ciertas tarjetas inteligentes. Tenga en cuenta que el comando interactivo--full-gen-key` permite hacer lo mismo pero con mayor flexibilidad en la selección de las claves de la tarjeta inteligente.
Tenga en cuenta que es posible crear una clave primaria y una subclave utilizando algoritmos no predeterminados mediante el uso de `default'' y la modificación de los parámetros predeterminados mediante la opción--default-new-key-algo`.
--quick-set-expire fpr expire [*|subfprs]
Con dos argumentos dados, se establece directamente la fecha de caducidad de la clave primaria identificada por fpr para que caduque. Para eliminar la fecha de caducidad, se puede utilizar 0. Con tres argumentos y el tercer argumento dado como un asterisco, la fecha de caducidad de todas las subclaves no revocadas y que aún no han caducado se establece para que caduquen. Con más de dos argumentos y una lista de huellas digitales dadas para subfprs, todas las subclaves no revocadas que coincidan con estas huellas digitales se establecerán para que caduquen.
--quick-add-key fpr [algo [usage [expire]]]
Agrega directamente una subclave a la clave identificada por la huella digital fpr. Sin los argumentos opcionales, se agrega una subclave de cifrado. Si se proporciona alguno de los argumentos, se agrega una subclave más específica.
^ lgo puede ser cualquiera de los algoritmos o nombres de curvas admitidos dados en el formato utilizado por los listados de claves. Para utilizar el algoritmo predeterminado, se puede utilizar la cadena default'' o-''. Los algoritmos admitidos son rsa'',dsa'', elg'',ed25519'', cv25519'' y otras curvas ECC. Por ejemplo, la cadenarsa'' agrega una clave RSA con la longitud de clave predeterminada; la cadena rsa4096'' solicita que la longitud de la clave sea de 4096 bits. La cadenafuture-default'' es un alias del algoritmo que probablemente se utilizará como algoritmo predeterminado en futuras versiones de gpg. Para enumerar las curvas ECC admitidas, se puede utilizar el comando gpg --with-colons --list-config curve.
Dependiendo del algo dado, la subclave puede ser una subclave de cifrado o una subclave de firma. Si un algoritmo es capaz de firmar y cifrar y se desea una subclave de este tipo, se debe proporcionar una cadena de uso. Esta cadena es default'' o-'' para mantener el valor predeterminado, o una lista delimitada por comas (o una lista delimitada por espacios) de palabras clave: sign'' para una subclave de firma,auth'' para una subclave de autenticación y encr'' para una subclave de cifrado (se puede utilizarencrypt'' como alias de ``encr''). Las combinaciones válidas dependen del algoritmo.
El argumento expire se puede utilizar para especificar una fecha de caducidad para la clave. Se admiten varios formatos; comúnmente se utilizan los formatos ISO YYYY-MM-DD'' oYYYYMMDDThhmmss''. Para hacer que la clave caduque en N segundos, N días, N semanas, N meses o N años, utilice seconds=N'',Nd'', Nw'',Nm'' o Ny'' respectivamente. No especificar un valor, o utilizar-'', da como resultado una clave que caduca en un intervalo predeterminado razonable. Los valores never'' ynone'' se pueden utilizar para indicar que no hay fecha de caducidad.
--quick-add-adsk fpr adskfpr
Agrega directamente una Subclave de Desencriptación Adicional a la clave identificada por la huella digital fpr. adskfpr es la huella digital de la subclave de encriptación de otra clave. Una subclave se usa comúnmente aquí porque, por defecto, una clave primaria no tiene capacidad de encriptación. Use la opción --with-subkey-fingerprint con un comando de lista para mostrar las huellas digitales de las subclaves. Si la cadena "default" se usa para adskfpr, se agregarán todas las ADSK faltantes configuradas con --default-new-key-adsk.
--generate-key
--gen-key
Genera un nuevo par de claves utilizando los parámetros predeterminados actuales. Este es el comando estándar para crear una nueva clave. Además de la clave, se crea un certificado de revocación y se almacena en el directorio 'openpgp-revocs.d' debajo del directorio de inicio de GnuPG.
--full-generate-key
--full-gen-key
Genera un nuevo par de claves con diálogos para todas las opciones. Esta es una versión extendida de --generate-key.
También existe una función que permite crear claves en modo por lotes. Consulte la sección del manual "Generación de claves desatendida" para obtener información sobre cómo usarla.
--generate-revocation name
--gen-revoke name
Genera un certificado de revocación para la clave completa. Para revocar solo una subclave o una firma de clave, use el comando --edit.
Este comando simplemente crea el certificado de revocación para que pueda usarse para revocar la clave si alguna vez es necesario. Para revocar realmente una clave, el certificado de revocación creado debe fusionarse con la clave que se va a revocar. Esto se hace importando el certificado de revocación usando el comando --import. Luego, la clave revocada debe publicarse, lo cual se hace mejor enviando la clave a un servidor de claves (comando --send-key) y exportándola (--export) a un archivo que luego se envía a los contactos frecuentes.
--generate-designated-revocation name
--desig-revoke name
Genera un certificado de revocación designado para una clave. Esto permite a un usuario (con el permiso del titular de la clave) revocar la clave de otra persona.
--edit-key
Presenta un menú que le permite realizar la mayoría de las tareas relacionadas con la administración de claves. Espera la especificación de una clave en la línea de comandos.
uid n Alterna la selección de la ID de usuario o la ID de usuario fotográfica con el índice n. Use * para
seleccionar todo y 0 para deseleccionar todo.
key n Alterna la selección de la subclave con el índice n o la ID de clave n. Use * para seleccionar todo y 0 para
deseleccionar todo.
sign Crea una firma en la clave del nombre de usuario. Si la clave aún no está firmada por el
usuario predeterminado (o los usuarios especificados con -u), el programa muestra la información de la clave
nuevamente, junto con su huella digital y pregunta si debe firmarse. Esta
pregunta se repite para todos los usuarios especificados con -u.
lsign Igual que "sign", pero la firma se marca como no exportable y, por lo tanto, nunca se utilizará por otros. Esto se puede utilizar para hacer que las claves solo sean válidas en el entorno local.
nrsign Igual que "sign", pero la firma se marca como no revocable y, por lo tanto, nunca se podrá revocar.
tsign Crea una firma de confianza. Esta es una firma que combina las nociones de certificación (como una firma normal) y confianza (como el comando "trust"). Generalmente, es útil en comunidades o grupos distintos para implementar el concepto de un Introductor de confianza. Para obtener más información, lea las secciones "Firma de confianza" y "Expresión regular" en RFC-4880.
Tenga en cuenta que "l" (para local/no exportable), "nr" (para no revocable) y "t" (para confianza) se pueden combinar libremente y anteponer a "sign" para crear una firma del tipo deseado.
Si se especifica la opción --only-sign-text-ids, entonces cualquier ID de usuario que no se base en texto (por ejemplo, ID de foto) no se seleccionará para la firma.
delsig Elimina una firma. Tenga en cuenta que no es posible retractar una firma una vez que se ha enviado al público (es decir, a un servidor de claves). En ese caso, es mejor utilizar revsig.
revsig Revoca una firma. Para cada firma que haya sido generada por una de las claves privadas, GnuPG pregunta si se debe generar un certificado de revocación.
check Verifica las firmas de todos los ID de usuario seleccionados. Con la opción adicional selfsig, solo se muestran las autofirmas.
adduid Crea un ID de usuario adicional.
addphoto Crea un ID de usuario fotográfico. Esto solicitará un archivo JPEG que se incrustará en el ID de usuario. Tenga en cuenta que un JPEG muy grande dará como resultado una clave muy grande. Además, tenga en cuenta que algunos programas mostrarán su JPEG sin cambios (GnuPG) y algunos programas lo escalarán para que quepa en una ventana de diálogo (PGP).
showphoto Muestra el ID de usuario fotográfico seleccionado.
deluid Elimina un ID de usuario o un ID de usuario fotográfico. Tenga en cuenta que no es posible retractar un ID de usuario una vez que se ha enviado al público (es decir, a un servidor de claves). En ese caso, es mejor utilizar revuid.
revuid Revoca un ID de usuario o un ID de usuario fotográfico.
primary Marca el ID de usuario actual como el principal, elimina la marca de ID de usuario principal de todos los demás ID de usuario y establece la marca de tiempo de todas las autofirmas afectadas un segundo por delante. Tenga en cuenta que establecer un ID de usuario de foto como principal lo convierte en el principal sobre otros ID de usuario de foto, y establecer un ID de usuario regular como principal lo convierte en el principal sobre otros ID de usuario regulares.
keyserver Establece un servidor de claves preferido para el ID de usuario o los ID de usuario especificados. Esto permite que otros usuarios sepan de dónde prefiere que obtengan su clave. Consulte --keyserver-options honor-keyserver-url para obtener más información sobre cómo funciona esto. Establecer un valor de "none" elimina un servidor de claves preferido existente.
notation Establece una notación name=value para el ID de usuario o los ID de usuario especificados. Consulte --cert-notation para obtener más información sobre cómo funciona esto. Establecer un valor de "none" elimina todas las notaciones, establecer una notación prefijada con un signo menos (-) elimina esa notación y establecer un nombre de notación (sin el =value) prefijado con un signo menos elimina todas las notaciones con ese nombre.
pref Lista las preferencias del ID de usuario seleccionado. Esto muestra las preferencias reales, sin incluir las preferencias implícitas.
showpref
Listado de preferencias más detallado para el ID de usuario seleccionado. Muestra las preferencias en efecto, incluyendo las preferencias implícitas de 3DES (cifra), SHA-1 (digest) y Sin comprimir (compresión) si no están ya incluidas en la lista de preferencias. Además, se muestra el servidor de claves preferido y las notaciones de firma (si las hay).
setpref string
Establece la lista de preferencias de ID de usuario en la cadena para todos los ID de usuario (o solo los seleccionados). Llamar a setpref sin argumentos establece la lista de preferencias en el valor predeterminado (ya sea integrado o establecido a través de --default-preference-list), y llamar a setpref con "none" como argumento establece una lista de preferencias vacía. Use gpg --version para obtener una lista de algoritmos disponibles. Tenga en cuenta que, si bien puede cambiar las preferencias en un ID de usuario de atributo (también conocido como "ID de foto"), GnuPG no selecciona las claves a través de ID de usuario de atributo, por lo que estas preferencias no serán utilizadas por GnuPG. Tenga en cuenta que existe una versión desatendida de este comando disponible como --quick-update-pref.
Al establecer preferencias, debe listar los algoritmos en el orden en que le gustaría que los utilice otra persona al cifrar un mensaje a su clave. Si no incluye 3DES, se agregará automáticamente al final. Tenga en cuenta que hay muchos factores que influyen en la elección de un algoritmo (por ejemplo, es posible que su clave no sea el único destinatario), y por lo tanto, la aplicación OpenPGP remota que se utiliza para enviarle mensajes puede o no seguir exactamente el orden elegido para un mensaje determinado. Sin embargo, solo elegirá un algoritmo que esté presente en la lista de preferencias de todas las claves de destinatario. Consulte también la sección INTEROPERABILIDAD CON OTROS PROGRAMAS OPENPGP a continuación.
addkey Agrega una subclave a esta clave.
addcardkey
Genera una subclave en una tarjeta y la agrega a esta clave.
keytocard
Transfiere la subclave secreta seleccionada (o la clave principal si no se ha seleccionado ninguna subclave) a una tarjeta inteligente. La clave secreta en el anillo de claves se reemplazará por un marcador de posición si la clave se puede almacenar correctamente en la tarjeta y luego utiliza el comando guardar. Solo ciertos tipos de clave se pueden transferir a la tarjeta. Un submenú le permite seleccionar en qué tarjeta almacenar la clave. Tenga en cuenta que no es posible recuperar esa clave de la tarjeta; si la tarjeta se daña, su clave secreta se perderá a menos que tenga una copia de seguridad en algún lugar.
bkuptocard file
Restaura el archivo dado a una tarjeta. Este comando se puede utilizar para restaurar una clave de copia de seguridad (como se genera durante la inicialización de la tarjeta) en una nueva tarjeta. En casi todos los casos, esta será la clave de cifrado. Solo debe utilizar este comando con la clave pública correspondiente y asegurarse de que el archivo dado como argumento sea realmente la copia de seguridad que se va a restaurar. Luego deberá seleccionar 2 para restaurar como clave de cifrado. Primero se le pedirá que ingrese la frase de contraseña de la clave de copia de seguridad y luego el PIN de administrador de la tarjeta.
keytotpm
Transfiere la subclave secreta seleccionada (o la clave primaria si no se ha seleccionado ninguna subclave) al formato TPM. La clave secreta en el llavero se reemplazará por la representación TPM de esa clave, que solo puede ser leída por el TPM específico que la creó (por lo tanto, el archivo de clave ahora se bloquea al portátil que contiene el TPM). Solo ciertos tipos de clave pueden transferirse al TPM (todos los sistemas TPM 2.0 deben tener los algoritmos rsa2048 y nistp256, pero los TPM más nuevos pueden tener más). Tenga en cuenta que la clave en sí no se transfiere al TPM, sino que simplemente se cifra en el TPM, por lo que si se elimina el archivo de clave, la clave se perderá. Una vez transferida a la representación TPM, el archivo de clave nunca podrá volver a convertirse al formato no TPM y la clave dejará de funcionar cuando falle el TPM, por lo que primero debe realizar una copia de seguridad en un almacenamiento seguro fuera de línea del archivo de clave secreto real antes de la conversión. Es esencial utilizar el sistema TPM físico en el que tiene permiso de lectura y escritura en el dispositivo administrador de recursos TPM (/dev/tpmrm0). Por lo general, esto significa que debe ser miembro del grupo tss.
delkey
Elimina una subclave (clave secundaria). Tenga en cuenta que no es posible revocar una subclave una vez que se ha enviado al público (es decir, a un servidor de claves). En ese caso, es mejor utilizar revkey. Tenga en cuenta también que esto solo elimina la parte pública de una clave.
revkey
Revoca una subclave.
expire
Cambia la hora de caducidad de la clave o subclave. Si se selecciona una subclave, se cambiará la hora de caducidad de esta subclave. Si no se realiza ninguna selección, se cambiará la hora de caducidad de la clave primaria.
trust
Cambia el valor de confianza del propietario para la clave. Esto actualiza la base de datos de confianza inmediatamente y no se requiere guardar.
disable
enable
Desactiva o activa una clave completa. Una clave desactivada no se puede utilizar normalmente para el cifrado.
addrevoker
Añade un revocador designado a la clave. Esto acepta un argumento opcional: "sensitive". Si se marca un revocador designado como confidencial, no se exportará de forma predeterminada (consulte las opciones de exportación).
addadsk
Añade una subclave de descifrado adicional. Se le pedirá al usuario que introduzca la huella digital de otra subclave de cifrado. Tenga en cuenta que se debe introducir la huella digital exacta de la subclave de cifrado de otra clave. Esto se debe a que, normalmente, la clave primaria no tiene capacidad de cifrado. Utilice la opción --with-subkey-fingerprint con una lista de comandos para mostrar las huellas digitales de las subclaves.
passwd
Cambia la frase de contraseña de la clave secreta.
toggle
Este es un comando ficticio que existe solo para la compatibilidad con versiones anteriores.
clean
Compacta (eliminando todas las firmas excepto la firma propia) cualquier ID de usuario que ya no se pueda utilizar (por ejemplo, revocado o caducado). A continuación, elimina cualquier firma que no se pueda utilizar para los cálculos de confianza. Específicamente, esto elimina cualquier firma que no se valide, cualquier firma que sea superada por una firma posterior, las firmas revocadas y las firmas emitidas por claves que no están presentes en el llavero.
minimize
Hacer la clave lo más pequeña posible. Esto elimina todas las firmas de cada ID de usuario excepto la autofirma más reciente.
change-usage
Cambiar las banderas de uso (capacidades) de la clave primaria o de las subclaves. Estas banderas de uso (p. ej. Certify, Sign, Authenticate, Encrypt) se establecen durante la creación de la clave. A veces es útil tener la oportunidad de cambiarlas (por ejemplo, para añadir Authenticate) después de haber sido creadas. Tenga cuidado al hacer esto; las banderas de uso permitidas dependen del algoritmo de la clave.
cross-certify
Añadir firmas de certificación cruzada a las subclaves de firma que actualmente puedan no tenerlas. Las firmas de certificación cruzada protegen contra un ataque sutil contra las subclaves de firma. Consulte --require-cross-certification. Todas las claves nuevas generadas tienen esta firma por defecto, por lo que este comando solo es útil para actualizar claves antiguas.
save Guardar todos los cambios en el anillo de claves y salir.
quit Salir del programa sin actualizar el anillo de claves.
La lista le muestra la clave con sus claves secundarias y todos los IDs de usuario. El ID de usuario primario se indica con un punto, y las claves o IDs de usuario seleccionados se indican con un asterisco. El valor de confianza se muestra con la clave primaria: "trust" es la confianza del propietario asignada y "validity" es la validez calculada de la clave. Los valores de validez también se muestran para todos los IDs de usuario. Para los posibles valores de confianza, consulte: [trust-values].
--sign-key name
Firma una clave pública con su clave secreta. Esta es una versión abreviada del subcomando "sign" de --edit-key.
--lsign-key name
Firma una clave pública con su clave secreta pero la marca como no exportable. Esta es una versión abreviada del subcomando "lsign" de --edit-key.
--quick-sign-key fpr [names]
--quick-lsign-key fpr [names]
Firmar directamente una clave desde la frase de contraseña sin más interacción del usuario. La fpr debe ser la huella digital primaria verificada de una clave en el anillo de claves local. Si no se dan nombres, se firman todos los IDs de usuario útiles; con [names] dados, solo se firman los IDs de usuario útiles que coincidan con uno de estos nombres. Por defecto, o si un nombre tiene el prefijo '*', se usa una coincidencia de subcadena sin distinción entre mayúsculas y minúsculas. Si un nombre tiene el prefijo '=', se realiza una coincidencia exacta con distinción entre mayúsculas y minúsculas.
El comando --quick-lsign-key marca las firmas como no exportables. Si dicha firma no exportable ya existe, el comando --quick-sign-key la convierte en una firma exportable. Si necesita actualizar una firma existente, por ejemplo para añadir o cambiar datos de notación, necesita usar la opción --force-sign-key.
Este comando utiliza valores predeterminados razonables y, por lo tanto, no proporciona la flexibilidad completa del subcomando "sign" de --edit-key. Su uso previsto es ayudar en la firma de claves desatendida mediante el uso de una lista de huellas dactilares verificadas.
--quick-add-uid user-id new-user-id
Este comando agrega un nuevo ID de usuario a una clave existente. En contraste con el subcomando interactivo adduid de --edit-key, el new-user-id se agrega literalmente, eliminando solo los espacios en blanco iniciales y finales. Se espera que esté codificado en UTF-8 y no se aplican comprobaciones sobre su formato.
--quick-revoke-uid user-id user-id-to-revoke
Este comando revoca un ID de usuario en una clave existente. No se puede usar para revocar el último ID de usuario en una clave (debe permanecer al menos un ID de usuario no revocado), y la razón de la revocación es "El ID de usuario ya no es válido". Si desea especificar una razón de revocación diferente o proporcionar texto de revocación adicional, debe usar el subcomando interactivo revuid de --edit-key.
--quick-revoke-sig fpr signing-fpr [names]
Este comando revoca las firmas de clave realizadas por signing-fpr de la clave especificada por la huella dactilar fpr. Si se proporcionan nombres, solo se ven afectadas las firmas en los ID de usuario de la clave que coincidan con cualquiera de los nombres dados (vea --quick-sign-key). Si ya existe una revocación, se imprime un aviso en lugar de crear una nueva; no se devuelve ningún error en este caso. Tenga en cuenta que las revocaciones de firmas de clave pueden ser reemplazadas por una firma de clave más reciente y, a su vez, revocadas nuevamente.
--quick-set-primary-uid user-id primary-user-id
Este comando establece o actualiza la marca de ID de usuario principal en una clave existente. user-id especifica la clave y primary-user-id el ID de usuario que se marcará como el ID de usuario principal. La marca de ID de usuario principal se elimina de todos los demás ID de usuario y la marca de tiempo de todas las firmas de clave afectadas se establece un segundo por delante.
--quick-update-pref user-id
Este comando actualiza la lista de preferencias de la clave al valor predeterminado actual (ya sea integrado o establecido a través de --default-preference-list). Esta es la versión desatendida de usar "setpref" en el menú --key-edit sin proporcionar una lista. Tenga en cuenta que puede mostrar las preferencias en una lista de claves utilizando --list-options show-pref o --list-options show-pref-verbose. También debe redistribuir las claves actualizadas a sus pares.
--quick-set-ownertrust user-id value
Este comando establece la confianza del propietario de una clave y también se puede utilizar para establecer la marca de deshabilitación de una clave. Esta es la versión desatendida de usar "trust", "disable" o "enable" en el menú --key-edit.
--change-passphrase user-id
--passwd user-id
Cambia la frase de contraseña de la clave secreta que pertenece al certificado especificado como user-id. Este es un acceso directo para el subcomando passwd del menú --edit-key. Al usarlo junto con la opción --dry-run, esto no cambiará realmente la frase de contraseña, pero verificará que la frase de contraseña actual sea correcta.
OPCIONES
gpg tiene una gran cantidad de opciones para controlar el comportamiento exacto y cambiar la configuración predeterminada.
Las opciones largas se pueden colocar en un archivo de opciones (el valor predeterminado es "\~/.gnupg/gpg.conf"). Los nombres de opción cortos no funcionarán; por ejemplo, "armor" es una opción válida para el archivo de opciones, mientras que "a" no lo es. No escriba los dos guiones, sino simplemente el nombre de la opción y cualquier argumento requerido. Las líneas que comienzan con un símbolo de hash ('#') se ignoran. Los comandos también se pueden colocar en este archivo, pero esto no suele ser útil, ya que el comando se ejecutará automáticamente con cada ejecución de gpg.
Recuerde que el análisis de opciones se detiene tan pronto como se encuentra una opción no válida; puede detener explícitamente el análisis utilizando la opción especial --.
Cómo cambiar la configuración
Estas opciones se utilizan para cambiar la configuración y la mayoría de ellas se encuentran normalmente en el archivo de opciones.
--default-key nombre
Utilice "nombre" como clave predeterminada para firmar. Se sugiere utilizar una huella digital o, al menos, un ID de clave largo para "nombre". Si no se utiliza esta opción, la clave predeterminada es la primera clave que se encuentra en el anillo de claves secretas. Tenga en cuenta que -u o --local-user anulan esta opción. Esta opción se puede especificar varias veces. En este caso, se utiliza la última clave para la que haya una clave secreta disponible. Si no hay ninguna clave secreta disponible para ninguno de los valores especificados, GnuPG no mostrará un mensaje de error, sino que continuará como si esta opción no se hubiera especificado.
--default-recipient nombre
Utilice "nombre" como destinatario predeterminado si no se utiliza la opción --recipient y no pregunte si es válido. "nombre" debe ser no vacío y se sugiere utilizar una huella digital para "nombre".
--default-recipient-self
Utilice la clave predeterminada como destinatario predeterminado si no se utiliza la opción --recipient y no pregunte si es válida. La clave predeterminada es la primera del anillo de claves secretas o la establecida con --default-key.
--no-default-recipient
Restablece --default-recipient y --default-recipient-self. No debe utilizarse en un archivo de opciones.
-v, --verbose
Proporcione más información durante el procesamiento. Si se utiliza dos veces, los datos de entrada se muestran en detalle.
--no-verbose
Restablece el nivel de verbosidad a 0. No debe utilizarse en un archivo de opciones.
-q, --quiet
Intente ser lo más silencioso posible. No debe utilizarse en un archivo de opciones.
--batch
--no-batch
Utilice el modo por lotes. Nunca pregunte, no permita comandos interactivos. --no-batch deshabilita esta opción. Tenga en cuenta que, incluso con un nombre de archivo especificado en la línea de comandos, gpg podría seguir necesitando leer desde STDIN (en particular si gpg determina que la entrada es una firma separada y no se ha especificado ningún archivo de datos). Por lo tanto, si no desea proporcionar datos a través de STDIN, debe conectar STDIN a '/dev/null'.
Se recomienda encarecidamente utilizar esta opción junto con las opciones --status-fd y --with-colons para cualquier uso no supervisado de gpg. No debe utilizarse en un archivo de opciones.
--no-tty
Asegúrese de que la TTY (terminal) nunca se utilice para ninguna salida. Esta opción es necesaria en algunos casos porque GnuPG a veces imprime advertencias en la TTY, incluso si se utiliza --batch.
--yes Asume "sí" para la mayoría de las preguntas. No debe utilizarse en un archivo de opciones.
--no Asume "no" para la mayoría de las preguntas. No debe utilizarse en un archivo de opciones.
--proc-all-sigs
Esta opción anula el comportamiento de la opción --batch para detener la verificación de firmas en la primera firma incorrecta.
--list-filter {select=expr}
Un filtro de lista se puede utilizar para mostrar solo ciertas claves durante los comandos de listado de claves. Para las propiedades disponibles, consulte la descripción de --import-filter.
--list-options parameters
Esta es una cadena delimitada por espacios o comas que proporciona opciones que se utilizan al listar claves y firmas (es decir, --list-keys, --check-signatures, --list-public-keys, --list-secret-keys y las funciones --edit-key). Las opciones se pueden preceder con un no- (después de los dos guiones) para dar el significado opuesto. Las opciones son:
show-photos
Hace que --list-keys, --check-signatures, --list-public-keys y --list-secret-keys muestren cualquier ID de foto adjunto a la clave. Por defecto es no. Consulte también --photo-viewer. No funciona con --with-colons: consulte --attribute-fd para la forma adecuada de obtener datos de fotos para scripts y otras interfaces.
show-usage
Muestra información de uso para claves y subclaves en el listado estándar de claves. Esta es una lista de letras que indican el uso permitido para una clave (E=cifrado, S=firma, C=certificación, A=autenticación). Por defecto es sí.
show-ownertrust
Muestra el valor ownertrust para las claves también en el listado estándar de claves. Por defecto es no.
show-policy-urls
Muestra las URL de la política en los listados de --check-signatures. Por defecto es no.
show-notations
show-std-notations
show-user-notations
Muestra todas, las anotaciones estándar IETF o las anotaciones definidas por el usuario en los listados de --check-signatures. Por defecto es no.
show-keyserver-urls
Muestra cualquier URL de servidor de claves preferida en los listados de --check-signatures. Por defecto es no.
show-uid-validity
Muestra la validez calculada de los ID de usuario durante los listados de claves. Por defecto es sí.
show-unusable-uids
Muestra los ID de usuario revocados y caducados en los listados de claves. Por defecto es no.
show-unusable-subkeys
Muestra las subclaves revocadas y caducadas en los listados de claves. Por defecto es no.
show-unusable-sigs
Muestra las firmas de clave realizadas con algoritmos débiles o no admitidos.
show-keyring
Muestra el nombre del llavero al principio de los listados de claves para mostrar a qué llavero pertenece una clave determinada. Por defecto es no.
show-sig-expire
Muestra las fechas de caducidad de las firmas (si las hay) durante los listados de --check-signatures. Por defecto es no.
show-sig-subpackets
Incluye los subpaquetes de firma en el listado de claves. Esta opción puede tomar un argumento opcional que es una lista de los subpaquetes que se van a listar. Si no se pasa ningún argumento, se listan todos los subpaquetes. Por defecto es no. Esta opción solo tiene sentido cuando se utiliza --with-colons junto con --check-signatures.
show-only-fpr-mbox
Para cada ID de usuario que tiene una dirección de correo electrónico válida, muestra solo la huella digital seguida de la dirección de correo electrónico.
sort-sigs
Con las opciones --list-sigs y --check-sigs, ordene las firmas por keyID y hora de creación para facilitar la visualización del historial de estas firmas. La autofirma también se enumera antes que otras firmas. El valor predeterminado es sí. Esta opción no tiene efecto en el modo -with-colons.
--verify-options parameters
Esta es una cadena delimitada por espacios o comas que proporciona las opciones que se utilizan al verificar las firmas. Las opciones pueden ir precedidas de `no-' para dar el significado opuesto. Las opciones son:
show-photos
Muestre cualquier ID de foto presente en la clave que emitió la firma. El valor predeterminado es no. Consulte también --photo-viewer.
show-policy-urls
Muestre las URL de políticas en la firma que se está verificando. El valor predeterminado es sí.
show-notations
show-std-notations
show-user-notations
Muestre todas, las anotaciones de firma estándar IETF o las anotaciones definidas por el usuario en la firma que se está verificando. El valor predeterminado es el estándar IETF.
show-keyserver-urls
Muestre cualquier URL de servidor de claves preferida en la firma que se está verificando. El valor predeterminado es sí.
show-uid-validity
Muestre la validez calculada de los ID de usuario en la clave que emitió la firma. El valor predeterminado es sí.
show-unusable-uids
Muestre los ID de usuario revocados y caducados durante la verificación de la firma. El valor predeterminado es no.
show-primary-uid-only
Muestre solo el ID de usuario primario durante la verificación de la firma. Es decir, no se muestran todas las líneas AKA ni los ID de fotos con el estado de verificación de la firma.
--enable-large-rsa
--disable-large-rsa
Habilite la creación de claves secretas RSA de hasta 8192 bits. Nota: 8192 bits es más de lo que se recomienda generalmente. Estas claves grandes no mejoran significativamente la seguridad, pero son más costosas de usar y sus firmas y certificaciones son más grandes. Esta opción solo está disponible si el binario se compiló con soporte para large-secmem.
--enable-dsa2
--disable-dsa2
Habilite la truncación de hash para todas las claves DSA, incluso para las claves DSA antiguas de hasta 1024 bits. Esta es también la configuración predeterminada con --openpgp. Tenga en cuenta que las versiones anteriores de GnuPG también requerían esta opción para permitir la generación de DSA mayores de 1024 bits.
--photo-viewer string
Este es el comando que se debe ejecutar para ver un ID de foto. "%i" se expandirá a un nombre de archivo que contiene la foto. "%I" hace lo mismo, excepto que el archivo no se eliminará una vez que el visor se cierre. Otros indicadores son "%k" para el ID de clave, "%K" para el ID de clave largo, "%f" para la huella digital de la clave, "%t" para la extensión del tipo de imagen (por ejemplo, "jpg"), "%T" para el tipo MIME de la imagen (por ejemplo, "image/jpeg"), "%v" para la validez de un solo carácter calculada de la imagen que se está viendo (por ejemplo, "f"), "%V" para la validez calculada como una cadena (por ejemplo, "full"), "%U" para un hash codificado en base32 del ID de usuario y "%%" para un signo de porcentaje real. Si no está presente ni %i ni %I, la foto se proporcionará al visor a través de la entrada estándar.
En Unix, el visor predeterminado es xloadimage -fork -quiet -title 'KeyID 0x%k' STDIN con una alternativa a display -title 'KeyID 0x%k' %i y finalmente a xdg-open %i. En Windows, se utiliza !ShellExecute 400 %i; aquí, el comando es un metaccomando para usar esa llamada a la API seguida de un tiempo de espera en milisegundos, que se utiliza para darle al visor tiempo para leer el archivo de imagen temporal antes de que gpg lo vuelva a eliminar. Tenga en cuenta que si su programa de visor de imágenes no es seguro, entonces ejecutarlo desde gpg no lo hace seguro.
--exec-path string
Establece una lista de directorios para buscar visores de fotos. Si no se proporciona, los visores de fotos utilizan
la variable de entorno PATH.
--keyring file
Agrega el archivo a la lista actual de anillos de claves. Si el archivo comienza con un signo de tilde y una barra, estos
se reemplazan por el directorio $HOME. Si el nombre del archivo no contiene una barra, se asume que se encuentra en el directorio de inicio de GnuPG ("~/.gnupg" a menos que se utilice --homedir o $GNUPGHOME").
Tenga en cuenta que esto agrega un anillo de claves a la lista actual. Si la intención es utilizar el anillo de claves especificado solo, utilice --keyring junto con --no-default-keyring.
Si se ha utilizado la opción --no-keyring, no se utilizará ningún anillo de claves.
Tenga en cuenta que si la opción use-keyboxd está habilitada en ‘common.conf’, no se utilizará ningún anillo de claves
y todas las claves se mantendrán mediante el proceso keyboxd en su propia base de datos.
--primary-keyring file
Esta es una variante de --keyring y designa el archivo como el anillo de claves público principal. Esto
significa que las claves importadas recientemente (a través de --import o keyserver --recv-from) se guardarán en este
anillo de claves.
--secret-keyring file
Esta es una opción obsoleta y se ignora. Todas las claves secretas se almacenan en el directorio ‘private-keys-v1.d’ debajo del directorio de inicio de GnuPG.
--trustdb-name file
Utilice el archivo en lugar de trustdb predeterminado. Si el archivo comienza con un signo de tilde y una barra, estos
se reemplazan por el directorio $HOME. Si el nombre del archivo no contiene una barra, se asume que se encuentra en el directorio de inicio de GnuPG (‘~/.gnupg’ si no se utiliza --homedir o $GNUPGHOME’).
--homedir dir
Establece el nombre del directorio de inicio en dir. Si no se utiliza esta opción, el directorio de inicio
por defecto es ‘~/.gnupg’. Solo se reconoce cuando se proporciona en la línea de comandos. También
anula cualquier directorio de inicio especificado a través de la variable de entorno ‘GNUPGHOME’ o (en
sistemas Windows) mediante la entrada del Registro HKCU\Software\GNU\GnuPG:HomeDir.
En los sistemas Windows, es posible instalar GnuPG como una aplicación portátil. En este
caso, solo se considera esta opción de línea de comandos; se ignoran todas las demás formas de establecer un directorio de inicio.
--display-charset name
Establece el nombre del conjunto de caracteres nativo. Esto se utiliza para convertir algunas cadenas informativas, como los ID de usuario, al formato UTF-8 adecuado. Tenga en cuenta que esto no tiene nada que ver con
el conjunto de caracteres de los datos que se van a cifrar o firmar; GnuPG no vuelve a codificar los datos proporcionados por el usuario. Si no se utiliza esta opción, el conjunto de caracteres predeterminado se determina a partir de la configuración regional actual. Un nivel de verbosidad de 3 muestra el conjunto elegido. Esta opción no debe utilizarse en Windows. Los valores válidos para name son:
iso-8859-1
Este es el conjunto Latin 1.
iso-8859-2
El conjunto Latin 2.
iso-8859-15
Actualmente, este es un alias para el conjunto Latin 1.
koi8-r El conjunto ruso habitual (RFC-1489).
utf-8 Omitir todas las traducciones y asumir que el SO utiliza la codificación UTF-8 nativa.
--utf8-strings
--no-utf8-strings
Asumir que los argumentos de la línea de comandos se proporcionan como cadenas UTF-8. El valor predeterminado (--no-utf8-strings) es asumir que los argumentos están codificados en el conjunto de caracteres especificado por --display-charset. Estas opciones afectan a todos los argumentos siguientes. Ambas opciones pueden utilizarse varias veces. Esta opción no debe utilizarse en un archivo de opciones.
Esta opción no tiene ningún efecto en Windows. Allí, la codificación UTF-8 interna utilizada se traduce para la entrada y salida de la consola. Se espera que los argumentos de la línea de comandos sean Unicode y se traduzcan a UTF-8. Por lo tanto, al llamar a este programa desde otro, asegúrese de utilizar la versión Unicode de CreateProcess.
--options file
Leer las opciones desde el archivo y no intentar leerlas desde el archivo de opciones predeterminado en el directorio de inicio (consulte --homedir). Esta opción se ignora si se utiliza en un archivo de opciones.
--no-options
Atajo para --options /dev/null. Esta opción se detecta antes de cualquier intento de abrir un archivo de opciones. El uso de esta opción también evitará la creación de un directorio ~/.gnupg.
-z n
--compress-level n
--bzip2-compress-level n
--no-compress
Establecer el nivel de compresión en n para los algoritmos de compresión ZIP y ZLIB. El valor predeterminado es utilizar el nivel de compresión predeterminado de zlib (normalmente 6). --bzip2-compress-level establece el nivel de compresión para el algoritmo de compresión BZIP2 (también predeterminado en 6). Esta es una opción diferente de --compress-level, ya que BZIP2 utiliza una cantidad significativa de memoria por cada nivel de compresión adicional.
La opción -z establece ambos. Un valor de 0 para n deshabilita la compresión. Un valor de -1 fuerza la compresión utilizando el nivel predeterminado. La opción --no-compress es idéntica a -z0.
Excepto para el comando --store, siempre se utiliza la compresión a menos que gpg detecte que la entrada ya está comprimida. Para inhibir el uso de la compresión, utilice -z0 o --no-compress; para forzar la compresión, utilice -z-1 o la opción z con otro nivel de compresión que no sea el predeterminado, como se indica con -1. Tenga en cuenta que esta anulación del valor predeterminado solo funciona con z y no con la variante larga de esta opción.
--bzip2-decompress-lowmem
Utilizar un método de descompresión diferente para los archivos comprimidos con BZIP2. Este método alternativo utiliza un poco más de la mitad de la memoria, pero también se ejecuta a la mitad de la velocidad. Esto es útil en circunstancias de memoria extremadamente limitada cuando el archivo se comprimió originalmente con un --bzip2-compress-level alto.
--mangle-dos-filenames
--no-mangle-dos-filenames
Las versiones más antiguas de Windows no pueden manejar nombres de archivo con más de un punto. --mangle-dos-filenames hace que GnuPG reemplace (en lugar de agregar) la extensión de un nombre de archivo de salida para evitar este problema. Esta opción está desactivada de forma predeterminada y no tiene ningún efecto en las plataformas que no son Windows.
--ask-cert-level
--no-ask-cert-level
Cuando se crea una firma de clave, se solicita un nivel de certificación. Si no se especifica esta opción, el nivel de certificación utilizado se establece a través de --default-cert-level. Consulte --default-cert-level para obtener información sobre los niveles específicos y cómo se utilizan. --no-ask-cert-level deshabilita esta opción. Esta opción por defecto es no.
--default-cert-level n
El valor predeterminado que se utilizará para el nivel de comprobación al firmar una clave.
0 significa que no se realiza ninguna declaración específica sobre la minuciosidad con la que se verificó la clave.
1 significa que se cree que la clave pertenece a la persona que afirma ser el propietario, pero no se pudo, o no se verificó la clave en absoluto. Esto es útil para una verificación de "persona", donde se firma la clave de un usuario anónimo.
2 significa que se realizó una verificación casual de la clave. Por ejemplo, esto podría significar que se verificó la huella digital de la clave y se comprobó la identidad del usuario en la clave con una identificación con foto.
3 significa que se realizó una verificación exhaustiva de la clave. Por ejemplo, esto podría significar que se verificó la huella digital de la clave con el propietario de la clave en persona, y que se comprobó, mediante un documento difícil de falsificar con una identificación con foto (como un pasaporte), que el nombre del propietario de la clave coincide con el nombre en la identidad del usuario en la clave, y finalmente que se verificó (mediante el intercambio de correo electrónico) que la dirección de correo electrónico en la clave pertenece al propietario de la clave.
Tenga en cuenta que los ejemplos dados anteriormente para los niveles 2 y 3 son solo eso: ejemplos. En última instancia, depende de usted decidir qué significan "casual" y "exhaustivo".
Esta opción por defecto es 0 (sin declaración específica).
--min-cert-level
Cuando se construye la base de datos de confianza, trate cualquier firma con un nivel de certificación inferior a este como inválida. Por defecto es 2, lo que ignora las firmas de nivel 1. Tenga en cuenta que las firmas de nivel 0 "sin declaración específica" siempre se aceptan.
--trusted-key long key ID o fingerprint
Asuma que la clave especificada (que debe proporcionarse como huella digital) es tan confiable como una de sus propias claves secretas. Esta opción es útil si no desea mantener sus claves secretas (o una de ellas) en línea, pero aún desea poder verificar la validez de la clave de un destinatario o firmante determinado. Si la clave especificada no está disponible localmente, pero se ha configurado un servidor de claves LDAP, la clave faltante se importa desde ese servidor. El valor "none" se permite explícitamente para distinguir entre el uso de cualquier opción --trusted-key y la falta de uso de esta opción (por ejemplo, debido a la opción --no-options).
--add-desig-revoker [sensitive:]fingerprint
Agregue la clave especificada por la huella digital como un revocador designado a las claves recién creadas. Si la huella digital está precedida por la palabra clave ``sensitive:'', esta información normalmente no se exporta con la clave. Esta opción se puede dar varias veces para agregar más de un revocador designado. Si se usa la palabra clave ``clear'' en lugar de una huella digital, todas las huellas digitales dadas anteriormente se descartan. Los revocadores designados se marcan en la clave como no revocables. Tenga en cuenta que un revocador designado especificado mediante un archivo de parámetros también se agregará a la clave.
--default-new-key-adsk fingerprint
Añade la subclave especificada por la huella digital como una Subclave de Desencriptación Adicional (ADSK) a las claves recién
creadas. Esta opción puede proporcionarse varias veces para añadir más de una ADSK. También es
posible proporcionar varias huellas digitales delimitadas por espacios o comas como valor de esta
opción. Si se utiliza la palabra clave ``clear`` en lugar de una huella digital, se descartan todas las huellas digitales especificadas previamente (útil para anular las opciones dadas en un archivo de configuración). La
huella digital debe especificar una subclave y no necesita tener un signo de exclamación como
sufijo; debe proporcionarse en formato compacto (40 o 64 dígitos hexadecimales sin espacios).
--trust-model {pgp|classic|tofu|tofu+pgp|direct|always|auto}
Establece qué modelo de confianza debe seguir GnuPG. Los modelos son:
pgp Este es la Red de Confianza combinada con firmas de confianza, tal como se utiliza en PGP 5.x y
versiones posteriores. Este es el modelo de confianza predeterminado al crear una nueva base de datos de confianza.
classic
Este es el modelo estándar de Red de Confianza introducido por PGP 2.
tofu
TOFU significa Confianza en el Primer Uso. En este modelo de confianza experimental, la primera
vez que se ve una clave, se memoriza. Si más adelante se ve otra clave con un ID de usuario con la
misma dirección de correo electrónico, ambas claves se marcan como sospechosas. En ese caso, la
próxima vez que se utilice alguna de ellas, se mostrará una advertencia que describa el conflicto, por qué podría haber ocurrido (ya sea que el usuario haya generado una nueva clave y no haya firmado cruzadamente las claves antigua y nueva, la clave es una falsificación o se está llevando a cabo un ataque de intermediario), y se le pedirá al usuario que confirme manualmente la validez de la clave en
cuestión.
Debido a que un posible atacante puede controlar la dirección de correo electrónico y, por lo tanto, evitar el algoritmo de detección de conflictos mediante el uso de una dirección de correo electrónico que se asemeje a una dirección de correo electrónico de confianza, cada vez que se verifica un mensaje, se muestran estadísticas sobre el número de mensajes firmados con la clave. De esta manera, un usuario puede identificar fácilmente los ataques que utilizan claves falsas para los corresponsales habituales.
En comparación con la Red de Confianza, TOFU ofrece garantías de seguridad significativamente más débiles. En particular, TOFU solo ayuda a garantizar la coherencia (es decir, que la vinculación entre una clave y una dirección de correo electrónico no cambie). Una gran ventaja de TOFU es que requiere poco mantenimiento para utilizarlo correctamente. Para utilizar correctamente la red de confianza, debe firmar activamente las claves y marcar a los usuarios como introductorios de confianza. Este es un proceso que requiere mucho tiempo y la evidencia anecdótica sugiere que incluso los usuarios con conciencia de la seguridad rara vez se toman el tiempo de hacerlo a fondo y, en cambio, confían en un proceso TOFU ad hoc.
En el modelo TOFU, las políticas se asocian con enlaces entre claves y direcciones de correo electrónico (que se extraen de los ID de usuario y se normalizan). Hay cinco políticas, que se pueden establecer manualmente utilizando la opción --tofu-policy. La política predeterminada se puede establecer utilizando la opción --tofu-default-policy.
Las políticas TOFU son: auto, good, unknown, bad y ask. La política auto se utiliza por defecto (a menos que se reemplace con --tofu-default-policy) y marca un enlace como de confianza marginal. Las políticas good, unknown y bad marcan un enlace como de plena confianza, como de confianza desconocida o como sin confianza, respectivamente. La política unknown es útil para utilizar TOFU solo para detectar conflictos, pero sin asignar nunca un nivel de confianza positivo a un enlace. La política final, ask, solicita al usuario que indique el nivel de confianza del enlace. Si el modo por lotes está habilitado (o la entrada no es apropiada en el contexto), el usuario no se le solicitará y se devolverá el nivel de confianza indefinido.
tofu+pgp
Este modelo de confianza experimental combina TOFU con la Web de Confianza. Esto se hace calculando el nivel de confianza para cada modelo y luego tomando el nivel de confianza máximo donde los niveles de confianza se ordenan de la siguiente manera: unknown < undefined < marginal < fully < ultimate < expired < never.
Al establecer --tofu-default-policy=unknown, este modelo se puede utilizar para implementar la web de confianza con el algoritmo de detección de conflictos de TOFU, pero sin su asignación de valores de confianza positivos, lo que a algunos usuarios preocupados por la seguridad no les gusta.
direct La validez de la clave se establece directamente por el usuario y no se calcula a través de la Web de Confianza.
Este modelo se basa únicamente en la clave y no distingue los ID de usuario. Tenga en cuenta que cuando se cambia a otro modelo de confianza, los valores de confianza asignados a una clave se transforman en valores de "confianza del propietario", que también indican cuánto confía en el propietario de la clave para firmar otras claves.
always Omitir la validación de la clave y asumir que las claves utilizadas siempre son completamente válidas. Generalmente, no utilizará esto a menos que esté utilizando algún esquema de validación externo. Esta opción también suprime la etiqueta "[incierto]" que se imprime con las comprobaciones de firma cuando no hay evidencia de que el ID de usuario esté enlazado a la clave. Tenga en cuenta que este modelo de confianza aún no permite el uso de claves caducadas, revocadas o deshabilitadas.
auto Seleccionar el modelo de confianza dependiendo de lo que diga la base de datos de confianza interna. Este es el modelo predeterminado si ya existe dicha base de datos. Tenga en cuenta que un modelo de confianza TOFU no se considera aquí y debe habilitarse explícitamente.
--always-trust
Idéntico a --trust-model always.
--assert-signer fpr_or_file
Esta opción comprueba si al menos una firma válida en un archivo ha sido realizada con la clave especificada. La clave se especifica como un huella digital o un archivo que enumera las huellas digitales. La huella digital debe proporcionarse o listarse en formato compacto (sin dos puntos ni espacios entre). Esta opción se puede proporcionar varias veces y cada huella digital se comprueba con la clave de firma, así como con la clave primaria correspondiente. Si fpr_or_file especifica un archivo, se ignoran las líneas vacías, así como todas las líneas que comienzan con un signo de almohadilla. Con esta opción, se garantiza que gpg devolverá un código de salida de 0 si y solo si se ha encontrado una firma, es válida y la clave coincide con una de las huellas digitales proporcionadas por esta opción.
--assert-pubkey-algo algolist
Durante la verificación de la firma de los datos, esta opción comprueba si el algoritmo de clave pública utilizado coincide con los algoritmos dados por algolist. Esta opción se puede especificar varias veces para concatenar más algoritmos a la lista; los delimitadores de la lista son comas o espacios.
Los nombres de los algoritmos dados en la lista pueden ser nombres literales como "ed25519" con un signo igual inicial opcional, o pueden tener el prefijo ">", ">=", "<=", o "<". Ese operador de prefijo se aplica a la parte numérica del nombre del algoritmo; por ejemplo, 2048 en "rsa2048" o 384 en "brainpoolP384r1". Si los caracteres no numéricos iniciales en el nombre coinciden, el operador de prefijo se utiliza para comparar la parte numérica, y se ignora un sufijo final en este caso. Por ejemplo, una lista de algoritmos ">rsa3000, >=brainpool384r1, =ed25519" permite firmas RSA con más de 3000 bits, curvas Brainpool 384 y 512, y el algoritmo ed25519.
Con esta opción, gpg (y también gpgv) garantiza que devuelva un código de salida de 0 solo si todas las firmas válidas en los datos se realizan utilizando un algoritmo que coincida de la lista proporcionada.
--auto-key-locate mechanisms
--no-auto-key-locate
GnuPG puede localizar y recuperar automáticamente las claves según sea necesario utilizando esta opción. Esto ocurre al cifrar a una dirección de correo electrónico (en el formato "_"), y no hay claves "_" en el anillo de claves local. Esta opción toma cualquier número de los mecanismos que se enumeran a continuación, en el orden en que deben intentarse. En lugar de enumerar los mecanismos como argumentos separados por comas, la opción también se puede especificar varias veces para agregar más mecanismos. La opción --no-auto-key-locate o el mecanismo "clear" restablecen la lista. El valor predeterminado es "local,wkd".
cert Localiza una clave utilizando DNS CERT, según se especifica en RFC-4398.
dane Localiza una clave utilizando DANE, según se especifica en draft-ietf-dane-openpgpkey-05.txt.
wkd Localiza una clave utilizando el protocolo Web Key Directory.
ldap Localiza la clave utilizando los servidores LDAP configurados. Este método es similar al mecanismo de servidor de claves, pero siempre utiliza solo servidores LDAP.
ntds Localiza la clave utilizando Active Directory (solo Windows). Este método también permite buscar por huella digital utilizando el comando --locate-external-key. Tenga en cuenta que este mecanismo es en realidad un acceso directo para el mecanismo 'ldap' utilizando solo "ldap:///" como servidor de claves.
keyserver
Localiza una clave utilizando un servidor de claves. Este método también permite buscar por huella digital utilizando el comando --locate-external-key si alguno de los servidores de claves configurados es un servidor LDAP.
keyserver-URL
Además, se puede utilizar una URL de servidor de claves, tal como se utiliza en la configuración de dirmngr, para consultar ese servidor de claves en particular. Este método también permite buscar por huella digital utilizando el comando --locate-external-key si la URL especifica un servidor LDAP.
local
Localiza la clave utilizando los anillos de claves locales. Este mecanismo permite al usuario seleccionar el orden en que se realiza la búsqueda de una clave local. Por lo tanto, usar --auto-key-locate local es idéntico a --no-auto-key-locate.
nodefault
Esta opción desactiva la búsqueda de claves local estándar, que se realiza antes de que se intenten cualquiera de los mecanismos definidos por --auto-key-locate. La posición de este mecanismo en la lista no importa. No es necesario si también se utiliza local.
clear
Esta opción borra todos los mecanismos definidos. Esto es útil para anular los mecanismos dados en un archivo de configuración. Tenga en cuenta que nodefault en los mecanismos también se borrará a menos que se especifique después de clear.
--auto-key-import
--no-auto-key-import
Este es un mecanismo offline para obtener una clave faltante para la verificación de firmas y para el cifrado posterior a esta clave. Si esta opción está habilitada y una firma incluye una clave incrustada, esa clave se utiliza para verificar la firma y, si la verificación es exitosa, la clave se importa. El valor predeterminado es --no-auto-key-import.
En el sitio del remitente (firmante), se debe utilizar la opción --include-key-block para colocar la parte pública de la clave de firma como un "subpaquete de bloque de clave" en la firma.
--auto-key-retrieve
--no-auto-key-retrieve
Estas opciones habilitan o deshabilitan la recuperación automática de claves desde un servidor de claves al verificar firmas realizadas por claves que no están en el anillo de claves local. El valor predeterminado es --no-auto-key-retrieve.
El orden de los métodos que se intentan para buscar la clave es:
Si la opción `--auto-key-import` está configurada y la firma incluye una clave incrustada,
esa clave se utiliza para verificar la firma y, si la verificación es exitosa, esa clave se importa.
Si se especifica un servidor de claves preferido en la firma y la opción `honor-keyserver-url` está activa (que no es el valor predeterminado), se prueba ese servidor de claves. Tenga en cuenta que el creador de la firma utiliza la opción `--sig-keyserver-url` para especificar el servidor de claves preferido para las firmas de datos.
Si la firma tiene el ID de usuario del firmante configurado (por ejemplo, utilizando `--sender` al crear la firma), se realiza una búsqueda en un Directorio de claves web (WKD). Esta es la configuración predeterminada, pero se puede deshabilitar eliminando WKD de la lista `auto-key-locate` o utilizando la opción `--disable-signer-uid`.
Si se configura algún servidor de claves y la huella digital del emisor es parte de la firma
(a partir de GnuPG 2.1.16), se prueban los servidores de claves configurados.
Tenga en cuenta que esta opción hace posible un comportamiento similar a un "error web". Los operadores de servidores de claves o directorios de claves web pueden ver qué claves solicita, por lo que al enviarle un mensaje firmado con una clave completamente nueva (que naturalmente no tendrá en su anillo de claves local), el operador puede determinar tanto su dirección IP como la hora en que verificó la firma.
--keyid-format {none|short|0xshort|long|0xlong}
Selecciona cómo mostrar los ID de clave. "none" no muestra el ID de clave en absoluto, sino que muestra la huella digital en una línea separada. "short" es el ID de clave tradicional de 8 caracteres. "long" es el ID de clave más preciso (pero menos conveniente) de 16 caracteres. Agrega un "0x" a cualquiera de los dos para incluir un "0x" al principio del ID de clave, como en 0x99242560. Ten en cuenta que esta opción se ignora si se utiliza la opción --with-colons.
--keyserver name
Esta opción está obsoleta; utiliza --keyserver en 'dirmngr.conf' en su lugar.
Utiliza name como tu servidor de claves. Este es el servidor con el que --receive-keys, --send-keys y --search-keys se comunicarán para recibir claves, enviar claves y buscar claves. El formato del nombre es un URI: `scheme:[//]keyservername[:port]`. El esquema es el tipo de servidor de claves: "hkp"/"hkps" para los servidores de claves HTTP (o compatibles) o "ldap"/"ldaps" para los servidores de claves LDAP. Ten en cuenta que tu instalación particular de GnuPG puede tener otros tipos de servidores de claves disponibles. Los esquemas de los servidores de claves no distinguen entre mayúsculas y minúsculas.
La mayoría de los servidores de claves se sincronizan entre sí, por lo que generalmente no hay necesidad de enviar claves a más de un servidor. El servidor de claves hkp://keys.gnupg.net utiliza DNS round robin para proporcionar un servidor de claves diferente cada vez que lo utilizas.
--keyserver-options {name=value}
Esta es una cadena delimitada por espacios o comas que proporciona opciones para el servidor de claves. Las opciones pueden estar prefijadas con un `no-' para dar el significado opuesto. Se pueden utilizar aquí opciones de importación o exportación válidas para aplicar a la importación (--recv-key) o exportación (--send-key) de una clave desde un servidor de claves. Si bien no todas las opciones están disponibles para todos los tipos de servidores de claves, algunas opciones comunes son:
include-revoked
Cuando se busca una clave con --search-keys, incluye las claves que están marcadas como revocadas en el servidor de claves. Ten en cuenta que no todos los servidores de claves distinguen entre claves revocadas y no revocadas, y para dichos servidores de claves esta opción no tiene sentido. Ten en cuenta también que la mayoría de los servidores de claves no tienen una verificación criptográfica de las revocaciones de claves, por lo que desactivar esta opción puede dar como resultado omitir las claves que están marcadas incorrectamente como revocadas.
include-disabled
Cuando se busca una clave con --search-keys, incluye las claves que están marcadas como deshabilitadas en el servidor de claves. Ten en cuenta que esta opción no se utiliza con los servidores de claves HKP.
auto-key-retrieve
Este es un alias obsoleto para la opción auto-key-retrieve. No lo utilices; se eliminará en versiones futuras.
honor-keyserver-url
Cuando se utiliza --refresh-keys, si la clave en cuestión tiene una URL de servidor de claves preferida, entonces utiliza ese servidor de claves preferido para actualizar la clave. Además, si auto-key-retrieve está configurado, y la firma que se está verificando tiene una URL de servidor de claves preferida, entonces utiliza ese servidor de claves preferido para obtener la clave. Ten en cuenta que esta opción introduce un "error web": el creador de la clave puede ver cuándo se actualiza la clave. Por lo tanto, esta opción no está habilitada de forma predeterminada.
include-subkeys
Cuando se recibe una clave, incluir las subclaves como posibles objetivos. Tenga en cuenta que esta opción no se utiliza con los servidores de claves HKP, ya que no admiten la recuperación de claves por ID de subclave.
only-pubkeys
No permitir la importación de claves privadas.
timeout
http-proxy=valor
verbose
debug
check-cert
ca-cert-file
Estas opciones ya no tienen función desde GnuPG 2.1. Utilice las opciones de configuración de dirmngr en su lugar.
La lista predeterminada de opciones es: "self-sigs-only, repair-keys, repair-pks-subkey-bug, export-attributes". Sin embargo, si la fuente utilizada es un servidor LDAP, se asume "no-self-sigs-only" a menos que se configure explícitamente "self-sigs-only".
--completes-needed n
Número de usuarios completamente de confianza necesarios para introducir un nuevo firmante de clave (el valor predeterminado es 1).
--marginals-needed n
Número de usuarios marginalmente de confianza necesarios para introducir un nuevo firmante de clave (el valor predeterminado es 3).
--tofu-default-policy {auto|good|unknown|bad|ask}
La política TOFU predeterminada (el valor predeterminado es auto). Para obtener más información sobre el significado de esta opción, consulte: [trust-model-tofu].
--max-cert-depth n
Profundidad máxima de una cadena de certificación (el valor predeterminado es 5).
--no-sig-cache
No almacenar en caché el estado de verificación de las firmas de clave. El almacenamiento en caché proporciona un rendimiento mucho mejor en las listas de claves. Sin embargo, si sospecha que su anillo de claves público no es seguro contra modificaciones, puede utilizar esta opción para desactivar el almacenamiento en caché. Probablemente no tenga sentido desactivarlo porque todo tipo de daños pueden ocurrir si alguien tiene acceso de escritura a su anillo de claves público.
--auto-check-trustdb
--no-auto-check-trustdb
Si GnuPG considera que es necesario actualizar su información sobre la Red de Confianza, ejecuta automáticamente el comando --check-trustdb internamente. Este puede ser un proceso que consume mucho tiempo. --no-auto-check-trustdb desactiva esta opción.
--use-agent
--no-use-agent
Esta es una opción ficticia. gpg siempre requiere el agente.
--gpg-agent-info
Esta es una opción ficticia. No tiene ningún efecto cuando se utiliza con gpg.
--agent-program file
Especificar un programa de agente que se utilizará para las operaciones con claves privadas. El valor predeterminado se determina ejecutando gpgconf con la opción --list-dirs. Tenga en cuenta que el símbolo de barra vertical (|) se utiliza para una prueba de regresión y, por lo tanto, no se puede utilizar en el nombre del archivo.
--dirmngr-program file
Especificar un programa dirmngr que se utilizará para el acceso al servidor de claves. El valor predeterminado es '/usr/bin/dirmngr'.
--disable-dirmngr
Desactivar por completo el uso de Dirmngr.
--no-autostart
No iniciar el gpg-agent o el dirmngr si aún no se han iniciado y se requiere su servicio. Esta opción es principalmente útil en máquinas donde la conexión con gpg-agent se ha redirigido a otra máquina. Si se requiere dirmngr en la máquina remota, se puede iniciar manualmente utilizando gpgconf --launch dirmngr.
--lock-once
Bloquea las bases de datos la primera vez que se solicita un bloqueo y no libera el bloqueo hasta que el proceso termina.
--lock-multiple
Libera los bloqueos cada vez que ya no se necesita un bloqueo. Use esta opción para anular un bloqueo previo con --lock-once desde un archivo de configuración.
--lock-never
Desactiva el bloqueo por completo. Esta opción solo debe usarse en entornos muy especiales, donde se pueda garantizar que solo un proceso esté accediendo a esos archivos. Un disquete de arranque con un sistema de cifrado independiente probablemente usará esto. El uso incorrecto de esta opción puede provocar la corrupción de datos y claves.
--exit-on-status-write-error
Esta opción hará que los errores de escritura en el descriptor de archivo de estado provoquen la terminación inmediata del proceso. En realidad, este debería ser el comportamiento predeterminado, pero nunca funcionó de esa manera, por lo que necesitamos una opción para habilitarlo, para que el cambio no afecte a las aplicaciones que cierran su extremo de un descriptor de archivo de estado conectado por anticipado. El uso de esta opción junto con --enable-progress-filter puede usarse para cancelar limpiamente las operaciones de gpg de larga duración.
--limit-card-insert-tries n
Con n mayor que 0, el número de indicaciones para insertar una tarjeta inteligente se limita a N-1. Por lo tanto, con un valor de 1, gpg no pedirá que se inserte una tarjeta si no se ha insertado ninguna al inicio. Esta opción es útil en el archivo de configuración en caso de que una aplicación no sepa nada sobre la compatibilidad con tarjetas inteligentes y espere indefinidamente a que se inserte una tarjeta.
--no-random-seed-file
GnuPG utiliza un archivo para almacenar su grupo aleatorio interno entre invocaciones. Esto hace que la generación de números aleatorios sea más rápida; sin embargo, a veces no se desean las operaciones de escritura. Esta opción se puede utilizar para lograr esto a costa de una generación de números aleatorios más lenta.
--no-greeting
Suprime el mensaje de derechos de autor inicial.
--no-secmem-warning
Suprime la advertencia sobre el "uso de memoria insegura".
--no-permission-warning
Suprime la advertencia sobre permisos inseguros de archivos y directorios de inicio (--homedir). Tenga en cuenta que las comprobaciones de permisos que realiza GnuPG no están destinadas a ser definitivas, sino que simplemente advierten sobre ciertos problemas de permisos comunes. No asuma que la falta de una advertencia significa que su sistema es seguro.
Tenga en cuenta que la advertencia sobre permisos inseguros de --homedir no se puede suprimir en el archivo gpg.conf, ya que esto permitiría a un atacante colocar un archivo gpg.conf inseguro y utilizar este archivo para suprimir las advertencias sobre sí mismo. La advertencia de permisos de --homedir solo se puede suprimir en la línea de comandos.
--require-secmem
--no-require-secmem
Se niega a ejecutarse si GnuPG no puede obtener memoria segura. El valor predeterminado es no (es decir, se ejecuta, pero muestra una advertencia).
--require-cross-certification
--no-require-cross-certification
Al verificar una firma realizada con una subclave, asegúrese de que la "firma de respaldo" de la certificación cruzada en la subclave esté presente y sea válida. Esto protege contra un ataque sutil a las subclaves que pueden firmar. El valor predeterminado es --require-cross-certification para gpg.
--expert
--no-expert
Permite al usuario realizar ciertas acciones absurdas o "tontas", como firmar una clave caducada o revocada, o ciertas acciones potencialmente incompatibles, como generar tipos de clave inusuales.
Esto también desactiva ciertos mensajes de advertencia sobre acciones potencialmente incompatibles. Como su
nombre indica, esta opción es solo para expertos. Si no comprende completamente las implicaciones de lo que le permite hacer, déjela desactivada. --no-expert deshabilita esta opción.
Opciones relacionadas con las claves
--recipient nombre
-r Encripta para el ID de usuario especificado. Si no se especifica esta opción o --hidden-recipient, GnuPG
solicita el ID de usuario a menos que se proporcione --default-recipient.
--hidden-recipient nombre
-R Encripta para el ID de usuario especificado, pero oculta el ID de clave de la clave de este usuario. Esta opción ayuda a
ocultar el destinatario del mensaje y es una contramedida limitada contra el análisis de tráfico.
Si esta opción o --recipient no se especifican, GnuPG solicita el ID de usuario a menos que se proporcione --default-recipient.
--recipient-file archivo
-f Esta opción es similar a --recipient, excepto que encripta a una clave almacenada en el archivo especificado.
archivo debe ser el nombre de un archivo que contenga exactamente una clave. gpg asume que
la clave en este archivo es completamente válida.
--hidden-recipient-file archivo
-F Esta opción es similar a --hidden-recipient, excepto que encripta a una clave almacenada en
el archivo especificado. archivo debe ser el nombre de un archivo que contenga exactamente una clave. gpg asume
que la clave en este archivo es completamente válida.
--encrypt-to nombre
Igual que --recipient, pero esta opción está destinada a usarse en el archivo de opciones y puede utilizarse con su propio ID de usuario como un "encriptar-a-sí-mismo". Se sugiere utilizar una huella digital o al menos un ID de clave largo para nombre. Estas claves solo se utilizan cuando hay otros destinatarios indicados mediante el uso de --recipient o mediante el ID de usuario solicitado. No se realiza ninguna verificación de confianza para estos ID de usuario e incluso se pueden utilizar claves deshabilitadas.
--hidden-encrypt-to nombre
Igual que --hidden-recipient, pero esta opción está destinada a usarse en el archivo de opciones y puede utilizarse con su propio ID de usuario como un "encriptar-a-sí-mismo" oculto. Se sugiere utilizar una huella digital o al menos un ID de clave largo para nombre. Estas claves solo se utilizan cuando hay otros destinatarios indicados mediante el uso de --recipient o mediante el ID de usuario solicitado. No se realiza ninguna verificación de confianza para estos ID de usuario e incluso se pueden utilizar claves deshabilitadas.
--no-encrypt-to
Desactiva el uso de todas las claves --encrypt-to y --hidden-encrypt-to.
--group {nombre=valor}
Configura un grupo con nombre, que es similar a los alias en los programas de correo electrónico. Cada vez que el nombre del grupo es un destinatario (-r o --recipient), se expandirá a los valores especificados. Múltiples grupos con el mismo nombre se fusionan automáticamente en un solo grupo.
Los valores son ID de clave o huellas digitales, pero se acepta cualquier descripción de clave. Tenga en cuenta que un valor con espacios se tratará como dos valores diferentes. Tenga en cuenta también que solo hay un nivel de expansión; no puede crear un grupo que apunte a otro grupo. Cuando se utiliza desde la línea de comandos, puede ser necesario entrecomillar el argumento de esta opción para evitar que el shell lo trate como varios argumentos.
--ungroup name
Elimina una entrada determinada de la lista de --group.
--no-groups
Elimina todas las entradas de la lista de --group.
--local-user name
-u Utiliza name como clave para firmar. Tenga en cuenta que esta opción anula --default-key.
--sender mbox
Esta opción tiene dos propósitos. mbox debe ser un ID de usuario completo que contenga una dirección de correo electrónico válida o simplemente una dirección de correo electrónico. La opción se puede especificar varias veces.
Cuando se crea una firma, esta opción le indica a GPG el ID de usuario de la clave de firma que se utiliza para crear la firma e inserta ese ID de usuario en la firma creada (utilizando el subpaquete "ID de usuario del firmante" de OpenPGP). Si se especifica la opción varias veces, se selecciona un ID de usuario adecuado. Sin embargo, si la clave de firma se especificó directamente mediante una dirección de correo electrónico (es decir, no mediante una huella digital o un ID de clave), esta opción se utiliza y la dirección de correo electrónico se inserta en la firma creada.
Cuando se verifica una firma, mbox se utiliza para restringir la información impresa por el código TOFU a los ID de usuario coincidentes. Si se utiliza esta opción y la firma contiene un subpaquete "ID de usuario del firmante", también se utiliza esa información para restringir la información impresa. Tenga en cuenta que GnuPG solo considera la parte de la dirección de correo electrónico de un ID de usuario.
Si esta opción o el subpaquete mencionado están disponibles, las líneas TRUST, tal como se imprimen mediante la opción status-fd, corresponden al ID de usuario correspondiente; si no se conoce ningún ID de usuario, las líneas TRUST se calculan directamente en la clave y no proporcionan ninguna información sobre el ID de usuario. En este último caso, se recomienda encarecidamente que los scripts y otros programas front-end evalúen la línea VALIDSIG, recuperen la clave e impriman todos los ID de usuario junto con su información de validez (confianza).
--try-secret-key name
Para los destinatarios ocultos, GPG necesita conocer las claves que se utilizarán para el descifrado de prueba. El conjunto de claves establecido con --default-key siempre se intenta primero, pero esto a menudo no es suficiente. Esta opción permite establecer más claves que se utilizarán para el descifrado de prueba. Aunque se puede utilizar cualquier especificación de ID de usuario válida para name, tiene sentido utilizar al menos el ID de clave largo para evitar ambigüedades. Tenga en cuenta que gpg-agent puede mostrar una ventana pinentry para muchas claves para realizar el descifrado de prueba. Si desea detener todo el descifrado de prueba posterior, puede utilizar el botón cerrar ventana en lugar del botón cancelar.
--try-all-secrets
No se debe tener en cuenta el ID de clave almacenado en el mensaje, sino que se deben probar todas las claves secretas sucesivamente para encontrar la clave de descifrado correcta. Esta opción fuerza el comportamiento utilizado por los destinatarios anónimos (creados mediante el uso de --throw-keyids o --hidden-recipient) y puede ser útil en caso de que un mensaje cifrado contenga un ID de clave falso.
--skip-hidden-recipients
--no-skip-hidden-recipients
Durante el proceso de descifrado, omita todos los destinatarios anónimos. Esta opción es útil en los casos en que las personas utilizan la función de destinatarios ocultos para ocultar su propia clave de cifrado a otros. Si se tienen muchas claves secretas, esto puede generar una gran molestia, ya que se intentará descifrar algo con todas las claves, incluso si no estaba destinado para ello. La desventaja de esta opción es que actualmente no es posible descifrar un mensaje que incluya destinatarios anónimos reales.
Entrada y Salida
--armor
-a Cree una salida en formato ASCII. El valor predeterminado es crear el formato binario OpenPGP.
--no-armor
Asuma que los datos de entrada no están en formato ASCII.
--output file
-o file
Escriba la salida en un archivo. Para escribir en la salida estándar, utilice - como nombre de archivo.
--max-output n
Esta opción establece un límite en la cantidad de bytes que se generarán al procesar un archivo. Dado que OpenPGP admite varios niveles de compresión, es posible que el texto sin formato de un mensaje determinado sea significativamente mayor que el mensaje OpenPGP original. Si bien GnuPG funciona correctamente con dichos mensajes, a menudo existe el deseo de establecer un tamaño máximo de archivo que se generará antes de que el procesamiento se vea obligado a detenerse debido a los límites del sistema operativo. El valor predeterminado es 0, lo que significa "sin límite".
--chunk-size n
El modo de cifrado AEAD cifra los datos en fragmentos para que el lado receptor pueda verificar los errores de transmisión o la manipulación al final de cada fragmento y no necesite retrasar esto hasta que se hayan recibido todos los datos. El tamaño del fragmento utilizado es de 2^n bytes. El valor más bajo permitido para n es 6 (64 bytes) y el más grande es el predeterminado de 22, que crea fragmentos no mayores de 4 MiB.
--input-size-hint n
Esta opción se puede utilizar para indicarle a GPG el tamaño de los datos de entrada en bytes. n debe ser un número base 10 positivo. Esta opción solo es útil si la entrada no se toma de un archivo. GPG puede utilizar esta sugerencia para optimizar su estrategia de asignación de búferes. También se utiliza mediante la línea --status-fd "PROGRESS" para proporcionar un valor para "total" si este no está disponible por otros medios.
--key-origin string[,url]
gpg puede realizar un seguimiento del origen de una clave. Ciertos orígenes se conocen implícitamente (por ejemplo, servidor de claves, directorio de claves web) y se establecen. Para una importación estándar, el origen de las claves importadas se puede establecer con esta opción. Para enumerar los valores posibles, utilice "help" para string. Algunos orígenes pueden almacenar un argumento de URL opcional. Esa URL se puede agregar a string después de una coma.
--import-options parameters
Esta es una cadena delimitada por espacios o comas que proporciona opciones para importar claves. Las opciones se pueden preceder con `no-' para dar el significado opuesto. Las opciones son:
import-local-sigs
Permite importar firmas de clave marcadas como "locales". Esto no suele ser útil a menos que se esté utilizando un esquema de anillo de claves compartido. Por defecto, es no.
keep-ownertrust
Normalmente, los valores de "ownertrust" existentes de una clave se borran cuando se importa una clave. Esto es generalmente deseable para que una clave que se eliminó anteriormente no obtenga automáticamente valores de "ownertrust" simplemente por la importación. Por otro lado, a veces es necesario volver a importar un conjunto de claves de confianza, pero manteniendo los valores de "ownertrust" ya asignados. Esto se puede lograr utilizando esta opción.
repair-pks-subkey-bug
Durante la importación, intenta reparar el daño causado por el error del servidor de claves PKS (versión anterior a la 0.9.6) que manipula las claves con múltiples subclaves. Tenga en cuenta que esto no puede reparar por completo la clave dañada, ya que algunos datos cruciales se eliminan del servidor de claves, pero al menos le devuelve una subclave. Por defecto, es no para la importación normal y sí para el comando del servidor de claves --receive-keys.
import-show
show-only
Muestra una lista de la clave tal como se importa justo antes de que se almacene. Esto se puede combinar con la opción --dry-run para simplemente ver las claves; la opción show-only es un atajo para esta combinación. El comando --show-keys es otro atajo para esto. Tenga en cuenta que los sufijos como '#' para las líneas "sec" y "sbb" pueden o no imprimirse.
import-export
Ejecuta todo el código de importación, pero en lugar de almacenar la clave en el anillo de claves local, la escribe en la salida. La opción de exportación export-dane afecta la salida. Esta opción se puede utilizar, por ejemplo, para eliminar todas las partes no válidas de una clave sin necesidad de almacenarla.
merge-only
Durante la importación, permite las actualizaciones de clave, pero no permite la importación de nuevas claves. Por defecto, es no.
import-clean
Después de la importación, compacta (elimina todas las firmas excepto la firma propia) cualquier ID de usuario de la nueva clave que no sea utilizable. Luego, elimina cualquier firma de la nueva clave que no sea utilizable. Esto incluye las firmas que fueron emitidas por claves que no están presentes en el anillo de claves. Esta opción es la misma que ejecutar el comando --edit-key "clean" después de la importación. Por defecto, es no.
self-sigs-only
Acepta solo las firmas propias durante la importación de una clave. Todas las demás firmas de clave se omiten en una etapa temprana de la importación. Esta opción se puede utilizar con las opciones del servidor de claves para mitigar los intentos de inundar una clave con firmas falsas desde un servidor de claves. La desventaja es que también se importan todas las demás firmas de clave válidas, según lo requerido por la Web de Confianza. Tenga en cuenta que al utilizar esta opción junto con import-clean, suprime el paso de limpieza final después de fusionar la clave importada en la clave existente.
ignore-attributes
Ignora todos los ID de usuario de atributos (ID de foto) y sus firmas durante la importación de una clave.
repair-keys
Después de la importación, corrige varios problemas con las claves. Por ejemplo, esto reordena las firmas y elimina las firmas duplicadas. Por defecto, es sí.
bulk-import
Cuando se utiliza keyboxd (opción use-keyboxd en ‘common.conf’), la importación se realiza dentro de una única transacción.
import-minimal
Importa la clave más pequeña posible. Esto elimina todas las firmas excepto la firma propia más reciente en cada ID de usuario. Esta opción es la misma que ejecutar el comando --edit-key "minimize" después de la importación. Por defecto, no se aplica.
restore
import-restore
Importa en modo de restauración de claves. Esto importa todos los datos que normalmente se omiten durante la importación, incluidos todos los datos específicos de GnuPG. Todas las demás opciones contradictorias se anulan.
--import-filter {name=expr}
--export-filter {name=expr}
Estas opciones definen un filtro de importación/exportación que se aplica al bloque de claves importado/exportado justo antes de que se almacene/escriba. name define el tipo de filtro a usar y expr la expresión a evaluar. La opción se puede usar varias veces, lo que luego agrega más expresiones al mismo nombre.
Los tipos de filtro disponibles son:
keep-uid
Este filtro conservará un paquete de ID de usuario y sus paquetes dependientes en el bloque de claves si la expresión se evalúa como verdadera.
drop-subkey
Este filtro elimina las subclaves seleccionadas. Actualmente, solo se implementa para --export-filter.
drop-sig
Este filtro elimina las firmas de clave seleccionadas en los ID de usuario. Las autofirmas no se consideran. Actualmente, solo se implementa para --import-filter.
select Este filtro solo se implementa mediante --list-filter. Se pueden usar todos los nombres de propiedad.
Para la sintaxis de la expresión, consulte el capítulo "EXPRESIONES DE FILTRO". Los nombres de las propiedades para las expresiones dependen del tipo de filtro real y se indican en la siguiente tabla. Tenga en cuenta que todos los nombres de propiedad también se pueden utilizar mediante --list-filter.
Los nombres de propiedad se pueden preceder con un ámbito delimitado por una barra. Los ámbitos válidos son "pub" para las claves primarias públicas y secretas, "sub" para las subclaves públicas y secretas, "uid" para los paquetes de ID de usuario y "sig" para los paquetes de firma. Los ámbitos no válidos se ignoran actualmente.
Las propiedades disponibles son:
uid Una cadena con el ID de usuario. (keep-uid)
mbox La parte addr-spec de un ID de usuario con correo o una cadena vacía. (keep-uid)
algostr
Una cadena con la descripción del algoritmo de clave. Por ejemplo, "rsa3072" o "ed25519".
key_algo
Un número con el algoritmo de clave pública de una clave o subclave. (drop-subkey)
key_size
Un número con el tamaño de clave efectivo de una clave o subclave. (drop-subkey)
key_created
key_created_d
El primero es la marca de tiempo en la que se creó un paquete de clave pública o subclave. El segundo es lo mismo, pero se proporciona como una cadena ISO, por ejemplo, "2016-08-17". (drop-subkey)
key_expires
key_expires_d
La hora de caducidad de una clave o subclave pública, o 0 si no caduca. El segundo es lo mismo, pero se proporciona como una cadena de fecha ISO o una cadena vacía, por ejemplo, "2038-01-19".
fpr La huella digital hexadecimal de la subclave o clave primaria actual. (drop-subkey)
primary
Booleano que indica si el ID de usuario es el principal. (keep-uid)
expired
Booleano que indica si un ID de usuario (keep-uid), una clave (drop-subkey) o una firma (drop-sig) han caducado.
revoked
Booleano que indica si un ID de usuario (keep-uid) o una clave (drop-subkey) han sido revocados.
disabled
Booleano que indica si una clave primaria está desactivada.
secret
Booleano que indica si una clave o subclave es una clave secreta. (drop-subkey)
usage
Una cadena que indica los indicadores de uso para la subclave, de la secuencia ecsa?''.
Por ejemplo, una subclave capaz de firmar y autenticar sería una coincidencia exacta consa''. (drop-subkey)
sig_created
sig_created_d
El primero es la marca de tiempo en la que se creó un paquete de firma. El segundo es lo mismo, pero se proporciona como una cadena de fecha ISO, por ejemplo, "2016-08-17". (drop-sig)
sig_expires
sig_expires_d
La fecha de caducidad de un paquete de firma o 0 si no caduca. El segundo es lo mismo, pero se proporciona como una cadena de fecha ISO o una cadena vacía, por ejemplo, "2038-01-19".
sig_algo
Un número que representa el algoritmo de clave pública de un paquete de firma. (drop-sig)
sig_digest_algo
Un número que representa el algoritmo de resumen de un paquete de firma. (drop-sig)
origin
Una cadena con el origen de la clave o un signo de interrogación. Por ejemplo, la cadena ``wkd'' se utiliza si una clave se originó en una búsqueda del directorio de claves web.
lastupd
La marca de tiempo en la que la clave se actualizó por última vez desde un servidor de claves o el directorio de claves web.
url
Una cadena con la URL asociada con la última búsqueda de claves.
--export-options parameters
Esta es una cadena delimitada por espacios o comas que proporciona opciones para exportar claves. Las opciones pueden precederse con `no-' para dar el significado opuesto. Las opciones son:
export-local-sigs
Permite exportar firmas de clave marcadas como "locales". Esto no suele ser útil a menos que se esté utilizando un esquema de anillo de claves compartido. El valor predeterminado es no.
export-attributes
Incluye ID de usuario de atributos (ID de foto) al exportar. No incluir los ID de usuario de atributos es útil para exportar claves que se van a utilizar con un programa OpenPGP que no acepta ID de usuario de atributos. El valor predeterminado es sí.
export-sensitive-revkeys
Incluye información de revocador designada que se marcó como "confidencial". El valor predeterminado es no.
backup
export-backup
Exportar para usar como copia de seguridad. Los datos exportados incluyen todos los datos necesarios para restaurar la clave o las claves más tarde con GnuPG. El formato es básicamente el formato OpenPGP, pero se mejora con datos específicos de GnuPG. Todas las demás opciones contradictorias se anulan.
export-clean
Compacta (elimina todas las firmas de) los ID de usuario de la clave que se está exportando si los ID de usuario no son utilizables. Además, no exporta ninguna firma que no sea utilizable. Esto incluye las firmas que fueron emitidas por claves que no están presentes en el anillo de claves. Esta opción es la misma que ejecutar el comando --edit-key "clean" antes de la exportación, excepto que no se modifica la copia local de la clave. El valor predeterminado es no.
export-minimal
Exporta la clave más pequeña posible. Elimina todas las firmas excepto la firma de auto-firma más reciente en cada ID de usuario. Esta opción es la misma que ejecutar el comando `--edit-key "minimize"` antes de la exportación, excepto que la copia local de la clave no se modifica. Por defecto, no se activa.
export-revocs
Exporta solo los certificados de revocación independientes de la clave. Esta opción no exporta las revocaciones de los certificados de terceros.
export-dane
En lugar de generar la clave, genera registros OpenPGP DANE que se pueden colocar en archivos de zona DNS. Se imprime una línea ORIGIN antes de cada registro para permitir redirigir los registros al archivo de zona correspondiente.
mode1003
Habilita el uso de un nuevo formato de exportación de claves secretas. Este formato evita la re-encriptación requerida con el formato OpenPGP actual y también mejora la seguridad de la clave secreta si ha sido protegida con una contraseña. Tenga en cuenta que una clave no protegida se exporta tal cual y, por lo tanto, no es segura; la regla general para transmitir claves secretas en un archivo OpenPGP encriptado sigue aplicándose con este modo. Las versiones de GnuPG anteriores a la 2.4.0 no pueden importar este tipo de archivo secreto.
--with-colons
Imprime las listas de claves delimitadas por dos puntos. Tenga en cuenta que la salida se codificará en UTF-8 independientemente de cualquier configuración de `--display-charset`. Este formato es útil cuando GnuPG se llama desde scripts y otros programas, ya que se puede analizar fácilmente con máquinas. Los detalles de este formato se documentan en el archivo `doc/DETAILS`, que se incluye en la distribución del código fuente de GnuPG.
--fixed-list-mode
No combina el ID de usuario principal y la clave principal en el modo de lista `--with-colons` e imprime todas las marcas de tiempo como segundos desde 1970-01-01. Desde GnuPG 2.0.10, este modo siempre se usa y, por lo tanto, esta opción está obsoleta; no obstante, no causa problemas si se utiliza.
--legacy-list-mode
Vuelve al modo de lista de claves públicas anterior a la 2.1. Esto solo afecta la salida legible por humanos y no la interfaz de máquina (es decir, `--with-colons`). Tenga en cuenta que el formato heredado no transmite información adecuada para las curvas elípticas.
--with-fingerprint
Igual que el comando `--fingerprint`, pero solo cambia el formato de la salida y se puede utilizar junto con otro comando.
--with-subkey-fingerprint
Si se imprime una huella digital para la clave primaria, esta opción obliga a imprimir la huella digital de todas las subclaves. Esto también se podría lograr utilizando el comando `--with-fingerprint` dos veces, pero utilizando esta opción junto con el formato `keyid-format "none"`, se imprime una huella digital compacta.
--with-v5-fingerprint
En el modo de lista de dos puntos, emite líneas "fp2" para las claves OpenPGP versión 4 que tienen una huella digital de clave de estilo v5.
--with-icao-spelling
Imprime la ortografía ICAO de la huella digital además de los dígitos hexadecimales.
--with-keygrip
Incluye la huella de la clave en las listas de claves. En el modo `--with-colons`, esto se habilita implícitamente para las claves secretas.
--with-key-origin
Incluye la información local sobre el origen y la última actualización de una clave en una lista de claves. En el modo --with-colons, esto siempre se imprime. Estos datos son actualmente experimentales y no deben considerarse parte de la API estable.
--with-wkd-hash
Imprime un identificador de Directorio de Claves Web junto con cada ID de usuario en las listas de claves. Esta es una función experimental y su semántica puede cambiar.
--with-secret
Incluye información sobre la presencia de una clave secreta en las listas de claves públicas que se realizan con --with-colons.
Opciones específicas del protocolo OpenPGP
--force-ocb
--force-aead
Fuerza el uso del cifrado AEAD en lugar del cifrado MDC. AEAD es una forma moderna y más rápida de realizar el cifrado autenticado que el antiguo método MDC. --force-aead es un alias y está en desuso. Consulte también la opción --chunk-size.
--force-mdc
--disable-mdc
Estas opciones están obsoletas y no tienen ningún efecto desde GnuPG 2.2.8. El MDC siempre se usa a menos que las claves indiquen que se puede usar un algoritmo AEAD, en cuyo caso se usa AEAD. Pero tenga en cuenta: si la creación de un mensaje MDC heredado es excepcionalmente necesaria, la opción --rfc2440 permite esto.
--disable-signer-uid
De forma predeterminada, el ID de usuario de la clave de firma se incluye en la firma de datos. A partir de ahora, esto solo se hace si la clave de firma se ha especificado con local-user utilizando una dirección de correo electrónico o con sender. Esta información puede ser útil para que el verificador localice la clave; consulte la opción --auto-key-retrieve.
--include-key-block
--no-include-key-block
Esta opción se utiliza para incrustar la clave de firma real en una firma de datos. La clave incrustada se reduce a un solo ID de usuario e incluye solo la subclave de firma utilizada para crear la firma, así como las subclaves de cifrado válidas. Toda la demás información se elimina de la clave para mantenerla y, por lo tanto, la firma lo más pequeña posible. Esta opción es el equivalente OpenPGP de la opción gpgsm --include-certs y permite al destinatario de un mensaje firmado responder cifrado al remitente sin utilizar ningún directorio en línea para buscar la clave. El valor predeterminado es --no-include-key-block. Consulte también la opción --auto-key-import.
--personal-cipher-preferences string
Establece la lista de preferencias de cifrado personal en string. Utilice gpg --version para obtener una lista de los algoritmos disponibles y utilice none para no establecer ninguna preferencia. Esto permite al usuario anular de forma segura el algoritmo elegido por las preferencias del receptor, ya que GPG solo seleccionará un algoritmo que sea utilizable por todos los receptores. El cifrado de mayor rango en esta lista también se utiliza para el comando --symmetric.
--personal-digest-preferences string
Establece la lista de preferencias de resumen personal en string. Utilice gpg --version para obtener una lista de los algoritmos disponibles y utilice none para no establecer ninguna preferencia. Esto permite al usuario anular de forma segura el algoritmo elegido por las preferencias del receptor, ya que GPG solo seleccionará un algoritmo que sea utilizable por todos los receptores. El algoritmo de resumen de mayor rango en esta lista también se utiliza cuando se firma sin cifrado (por ejemplo, --clear-sign o --sign).
--personal-compress-preferences string
Establece la lista de preferencias de compresión personal en string. Utilice `gpg --version` para obtener una lista de algoritmos disponibles y utilice `none` para no establecer ninguna preferencia. Esto permite al usuario anular de forma segura el algoritmo elegido por las preferencias de la clave del destinatario, ya que GPG solo seleccionará un algoritmo que sea utilizable por todos los destinatarios. El algoritmo de compresión con la clasificación más alta en esta lista también se utiliza cuando no hay claves de destinatarios a considerar (por ejemplo, `--symmetric`).
--s2k-cipher-algo name
Utilice `name` como el algoritmo de cifrado para el cifrado simétrico con una frase de contraseña si no se especifican `--personal-cipher-preferences` y `--cipher-algo`. El valor predeterminado es AES-128.
--s2k-digest-algo name
Utilice `name` como el algoritmo de resumen utilizado para manipular las frases de contraseña para el cifrado simétrico. El valor predeterminado es SHA-1.
--s2k-mode n
Selecciona cómo se manipulan las frases de contraseña para el cifrado simétrico. Si `n` es 0, se utilizará una frase de contraseña sin procesar (lo cual, en general, no se recomienda), si es 1, se agrega una sal (que no se debe utilizar) a la frase de contraseña y si es 3 (el valor predeterminado), se itera todo el proceso un número de veces (consulte `--s2k-count`).
--s2k-count n
Especifique cuántas veces se repite la manipulación de la frase de contraseña para el cifrado simétrico. Este valor puede estar entre 1024 y 65011712, ambos inclusive. El valor predeterminado se consulta de `gpg-agent`. Tenga en cuenta que no todos los valores en el rango de 1024 a 65011712 son legales y, si se selecciona un valor ilegal, GnuPG lo redondeará al valor legal más cercano. Esta opción solo tiene sentido si `--s2k-mode` se establece en el valor predeterminado de 3.
Opciones de conformidad
Estas opciones controlan con qué está en conformidad GnuPG. Solo se puede activar una de estas opciones a la vez. Si se especifican varias opciones, la última anula a todas las demás. Tenga en cuenta que la configuración predeterminada de esta opción casi siempre es la correcta. Consulte la sección INTEROPERABILIDAD CON OTROS PROGRAMAS OPENPGP a continuación antes de utilizar una de estas opciones.
--gnupg
Utilice el comportamiento estándar de GnuPG. Este es ahora el comportamiento de LibrePGP, que es un borrador de protocolo diferente que se superpone en algunos casos con OpenPGP.
--openpgp
Establezca todas las opciones de paquetes, cifrado y resumen para que tengan un comportamiento compatible con OpenPGP (RFC-9580). Tenga en cuenta que no todas las partes de RFC-9580 están implementadas por GnuPG. Esta es la opción predeterminada, por lo que no suele ser necesario, pero puede ser útil para anular otra opción de conformidad en el archivo `gpg.conf`.
--rfc4880
Establezca todas las opciones de paquetes, cifrado y resumen para que tengan un comportamiento estricto de RFC-4880. RFC-4880 es la versión heredada del estándar OpenPGP. Esta opción implica `--allow-old-cipher-algos`.
--rfc4880bis
Esta opción está obsoleta; se trata como un alias de `--gnupg`.
--rfc2440
Establezca todas las opciones de paquetes, cifrado y resumen para que tengan un comportamiento estricto de RFC-2440. RFC-2440 es una versión muy antigua de OpenPGP. Tenga en cuenta que al utilizar esta opción, los paquetes de cifrado se crean en un modo heredado sin protección MDC. Esto es peligroso y, por lo tanto, solo debe utilizarse para experimentos. Esta opción implica `--allow-old-cipher-algos`. Consulte también la opción `--ignore-mdc-error`.
--pgp6 Esta opción está obsoleta; se trata como un alias de --pgp7.
--pgp7 Configura todas las opciones para que sean lo más compatibles posible con PGP 7. Esto permite los cifrados IDEA, 3ES, CAST5, AES128, AES192, AES256 y TWOFISH, los algoritmos hash MD5, SHA1 y RIPEMD160, y los algoritmos de compresión none y ZIP. Esta opción implica --escape-from-lines y desactiva --throw-keyids.
--pgp8 Configura todas las opciones para que sean lo más compatibles posible con PGP 8. PGP 8 está mucho más cerca del estándar OpenPGP que las versiones anteriores de PGP, por lo que esto solo desactiva --throw-keyids y establece --escape-from-lines. Se permiten todos los algoritmos excepto los algoritmos hash SHA224, SHA384 y SHA512.
--compliance string
Esta opción se puede utilizar en lugar de una de las opciones anteriores. Los valores válidos para string son los nombres de las opciones anteriores (sin el doble guion) y posiblemente otros, como se muestra al usar "help" para string.
--min-rsa-length n
Esta opción ajusta el modo de cumplimiento "de-vs" para requisitos de tamaño de clave más estrictos. Por ejemplo, un valor de 3000 convierte las claves rsa2048 y dsa2048 en claves que no cumplen con VS-NfD.
--require-compliance
Para verificar que los datos se hayan cifrado de acuerdo con las reglas del modo de cumplimiento actual, un usuario de gpg debe evaluar las líneas de estado. Esto permite a las interfaces de usuario manejar la verificación de cumplimiento de una manera más flexible. Sin embargo, para el uso en scripts, la evaluación necesaria de la línea de estado requiere un esfuerzo considerable; esta opción se puede utilizar para asegurarse de que el proceso de gpg salga con un error si no se cumplen las reglas de cumplimiento. Tenga en cuenta que esta opción solo tiene efecto en el modo "de-vs".
Hacer cosas que normalmente uno no querría hacer
-n
--dry-run
No realizar ningún cambio (esto no está completamente implementado).
--list-only
Cambia el comportamiento de algunos comandos. Esto es similar a --dry-run, pero diferente en algunos casos. La semántica de esta opción puede extenderse en el futuro. Actualmente, solo omite el paso de descifrado real y, por lo tanto, permite una enumeración rápida de las claves de cifrado.
-i
--interactive
Solicitar confirmación antes de sobrescribir cualquier archivo.
--compatibility-flags flags
Establecer indicadores de compatibilidad para solucionar problemas debidos a claves o datos no compatibles. Los indicadores se proporcionan como una lista separada por comas de nombres de indicadores y se combinan con OR. El indicador especial "none" borra la lista y permite comenzar de nuevo con una lista vacía. Para obtener una lista de los indicadores disponibles, se puede usar la palabra "help".
--debug-level level
Seleccionar el nivel de depuración para investigar problemas. level puede ser un valor numérico o una palabra clave:
none No depuración. Se puede utilizar un valor inferior a 1 en su lugar.
basic Algunos mensajes de depuración básicos. Se puede utilizar un valor entre 1 y 2 en lugar de la palabra clave.
advanced
Mensajes de depuración más detallados. Se puede utilizar un valor entre 3 y 5 en lugar de la palabra clave.
expert Aún más mensajes detallados. Se puede utilizar un valor entre 6 y 8 en lugar de la
palabra clave.
guru Todos los mensajes de depuración que se pueden obtener. Se puede utilizar un valor mayor que 8 en lugar de
la palabra clave. La creación de archivos de rastreo hash solo se habilita si se utiliza la palabra clave.
Cómo se asignan estos mensajes a las marcas de depuración reales no se especifica y puede cambiar con las versiones más recientes de este programa. Sin embargo, se seleccionan cuidadosamente para ayudar lo mejor posible en la depuración.
--debug flags
Establece las marcas de depuración. Todas las marcas se combinan mediante OR y las marcas se pueden proporcionar en sintaxis C (por ejemplo, 0x0042) o como una lista separada por comas de nombres de marcas. Para obtener una lista de todas las marcas admitidas, se puede utilizar la palabra única "help". Esta opción solo es útil para la depuración y el comportamiento puede cambiar en cualquier momento sin previo aviso.
--debug-all
Establece todas las marcas de depuración útiles.
--debug-iolbf
Establece stdout en modo de almacenamiento en búfer de línea. Esta opción solo se tiene en cuenta cuando se proporciona en la línea de comandos.
--debug-set-iobuf-size n
Cambia el tamaño del búfer de los IOBUFs a n kilobyte. El uso de 0 imprime el tamaño actual. Tenga en cuenta: esta es una opción solo para desarrolladores y, por lo tanto, puede cambiar o eliminarse en cualquier momento sin previo aviso.
--debug-allow-large-chunks
Para facilitar las pruebas de software y los experimentos, esta opción permite especificar un límite de hasta 4 EiB (--chunk-size 62).
--debug-ignore-expiration
Esta opción intenta anular ciertas fechas de vencimiento de las claves. Solo es útil para ciertas pruebas de regresión.
--faked-system-time epoch
Esta opción solo es útil para las pruebas; establece la hora del sistema hacia atrás o hacia adelante a la época, que es el número de segundos transcurridos desde el año 1970. Alternativamente, se puede proporcionar epoch como una cadena de fecha y hora ISO completa (por ejemplo, "20070924T154812").
Si agrega un signo de exclamación al final de epoch (!), la hora del sistema parecerá estar congelada en la hora especificada.
--full-timestrings
Cambia el formato de las fechas y horas de creación y vencimiento impresas para que muestren solo la fecha a la fecha y la hora. En general, esto no es útil y la misma información ya está disponible en el modo --with-colons. Estas cadenas más largas tampoco están bien alineadas con otros datos impresos.
--enable-progress-filter
Habilita ciertas salidas de estado de PROGRESS. Esta opción permite que las interfaces muestren un indicador de progreso mientras gpg procesa archivos más grandes. Su uso implica una ligera sobrecarga de rendimiento.
--status-fd n
Escribe cadenas de estado especiales en el descriptor de archivo n. Consulte el archivo DETAILS en la documentación para obtener una lista de ellos.
--status-file file
Lo mismo que --status-fd, excepto que los datos de estado se escriben en el archivo file.
--logger-fd n
Escribe la salida del registro en el descriptor de archivo n y no en STDERR.
--log-file file
--logger-file file
Lo mismo que --logger-fd, excepto que los datos del registrador se escriben en el archivo file. Utilice 'socket://' para registrar en un socket.
--log-time
Prefija toda la salida de registro con una marca de tiempo, incluso si no se utiliza ningún archivo de registro.
--attribute-fd n
Escribe los subpaquetes de atributos en el descriptor de archivo n. Esto es más útil cuando se usa con --status-fd, ya que los mensajes de estado son necesarios para separar los diferentes subpaquetes de la secuencia que se entrega al descriptor de archivo.
--attribute-file file
Igual que --attribute-fd, excepto que los datos de atributo se escriben en el archivo file.
--comment string
--no-comments
Usa string como una cadena de comentario en las firmas en texto sin formato y los mensajes o claves con formato ASCII (consulta --armor). El comportamiento predeterminado es no usar una cadena de comentario. --comment se puede repetir varias veces para obtener varias cadenas de comentario. --no-comments elimina todos los comentarios.
Es una buena idea mantener la longitud de un solo comentario por debajo de 60 caracteres para evitar problemas con los programas de correo que envuelven dichas líneas. Tenga en cuenta que las líneas de comentario, al igual que todas las demás líneas de encabezado, no están protegidas por la firma.
--emit-version
--no-emit-version
Fuerza la inclusión de la cadena de versión en la salida con formato ASCII. Si se proporciona una sola vez, solo se emite el nombre del programa y el número mayor; si se proporciona dos veces, también se emite el número menor; si se proporciona tres veces, se agrega el micro y si se proporciona cuatro veces, también se agrega una identificación del sistema operativo. --no-emit-version (predeterminado) desactiva la línea de versión.
--sig-notation {name=value}
--cert-notation {name=value}
-N, --set-notation {name=value}
Coloca el par nombre-valor en la firma como datos de notación. El nombre debe consistir solo en caracteres imprimibles o espacios y debe contener un carácter '@' en la forma _ (sustituyendo el nombre de clave y el nombre de dominio apropiados, por supuesto). Esto es para ayudar a evitar la contaminación del espacio de nombres de notación reservado por la IETF. La bandera --expert anula la comprobación de '@'. El valor puede ser cualquier cadena imprimible; se codificará en UTF-8, por lo que debe asegurarse de que su --display-charset esté configurado correctamente. Si hace que el nombre comience con un signo de exclamación (!), los datos de notación se marcarán como críticos (rfc4880:5.2.3.16). --sig-notation establece una notación para las firmas de datos. --cert-notation establece una notación para las firmas de clave (certificaciones). --set-notation establece ambas.
Hay códigos especiales que se pueden utilizar en los nombres de las notaciones. "%k" se expandirá al ID de clave de la clave que se está firmando, "%K" al ID de clave largo de la clave que se está firmando, "%f" a la huella digital de la clave que se está firmando, "%s" al ID de clave de la clave que realiza la firma, "%S" al ID de clave largo de la clave que realiza la firma, "%g" a la huella digital de la clave que realiza la firma (que podría ser una subclave), "%p" a la huella digital de la clave primaria de la clave que realiza la firma, "%c" al recuento de firmas del smartcard OpenPGP y "%%" da como resultado un solo "%". %k, %K y %f solo tienen sentido al realizar una firma de clave (certificación) y %c solo tiene sentido cuando se usa el smartcard OpenPGP.
--known-notation name
Agrega un nombre a la lista de notaciones de firma críticas conocidas. El efecto de esto es que gpg no marcará una firma con una notación de firma crítica de ese nombre como inválida. Tenga en cuenta que gpg ya conoce de forma predeterminada algunos nombres de notaciones de firma críticas.
--sig-policy-url string
--cert-policy-url string
--set-policy-url string
Utilice string como una URL de Política para las firmas (rfc4880:5.2.3.20). Si lo precede con un signo de exclamación (!), el paquete de URL de la política se marcará como crítico. --sig-policy-url establece una URL de política para las firmas de datos. --cert-policy-url establece una URL de política para las firmas de clave (certificaciones). --set-policy-url establece ambos.
Las mismas expansiones de porcentaje que se utilizan para los datos de la notación están disponibles aquí.
--sig-keyserver-url string
Utilice string como una URL de servidor de claves preferida para las firmas de datos. Si lo precede con un signo de exclamación (!), el paquete de URL del servidor de claves se marcará como crítico.
Las mismas expansiones de porcentaje que se utilizan para los datos de la notación están disponibles aquí.
--set-filename string
Utilice string como el nombre de archivo que se almacena dentro de los mensajes. Esto anula el valor predeterminado, que es utilizar el nombre de archivo real del archivo que se está cifrando. El uso de una cadena vacía para string elimina eficazmente el nombre de archivo de la salida.
--for-your-eyes-only
--no-for-your-eyes-only
Establezca el indicador "solo para sus ojos" en el mensaje. Esto hace que GnuPG se niegue a guardar el archivo a menos que se proporcione la opción --output, y que PGP utilice un "visor seguro" con una fuente que supuestamente resiste las pruebas Tempest para mostrar el mensaje. Esta opción anula --set-filename. --no-for-your-eyes-only deshabilita esta opción.
--use-embedded-filename
--no-use-embedded-filename
Intente crear un archivo con un nombre como el que está integrado en los datos. Esta puede ser una opción peligrosa, ya que permite sobrescribir archivos al dar al remitente el control de cómo almacenar los archivos. Por defecto, está configurado en no. Tenga en cuenta que la opción --output anula esta opción.
Una mejor alternativa al uso de esta opción es descifrar en un nombre de archivo temporal y luego cambiar el nombre de ese archivo al nombre de archivo integrado después de verificar que el nombre de archivo integrado sea inofensivo. Al usar la opción --status-fd, gpg informa el nombre de archivo como parte del mensaje de estado PLAINTEXT. Si el nombre de archivo es importante, el uso de gpgtar es otra opción, ya que gpgtar nunca sobrescribirá un archivo, sino que descifrará los archivos en un nuevo directorio.
Tenga en cuenta también que, a menos que se utilice una firma moderna de la versión 5, el nombre de archivo integrado no forma parte de los datos firmados.
--cipher-algo name
Utilice name como algoritmo de cifrado. Ejecutar el programa con el comando --version muestra una lista de los algoritmos admitidos. Si no se utiliza, el algoritmo de cifrado se selecciona a partir de las preferencias almacenadas con la clave. En general, no desea utilizar esta opción, ya que le permite violar el estándar OpenPGP. La opción --personal-cipher-preferences es la forma segura de lograr lo mismo.
--digest-algo nombre
Utilice `nombre` como el algoritmo de resumen del mensaje. Ejecutar el programa con el comando `--version`
produce una lista de algoritmos compatibles. En general, no debe utilizar esta opción, ya que
le permite violar el estándar OpenPGP. La opción `--personal-digest-preferences` es la forma
segura de lograr el mismo resultado.
--compress-algo nombre
Utilice el algoritmo de compresión `nombre`. "zlib" es la compresión ZLIB RFC-1950. "zip" es la
compresión ZIP RFC-1951 que se utiliza en PGP. "bzip2" es un esquema de compresión más moderno
que puede comprimir algunas cosas mejor que zip o zlib, pero a costa de utilizar más memoria
durante la compresión y la descompresión. "uncompressed" o "none" deshabilita la compresión.
Si no se utiliza esta opción, el comportamiento predeterminado es examinar las preferencias del
receptor para ver qué algoritmos admite. Si todo lo demás falla, se utiliza ZIP para una
máxima compatibilidad.
ZLIB puede proporcionar mejores resultados de compresión que ZIP, ya que el tamaño de la ventana
de compresión no está limitado a 8 KB. BZIP2 puede proporcionar incluso mejores resultados de
compresión, pero utilizará una cantidad significativamente mayor de memoria mientras se comprime
y descomprime. Esto puede ser importante en situaciones de poca memoria. Tenga en cuenta,
sin embargo, que PGP (todas las versiones) solo admite la compresión ZIP. El uso de cualquier
algoritmo que no sea ZIP o "none" hará que el mensaje sea ilegible con PGP. En general, no
debe utilizar esta opción, ya que le permite violar el estándar OpenPGP. La opción
`--personal-compress-preferences` es la forma segura de lograr el mismo resultado.
--cert-digest-algo nombre
Utilice `nombre` como el algoritmo de resumen del mensaje que se utiliza al firmar una clave.
Ejecutar el programa con el comando `--version` produce una lista de algoritmos compatibles.
Tenga en cuenta que si elige un algoritmo que GnuPG admite pero otras implementaciones de
OpenPGP no, algunos usuarios no podrán utilizar las firmas de clave que cree, o es posible que
su clave entera no se pueda utilizar. Tenga en cuenta también que un algoritmo de clave pública
debe ser compatible con el algoritmo de resumen especificado; por lo tanto, seleccionar un
algoritmo de resumen arbitrario puede provocar mensajes de error de las capas criptográficas
inferiores o provocar vulnerabilidades de seguridad.
--disable-cipher-algo nombre
Nunca permita el uso de `nombre` como algoritmo de cifrado. El nombre dado no se comprobará
de modo que un algoritmo cargado posteriormente seguirá estando deshabilitado.
--disable-pubkey-algo nombre
Nunca permita el uso de `nombre` como algoritmo de clave pública. El nombre dado no se
comprobará de modo que un algoritmo cargado posteriormente seguirá estando deshabilitado.
--throw-keyids
--no-throw-keyids
No coloque los ID de clave del receptor en los mensajes cifrados. Esto ayuda a ocultar a los
destinatarios del mensaje y es una contramedida limitada contra el análisis de tráfico.
([Mediante el uso de una pequeña ingeniería social, cualquiera que pueda descifrar el mensaje puede
comprobar si uno de los otros destinatarios es el que sospecha]). En el lado del receptor, esto
puede ralentizar el proceso de descifrado, ya que se deben probar todas las claves secretas
disponibles. `--no-throw-keyids` deshabilita esta opción. Esta opción es esencialmente la misma
que el uso de `--hidden-recipient` para todos los destinatarios.
--not-dash-escaped
Esta opción cambia el comportamiento de las firmas en texto sin formato para que puedan usarse para archivos de parche. No debe enviar este tipo de archivo cifrado por correo electrónico, ya que todos los espacios y los finales de línea también se incluyen en el hash. No puede usar esta opción para datos que tengan 5 guiones al comienzo de una línea, ya que los archivos de parche no tienen esto. Una línea de encabezado de cifrado especial le indica a GnuPG esta opción de firma en texto sin formato.
--escape-from-lines
--no-escape-from-lines
Debido a que algunos programas de correo electrónico cambian las líneas que comienzan con "From " a ">From ", es bueno manejar estas líneas de una manera especial al crear firmas en texto sin formato para evitar que el sistema de correo electrónico interrumpa la firma. Tenga en cuenta que todas las demás versiones de PGP también lo hacen de esta manera. Habilitado por defecto. --no-escape-from-lines deshabilita esta opción.
--passphrase-repeat n
Especifique cuántas veces gpg solicitará que se repita la nueva frase de contraseña. Esto es útil para ayudar a memorizar una frase de contraseña. El valor predeterminado es 1 repetición; se puede establecer en 0 para deshabilitar cualquier repetición de la frase de contraseña. Tenga en cuenta que un valor de n mayor que 1 abrirá la ventana pinentry n+1 veces, incluso si se utiliza un pinentry moderno con dos campos de entrada.
--passphrase-fd n
Lea la frase de contraseña desde el descriptor de archivo n. Solo se leerá la primera línea del descriptor de archivo n. Si usa 0 para n, la frase de contraseña se leerá desde STDIN. Esto solo se puede usar si se proporciona una sola frase de contraseña.
Tenga en cuenta que, desde la versión 2.0, esta frase de contraseña solo se utiliza si también se ha proporcionado la opción --batch. Desde la versión 2.1, también se debe establecer la opción --pinentry-mode en loopback.
--passphrase-file archivo
Lea la frase de contraseña desde el archivo archivo. Solo se leerá la primera línea del archivo archivo. Esto solo se puede usar si se proporciona una sola frase de contraseña. Obviamente, una frase de contraseña almacenada en un archivo tiene una seguridad cuestionable si otros usuarios pueden leer este archivo. No use esta opción si puede evitarlo.
Tenga en cuenta que, desde la versión 2.0, esta frase de contraseña solo se utiliza si también se ha proporcionado la opción --batch. Desde la versión 2.1, también se debe establecer la opción --pinentry-mode en loopback.
--passphrase cadena
Use cadena como frase de contraseña. Esto solo se puede usar si se proporciona una sola frase de contraseña. Obviamente, esto tiene una seguridad muy cuestionable en un sistema multiusuario. No use esta opción si puede evitarlo.
Tenga en cuenta que, desde la versión 2.0, esta frase de contraseña solo se utiliza si también se ha proporcionado la opción --batch. Desde la versión 2.1, también se debe establecer la opción --pinentry-mode en loopback.
--pinentry-mode modo
Establezca el modo pinentry en modo. Los valores permitidos para modo son:
default
Utilice el valor predeterminado del agente, que es ask.
ask Forzar el uso de Pinentry.
cancel Emular el uso del botón de cancelar de Pinentry.
error Devolver un error de Pinentry (``No Pinentry'').
loopback Redirigir las consultas de Pinentry al llamador. Tenga en cuenta que, a diferencia de Pinentry, el usuario no se le solicitará de nuevo si introduce una contraseña incorrecta.
--no-symkey-cache Desactivar la caché de contraseñas utilizada para el cifrado y descifrado simétricos. Esta caché se basa en el valor de sal específico del mensaje (consulte --s2k-mode).
--request-origin origin Indicar a gpg que asuma que la operación se originó en realidad en origin. Dependiendo del origen, se aplican ciertas restricciones y Pinentry puede incluir una nota adicional sobre el origen. Los valores admitidos para origin son: local, que es el valor predeterminado, remote para indicar un origen remoto o browser para una operación solicitada por un navegador web.
--command-fd n Este es un reemplazo para el modo IPC de memoria compartida en desuso. Si esta opción está habilitada, no se espera que la entrada del usuario para las preguntas provenga de la TTY, sino del descriptor de archivo dado. Debe utilizarse junto con --status-fd. Consulte el archivo doc/DETAILS en la distribución de origen para obtener más detalles sobre cómo utilizarlo.
--command-file file Similar a --command-fd, excepto que los comandos se leen del archivo file.
--allow-non-selfsigned-uid
--no-allow-non-selfsigned-uid Permitir la importación y el uso de claves con ID de usuario que no estén autofirmadas. No se recomienda, ya que un ID de usuario no autofirmado es trivial de falsificar. --no-allow-non-selfsigned-uid deshabilita esta opción.
--allow-freeform-uid Desactivar todas las comprobaciones sobre el formato del ID de usuario al generar uno nuevo. Esta opción solo debe utilizarse en entornos muy especiales, ya que no garantiza el formato estándar de facto de los ID de usuario.
--ignore-time-conflict GnuPG normalmente comprueba que las marcas de tiempo asociadas con las claves y las firmas tengan valores plausibles. Sin embargo, a veces una firma parece ser anterior a la clave debido a problemas de reloj. Esta opción convierte estas comprobaciones en una advertencia. Consulte también --ignore-valid-from para problemas de marca de tiempo en las subclaves.
--ignore-valid-from GnuPG normalmente no selecciona ni utiliza subclaves creadas en el futuro. Esta opción permite el uso de dichas claves y, por lo tanto, exhibe el comportamiento anterior a la 1.0.7. No debe utilizar esta opción a menos que exista algún problema de reloj. Consulte también --ignore-time-conflict para problemas de marca de tiempo con las firmas.
--ignore-crc-error El blindaje ASCII utilizado por OpenPGP está protegido por una suma de comprobación CRC contra errores de transmisión. Ocasionalmente, el CRC se daña en algún lugar del canal de transmisión, pero el contenido real (que está protegido por el protocolo OpenPGP) sigue estando bien. Esta opción permite que GnuPG ignore los errores de CRC.
--ignore-mdc-error Esta opción convierte un fallo en la protección de integridad MDC en una advertencia. Es necesario para descifrar mensajes antiguos que no utilizaban un MDC. También puede ser útil si un mensaje está parcialmente dañado, pero es necesario obtener la mayor cantidad de datos posible de ese mensaje dañado. Tenga en cuenta que la falta o el fallo de un MDC puede ser un indicio de un ataque. Utilice con precaución; consulte también la opción --rfc2440.
--allow-old-cipher-algos
Los algoritmos de cifrado antiguos, como 3DES, IDEA o CAST5, cifran los datos utilizando bloques de 64 bits; los algoritmos modernos utilizan bloques de 128 bits. Para evitar ciertos ataques a estos algoritmos antiguos, se sugiere no cifrar más de 150 MiB utilizando la misma clave. Por esta razón, gpg no permite el uso de algoritmos de tamaño de bloque de 64 bits para el cifrado, a menos que se especifique esta opción. Algunos modos de conformidad ya establecen o borran esta marca y, por lo tanto, esta marca debe utilizarse después de establecer un modo de conformidad.
--allow-weak-digest-algos
Las firmas realizadas con algoritmos de resumen conocidos como débiles normalmente se rechazan con un mensaje de "algoritmo de resumen no válido". Esta opción permite la verificación de firmas realizadas con dichos algoritmos débiles. MD5 es el único algoritmo de resumen que se considera débil por defecto. Consulte también --weak-digest para rechazar otros algoritmos de resumen.
--weak-digest name
Trata el algoritmo de resumen especificado como débil. Las firmas realizadas sobre algoritmos de resumen débiles normalmente se rechazan. Esta opción se puede proporcionar varias veces si se deben considerar varios algoritmos como débiles. Consulte también --allow-weak-digest-algos para desactivar el rechazo de resúmenes débiles. MD5 siempre se considera débil y no es necesario incluirlo explícitamente.
--allow-weak-key-signatures
Para evitar un riesgo menor de ataques de colisión en las firmas de clave de terceros realizadas utilizando SHA-1, estas firmas de clave se consideran inválidas. Esta opción permite anular esta restricción.
--override-compliance-check
Esta era una opción temporal y ya no tiene ningún efecto.
--no-default-keyring
No agregue el keyring predeterminado a la lista de keyrings. Tenga en cuenta que GnuPG necesita un keyring para casi todas las operaciones. Por lo tanto, si utiliza esta opción y no proporciona keyrings alternativos a través de --keyring, entonces GnuPG seguirá utilizando el keyring predeterminado.
Tenga en cuenta que si la opción use-keyboxd está habilitada en 'common.conf', no se utiliza ningún keyring y todas las claves se mantienen en la base de datos del proceso keyboxd.
--no-keyring
No utilice ningún keyring. Esto anula el valor predeterminado y todas las opciones que especifican keyrings.
--skip-verify
Omitir el paso de verificación de la firma. Esto se puede utilizar para que el descifrado sea más rápido si la verificación de la firma no es necesaria.
--with-key-data
Imprima los listados de claves delimitados por dos puntos (como --with-colons) e imprima los datos de la clave pública.
--list-signatures
--list-sigs
Igual que --list-keys, pero también se enumeran las firmas. Este comando tiene el mismo efecto que utilizar --list-keys con --with-sig-list. Tenga en cuenta que, en contraste con --check-signatures, las firmas de clave no se verifican. Este comando se puede utilizar para crear una lista de claves de firma faltantes en el keyring local; por ejemplo:
gpg --list-sigs --with-colons USERID | \
awk -F: '$1=="sig" && $2=="?" {if($13){print $13}else{print $5}}'
--fast-list-mode
Cambia la salida de los comandos de lista para que funcionen más rápido; esto se logra dejando algunas partes vacías. Algunas aplicaciones no necesitan el ID de usuario y la información de confianza que se proporciona en los listados. Al usar esta opción, pueden obtener un listado más rápido. El comportamiento exacto de esta opción puede cambiar en versiones futuras. Si le falta alguna información, no use esta opción.
--no-literal
Esto no es para uso normal. Consulte el código fuente para ver para qué podría ser útil.
--set-filesize
Esto no es para uso normal. Consulte el código fuente para ver para qué podría ser útil.
--show-session-key
Muestra la clave de sesión utilizada para un mensaje. Consulte --override-session-key para la opción correspondiente.
Pensamos que el depósito de claves es algo malo; sin embargo, el usuario debe tener la libertad de decidir si ir a la cárcel o revelar el contenido de un mensaje específico sin comprometer todos los mensajes que se hayan cifrado para una clave secreta.
También puede usar esta opción si recibe un mensaje cifrado que es abusivo u ofensivo, para demostrar a los administradores del sistema de mensajería que el texto cifrado corresponde a un texto sin cifrar inapropiado para que puedan tomar medidas contra el usuario infractor.
--override-session-key string
--override-session-key-fd fd
No use la clave pública, sino la clave de sesión, ya sea la cadena o la clave de sesión tomada de la primera línea que se lee del descriptor de archivo fd. El formato de esta cadena es el mismo que el que se imprime con --show-session-key. Esta opción normalmente no se utiliza, pero es útil en caso de que alguien le obligue a revelar el contenido de un mensaje cifrado; al usar esta opción, puede hacerlo sin entregar la clave secreta. Tenga en cuenta que el uso de --override-session-key puede revelar la clave de sesión a todos los usuarios locales a través de la tabla de procesos global. A menudo, es útil combinar esta opción con --no-keyring.
--ask-sig-expire
--no-ask-sig-expire
Cuando se crea una firma de datos, se solicita un tiempo de expiración. Si no se especifica esta opción, se utiliza el tiempo de expiración establecido mediante --default-sig-expire. --no-ask-sig-expire deshabilita esta opción.
--default-sig-expire
El tiempo de expiración predeterminado que se utilizará para la expiración de la firma. Los valores válidos son "0" para que no haya expiración, un número seguido de la letra d (para días), w (para semanas), m (para meses) o y (para años) (por ejemplo, "2m" para dos meses o "5y" para cinco años), o una fecha absoluta en el formato AAAA-MM-DD. El valor predeterminado es "0".
--ask-cert-expire
--no-ask-cert-expire
Cuando se crea una firma de clave, se solicita un tiempo de expiración. Si no se especifica esta opción, se utiliza el tiempo de expiración establecido mediante --default-cert-expire. --no-ask-cert-expire deshabilita esta opción.
--default-cert-expire
El tiempo de expiración predeterminado que se utilizará para la expiración de la firma de clave. Los valores válidos son "0" para que no haya expiración, un número seguido de la letra d (para días), w (para semanas), m (para meses) o y (para años) (por ejemplo, "2m" para dos meses o "5y" para cinco años), o una fecha absoluta en el formato AAAA-MM-DD.
--default-new-key-algo string
Esta opción se puede usar para cambiar los algoritmos predeterminados para la generación de claves. La cadena es similar a los argumentos requeridos para el comando --quick-add-key, pero ligeramente diferente. Debe consultar el código fuente para obtener más detalles. Tenga en cuenta que los comandos avanzados de generación de claves siempre se pueden usar para especificar un algoritmo de clave directamente. Establecer un modo de cumplimiento establecerá o borrará esta marca, por lo que solo debe usarse después de establecer un modo de cumplimiento.
--no-auto-trust-new-key
Cuando se crea una nueva clave, el valor de ownertrust de la nueva clave se establece en "ultimate". Esta opción desactiva esto y el usuario debe asignar manualmente un valor de ownertrust.
--force-sign-key
Esta opción modifica el comportamiento de los comandos --quick-sign-key, --quick-lsign-key y los subcomandos "sign" de --edit-key al forzar la creación de una firma de clave, incluso si ya existe una.
--forbid-gen-key
Esta opción está destinada a usarse en el archivo de configuración global para prohibir el uso de los comandos de generación de claves. Estos comandos fallarán entonces con el código de error "No habilitado".
--allow-secret-key-import
Esta es una opción obsoleta y no se usa en ninguna parte.
--allow-multiple-messages
--no-allow-multiple-messages
Estas son opciones obsoletas; ya no tienen efecto desde GnuPG 2.2.8.
--enable-special-filenames
Esta opción habilita un modo en el que los nombres de archivo del formulario '-&n', donde n es un número decimal no negativo, se refieren al descriptor de archivo n y no a un archivo con ese nombre.
--no-expensive-trust-checks
Solo para uso experimental.
--preserve-permissions
No cambie los permisos de un anillo de claves secretas para que vuelvan a ser solo de lectura/escritura para el usuario. Use esta opción solo si realmente sabe lo que está haciendo.
--default-preference-list string
Establezca la lista de preferencias predeterminadas en string. Esta lista de preferencias se usa para las nuevas claves y se convierte en el valor predeterminado para "setpref" en el menú --edit-key.
--default-keyserver-url name
Establezca la URL del servidor de claves predeterminado en name. Este servidor de claves se utilizará como la URL del servidor de claves cuando se escriba una nueva autofirma en una clave, lo que incluye la generación de claves y el cambio de preferencias.
--list-config
Muestre varios parámetros de configuración internos de GnuPG. Esta opción está destinada a programas externos que llaman a GnuPG para realizar tareas, y por lo tanto no es generalmente útil. Consulte el archivo 'doc/DETAILS' en la distribución de origen para obtener más detalles sobre qué elementos de configuración se pueden enumerar. --list-config solo se puede usar con --with-colons establecido.
--list-gcrypt-config
Muestre varios parámetros de configuración internos de Libgcrypt.
--gpgconf-list
Este comando es similar a --list-config, pero en general se usa solo internamente por la herramienta gpgconf.
--gpgconf-test
Esta es más o menos una acción ficticia. Sin embargo, analiza el archivo de configuración y devuelve un error si el archivo de configuración impediría que gpg se inicie. Por lo tanto, puede utilizarse para ejecutar una verificación de sintaxis en el archivo de configuración.
--chuid uid
Cambia el usuario actual a uid, que puede ser un número o un nombre. Esto se puede utilizar desde la cuenta de root para ejecutar gpg para otro usuario. Si uid no es el UID actual, se establece un PATH estándar y la variable de entorno GNUPGHOME se elimina. Para anular esto último, se puede utilizar la opción --homedir. Esta opción solo tiene efecto cuando se utiliza en la línea de comandos. Esta opción actualmente no tiene ningún efecto en Windows.
Opciones obsoletas
-t, --textmode
--no-textmode
Trata los archivos de entrada como texto y los almacena en el formato de texto canónico de OpenPGP con terminadores de línea "CRLF" estándar. Esto también establece las banderas necesarias para informar al destinatario de que los datos cifrados o firmados son texto y que es posible que sus terminadores de línea deban volver a convertirse al formato que utiliza el sistema local. Esta opción fue útil cuando se comunicaba entre dos plataformas con diferentes convenciones de terminación de línea (UNIX-like a Mac, Mac a Windows, etc.). --no-textmode deshabilita esta opción y es el valor predeterminado. Tenga en cuenta que esta es una opción heredada que ya no debería utilizarse en ningún software moderno.
--force-v3-sigs
--no-force-v3-sigs
--force-v4-certs
--no-force-v4-certs
Estas opciones están obsoletas y no tienen ningún efecto desde GnuPG 2.1.
--show-photos
--no-show-photos
Hace que --list-keys, --list-signatures, --list-public-keys, --list-secret-keys y la verificación de una firma también muestren el ID de la foto adjunta a la clave, si la hay. Consulte también --photo-viewer. Estas opciones están obsoletas. Utilice --list-options [no-]show-photos y/o --verify-options [no-]show-photos en su lugar.
--show-keyring
Muestra el nombre del anillo de claves al principio de las listas de claves para mostrar en qué anillo de claves se encuentra una clave determinada. Esta opción está obsoleta: utilice --list-options [no-]show-keyring en su lugar.
--show-notation
--no-show-notation
Muestra las anotaciones de la firma en las listas de --list-signatures o --check-signatures, así como cuando se verifica una firma con una anotación. Estas opciones están obsoletas. Utilice --list-options [no-]show-notation y/o --verify-options [no-]show-notation en su lugar.
--show-policy-url
--no-show-policy-url
Muestra las URL de la política en las listas de --list-signatures o --check-signatures, así como cuando se verifica una firma con una URL de la política. Estas opciones están obsoletas. Utilice --list-options [no-]show-policy-url y/o --verify-options [no-]show-policy-url en su lugar.
--personal-aead-preferences string
Esta opción está obsoleta y ya no tiene ningún efecto desde la versión 2.3.9.
--aead-algo name
Esta opción está obsoleta y ya no tiene ningún efecto desde la versión 2.3.9.
EJEMPLOS
gpg -se -r Bob file
firma y cifra para el usuario Bob
gpg --clear-sign archivo
crear una firma en texto plano
gpg -sb archivo
crear una firma independiente
gpg -u 0x12345678 -sb archivo
crear una firma independiente con la clave 0x12345678
gpg --list-keys user_ID
mostrar claves
gpg --fingerprint user_ID
mostrar huella digital
gpg --verify pgpfile
gpg --verify sigfile [archivo_de_datos]
Verificar la firma del archivo, pero no mostrar los datos a menos que se solicite. La segunda forma se utiliza para firmas independientes, donde sigfile es la firma independiente (en formato ASCII o binario) y archivo_de_datos son los datos firmados; si esto no se proporciona, el nombre del archivo que contiene los datos firmados se construye eliminando la extensión (".asc" o ".sig") de sigfile o preguntando al usuario el nombre del archivo. Si la opción --output también se utiliza, los datos firmados se escriben en el archivo especificado por esa opción; use - para escribir los datos firmados en stdout.
CÓMO ESPECIFICAR UN ID. DE USUARIO
Existen diferentes formas de especificar un ID. de usuario para GnuPG. Algunas de ellas solo son válidas para gpg, otras solo para gpgsm. Aquí hay una lista completa de las formas de especificar una clave:
Por ID. de clave. Este formato se deduce de la longitud de la cadena y su contenido, o del prefijo 0x. El ID. de clave de un certificado X.509 son los 64 bits inferiores de su huella digital SHA-1. El uso de ID. de clave es solo un atajo; para todo el procesamiento automatizado, se debe usar la huella digital.
Cuando se utiliza gpg, se puede agregar un signo de exclamación (!) para forzar el uso de la clave primaria o secundaria especificada y no intentar calcular qué clave primaria o secundaria utilizar.
Las últimas cuatro líneas del ejemplo proporcionan el ID. de clave en su forma larga, tal como se utiliza internamente por el protocolo OpenPGP. Puede ver el ID. de clave largo utilizando la opción --with-colons.
2345674
034E556E
0134756A
0AB123456
234ABBCC34567C4
0323456784E56EAB
01B3FED1347A5612
0234AABBCC34567C4
Por huella digital. Este formato se deduce de la longitud de la cadena y su contenido, o del prefijo 0x. Tenga en cuenta que solo la versión de huella digital de 20 bytes está disponible con gpgsm (es decir, el hash SHA-1 del certificado).
Cuando se utiliza gpg, se puede agregar un signo de exclamación (!) para forzar el uso de la clave primaria o secundaria especificada y no intentar calcular qué clave primaria o secundaria utilizar.
La mejor manera de especificar un ID. de clave es utilizando la huella digital. Esto evita cualquier ambigüedad en caso de que haya ID. de clave duplicados.
1234343434343434434343434343434
1234343434343433434343434343734349A3434
012343434343434343434EAB3484343434343434
0E12343434343434343434EAB3484343434343434
gpgsm también acepta dos puntos entre cada par de dígitos hexadecimales porque este es el estándar de facto sobre cómo se presenta la huella digital X.509. Gpg también permite el uso de la huella digital SHA-1 separada por espacios, como se imprime en los comandos de listado de claves.
Por coincidencia exacta del ID. de usuario OpenPGP. Esto se denota mediante un signo igual inicial. No tiene sentido para los certificados X.509.
=Heinrich Heine <_>
Por coincidencia exacta de una dirección de correo electrónico. Esto se indica encerrando la dirección de correo electrónico de la manera habitual con corchetes angulares izquierdo y derecho.
<_>
Por coincidencia parcial de una dirección de correo electrónico. Esto se indica anteponiendo el carácter @ a la cadena de búsqueda. Esto utiliza una búsqueda de subcadena, pero considera solo la dirección de correo (es decir, dentro de los corchetes angulares).
@heinrichh
Por coincidencia exacta del DN del sujeto.
Esto se indica con un carácter de barra diagonal al principio, seguido directamente por el DN codificado en RFC-2253 del
sujeto. Tenga en cuenta que no puede utilizar la cadena impresa por gpgsm --list-keys, ya que esta se ha reorganizado y modificado para mejorar la legibilidad; utilice --with-colons para imprimir la cadena sin formato (pero con escape estándar) en formato RFC-2253.
/CN=Heinrich Heine,O=Poets,L=Paris,C=FR
Por coincidencia exacta del DN del emisor. Esto se indica con un carácter de numeral al principio, seguido de una barra diagonal y luego seguido directamente por el DN codificado en RFC-2253 del emisor. Esto debería devolver el certificado raíz del emisor. Consulte la nota anterior.
#/CN=Root Cert,O=Poets,L=Paris,C=FR
Por coincidencia exacta del número de serie y el DN del emisor. Esto se indica con un carácter de numeral, seguido de la representación hexadecimal del número de serie, luego seguido de una barra diagonal y el DN codificado en RFC-2253 del emisor. Consulte la nota anterior.
#4F03/CN=Root Cert,O=Poets,L=Paris,C=FR
Por keygrip.
Esto se indica con un carácter de ampersand seguido de los 40 dígitos hexadecimales de un keygrip. gpgsm imprime el keygrip al utilizar el comando --dump-cert.
&D75F22C3F86E355877348498CDC92BD21010A480
Por coincidencia de subcadena. Este es el modo predeterminado, pero las aplicaciones pueden querer indicarlo explícitamente colocando el asterisco al principio. La coincidencia no distingue entre mayúsculas y minúsculas.
Heine *Heine
Prefijos . y +
Estos prefijos están reservados para buscar correos electrónicos anclados al final y para un modo de búsqueda de palabras. Todavía no se han implementado y su uso no está definido.
Tenga en cuenta que hemos reutilizado el identificador de numeral que se utilizaba en las versiones antiguas de GnuPG para indicar el llamado local-id. Ya no se utiliza y no debería haber ningún conflicto cuando se utiliza con cosas relacionadas con X.509.
El uso del formato RFC-2253 de los DN tiene la desventaja de que no es posible mapearlos de nuevo a la codificación original, sin embargo, no necesitamos hacerlo porque nuestra base de datos de claves almacena esta codificación como metadatos.
EXPRESIONES DE FILTRO
Las opciones --import-filter y --export-filter utilizan expresiones con esta sintaxis (los corchetes indican una parte opcional y las llaves una repetición, se permite el espacio en blanco entre los elementos):
[lc] {[{flag}] PROPNAME op VALUE [lc]}
El nombre de una propiedad (PROPNAME) solo puede contener letras, dígitos y guiones bajos. La descripción del tipo de filtro describe qué propiedades están definidas. Si se utiliza una propiedad no definida, se evalúa como una cadena vacía. A menos que se indique lo contrario, el VALOR siempre debe proporcionarse y no puede ser una cadena vacía. No se define ninguna comilla para el valor, por lo que el valor no puede contener las cadenas && o ||, que se utilizan como operadores de conexión lógica. El indicador -- se puede utilizar para eliminar esta restricción.
Los valores numéricos se calculan como long int; se aplica la notación estándar de C. lc es el operador de conexión lógica: && para una conjunción o || para una disyunción. Se asume una conjunción al principio de una expresión. Las conjunciones tienen mayor precedencia que las disyunciones. Si VALUE comienza con uno de los caracteres utilizados en cualquier operador, se requiere un espacio después del operador.
Los operadores (op) admitidos son:
=~ La subcadena debe coincidir.
!~ La subcadena no debe coincidir.
= La cadena completa debe coincidir.
<> La cadena completa no debe coincidir.
== El valor numérico debe coincidir.
!= El valor numérico no debe coincidir.
<= El valor numérico del campo debe ser menor o igual que el valor.
< El valor numérico del campo debe ser menor que el valor.
> El valor numérico del campo debe ser mayor que el valor.
>= El valor numérico del campo debe ser mayor o igual que el valor.
-le El valor de cadena del campo debe ser menor o igual que el valor.
-lt El valor de cadena del campo debe ser menor que el valor.
-gt El valor de cadena del campo debe ser mayor que el valor.
-ge El valor de cadena del campo debe ser mayor o igual que el valor.
-n Verdadero si el valor no está vacío (no se permite ningún valor).
-z Verdadero si el valor está vacío (no se permite ningún valor).
-t Alias de "PROPNAME != 0" (no se permite ningún valor).
-f Alias de "PROPNAME == 0" (no se permite ningún valor).
Los valores para flag deben estar separados por espacios. Las banderas admitidas son:
-- `VALUE` abarca hasta el final de la expresión.
-c La coincidencia de cadenas en esta parte se realiza con distinción entre mayúsculas y minúsculas.
-t No se eliminan los espacios iniciales y finales de `VALUE`. El espacio único opcional después del operador es obligatorio aquí.
Las opciones de filtro concatenan varias especificaciones para un filtro del mismo tipo. Por ejemplo, las cuatro opciones en este ejemplo:
--import-filter keep-uid="uid =~ Alfa"
--import-filter keep-uid="&& uid !~ Test"
--import-filter keep-uid="|| uid =~ Alpha"
--import-filter keep-uid="uid !~ Test"
que es equivalente a
--import-filter \
keep-uid="uid =~ Alfa" && uid !~ Test" || uid =~ Alpha" && "uid !~ Test"
importa solo los ID de usuario de una clave que contiene las cadenas "Alfa" o "Alpha", pero no la cadena "test".
VALORES DE CONFIANZA
Los valores de confianza se utilizan para indicar la confianza del propietario y la validez de las claves y los ID de usuario. Se muestran con letras o cadenas:
unknown
No se ha asignado ninguna confianza del propietario / aún no se ha calculado.
e
expired
El cálculo de la confianza ha fallado; probablemente debido a una clave caducada.
q
undefined, undef
No hay suficiente información para el cálculo.
n
never Nunca confíe en esta clave.
m
marginal
Confiable marginalmente.
f
full Totalmente confiable.
u
ultimate
Definitivamente confiable.
r
revoked
Solo para la validez: la clave o el ID de usuario han sido revocados.
?
err El programa encontró un valor de confianza desconocido.
ARCHIVOS
Hay algunos archivos de configuración para controlar ciertos aspectos de la operación de gpg. A menos que se indique lo contrario, se espera que estén en el directorio de inicio actual (vea: [opción --homedir]).
gpg.conf
Este es el archivo de configuración estándar que gpg lee al inicio. Puede contener cualquier opción válida de línea de comandos; los dos guiones iniciales no deben incluirse y la opción no puede abreviarse. Este nombre predeterminado se puede cambiar en la línea de comandos (ver: [gpg-option --options]). Debe hacer una copia de seguridad de este archivo.
common.conf
Este es un archivo de configuración opcional que gpg lee al inicio. Puede contener opciones que se aplican a todos los componentes de GnuPG. Su uso principal actual es para la opción "use-keyboxd". Si el directorio de inicio predeterminado ‘~/.gnupg’ no existe, GnuPG crea este directorio y un archivo ‘common.conf’ con "use-keyboxd".
Tenga en cuenta que en instalaciones más grandes, es útil colocar archivos predefinidos en el directorio ‘/etc/skel/.gnupg’ para que los nuevos usuarios comiencen con una configuración funcional. Para los usuarios existentes, se proporciona un pequeño script de ayuda para crear estos archivos (ver: [addgnupghome]).
Para fines internos, gpg crea y mantiene algunos archivos más; todos se encuentran en el directorio de inicio actual (ver: [option --homedir]). Solo el programa gpg puede modificar estos archivos.
~/.gnupg
Este es el directorio de inicio predeterminado que se utiliza si no se proporciona ni la variable de entorno GNUPGHOME ni la opción --homedir.
~/.gnupg/pubring.gpg
El anillo de claves públicas que utiliza un formato heredado. Debe hacer una copia de seguridad de este archivo.
Si este archivo no está disponible, gpg utiliza el nuevo formato de keybox y crea un archivo ‘pubring.kbx’ a menos que ese archivo ya exista, en cuyo caso ese archivo también se utilizará para las claves OpenPGP.
Tenga en cuenta que, en caso de que existan ambos archivos, ‘pubring.gpg’ y ‘pubring.kbx’, pero este último no contiene claves OpenPGP, se utilizará el archivo heredado ‘pubring.gpg’. Tenga cuidado: las versiones de GnuPG anteriores a la 2.1 siempre utilizarán el archivo ‘pubring.gpg’ porque no conocen el nuevo formato de keybox. En el caso de que tenga que utilizar GnuPG 1.4 para descifrar datos archivados, debe conservar este archivo.
~/.gnupg/pubring.gpg.lock
El archivo de bloqueo del anillo de claves públicas.
~/.gnupg/pubring.kbx
El anillo de claves públicas que utiliza el nuevo formato de keybox. Este archivo se comparte con gpgsm. Debe hacer una copia de seguridad de este archivo. Consulte lo anterior para conocer la relación entre este archivo y su predecesor.
Para convertir un archivo ‘pubring.gpg’ existente al formato de keybox, primero haga una copia de seguridad de los valores de ownertrust, luego cambie el nombre de ‘pubring.gpg’ a ‘publickeys.backup’, para que no sea reconocido por ninguna versión de GnuPG, ejecute import y, finalmente, restaure los valores de ownertrust:
$ cd ~/.gnupg
$ gpg --export-ownertrust >otrust.lst
$ mv pubring.gpg publickeys.backup
$ gpg --import-options restore --import publickeys.backup
$ gpg --import-ownertrust otrust.lst
~/.gnupg/pubring.kbx.lock
El archivo de bloqueo para ‘pubring.kbx’.
~/.gnupg/secring.gpg
El anillo de claves secretas heredado utilizado por las versiones de GnuPG anteriores a la 2.1. No es utilizado por GnuPG 1 y posteriores. Es posible que desee conservarlo en caso de que tenga que utilizar GnuPG 1.4 para descifrar datos archivados.
~/.gnupg/secring.gpg.lock
El archivo de bloqueo para el llavero secreto heredado.
~/.gnupg/.gpg-v21-migrated
Archivo que indica que se ha realizado una migración a GnuPG 2.1.
~/.gnupg/trustdb.gpg
La base de datos de confianza. No es necesario hacer una copia de seguridad de este archivo; es mejor hacer una copia de seguridad de los valores de ownertrust (ver: [opción --export-ownertrust]).
~/.gnupg/trustdb.gpg.lock
El archivo de bloqueo para la base de datos de confianza.
~/.gnupg/random_seed
Un archivo utilizado para preservar el estado del grupo interno de números aleatorios.
~/.gnupg/openpgp-revocs.d/
Este es el directorio donde gpg almacena los certificados de revocación pregenerados. El nombre del archivo corresponde a la huella digital OpenPGP de la clave respectiva. Se sugiere hacer una copia de seguridad de estos certificados y, si la clave privada principal no se almacena en el disco, moverlos a un dispositivo de almacenamiento externo. Cualquiera que pueda acceder a estos archivos puede revocar la clave correspondiente. Es posible que desee imprimirlos. Debe hacer una copia de seguridad de todos los archivos en este directorio y tener cuidado de mantener esta copia de seguridad en un lugar seguro.
La operación se controla además mediante algunas variables de entorno:
HOME Se utiliza para encontrar el directorio de inicio predeterminado.
GNUPGHOME Si se establece, se utiliza este directorio en lugar de "\~/.gnupg".
GPG_AGENT_INFO
Esta variable está obsoleta; se utilizaba en las versiones de GnuPG anteriores a la 2.1.
PINENTRY_USER_DATA
Este valor se pasa a través de gpg-agent a pinentry. Es útil para transmitir información adicional a un pinentry personalizado.
COLUMNS
LINES Se utiliza para dimensionar algunas pantallas al tamaño completo de la pantalla.
LANGUAGE
Además de su uso por GNU, se utiliza en la versión de W32 para anular la selección de idioma que se realiza a través del Registro. Si se utiliza y se establece en un nombre de idioma válido y disponible (identificador de idioma), el archivo con la traducción se carga desde gpgdir/gnupg.nls/identificador de idioma.mo. Aquí, gpgdir es el directorio desde el que se ha cargado el binario de gpg. Si no se puede cargar, se intenta el Registro y, como último recurso, se utiliza el sistema de configuración regional nativo de Windows.
GNUPG_BUILD_ROOT Esta variable solo la utiliza el conjunto de pruebas de regresión como ayuda en los sistemas operativos que no tienen un soporte adecuado para determinar el nombre del archivo de texto de un proceso.
GNUPG_EXEC_DEBUG_FLAGS Esta variable permite habilitar diagnósticos para la administración de procesos. Se espera un valor decimal numérico. El bit 0 habilita los diagnósticos generales, el bit 1 habilita ciertas advertencias en Windows.
Cuando se llama al componente gpg-agent, gpg envía un conjunto de variables de entorno a gpg-agent. Los nombres de estas variables se pueden enumerar mediante el comando:
gpg-connect-agent 'getinfo std_env_names' /bye | awk '$1=="D" {print $2}'
NOTAS
gpg se utiliza a menudo como un motor de fondo por otro software. Para ayudar con esto, se ha definido una interfaz de máquina para tener una forma inequívoca de hacerlo. Las opciones --status-fd y --batch son casi siempre necesarias para esto.
Uso programático de GnuPG
Considere usar GPGME en lugar de llamar a gpg directamente. GPGME ofrece una interfaz estable e independiente del backend para muchas operaciones criptográficas. Es compatible con OpenPGP y S/MIME, y también permite la interacción con varios componentes de GnuPG.
GPGME proporciona una API C y viene con enlaces para C++, Qt y Python. Los enlaces para otros idiomas están disponibles.
Directorios temporales
A veces, desea contener los efectos de alguna operación, por ejemplo, desea importar una clave para inspeccionarla, pero no desea que esta clave se agregue a su llavero. En versiones anteriores de GnuPG, era posible especificar archivos de llavero alternativos tanto para claves públicas como secretas. Sin embargo, en las versiones modernas de GnuPG, cambiamos la forma en que se almacenan las claves secretas para proteger mejor el material de las claves secretas, y no fue posible preservar esta interfaz.
La forma preferida de hacerlo es utilizar directorios temporales. Esta técnica funciona en todas las versiones de GnuPG.
Cree un directorio temporal, cree (o copie) una configuración que satisfaga sus necesidades y haga que gpg utilice este directorio, ya sea utilizando la variable de entorno GNUPGHOME o la opción --homedir. GPGME también lo admite en el contexto de cada contexto modificando la información del motor de los contextos. Ahora, ejecute la operación que desee, importe y exporte el material de la clave según sea necesario. Una vez terminado, puede eliminar el directorio. Todos los servicios de backend de GnuPG que se iniciaron detectarán esto y se cerrarán.
La interfaz de manipulación rápida de claves
Las versiones recientes de GnuPG tienen una interfaz para manipular claves sin utilizar el comando interactivo --edit-key. Esta interfaz se agregó principalmente en beneficio de GPGME (considere usar GPGME, consulte la subsección del manual "Uso programático de GnuPG"). Esta interfaz se describe en la subsección "Cómo administrar sus claves".
Generación de claves no supervisada
El comando --generate-key se puede utilizar junto con la opción --batch para la generación de claves no supervisada. Esta es la forma más flexible de generar claves, pero también es la más compleja. Considere usar la interfaz de manipulación rápida de claves que se describe en la subsección anterior "La interfaz de manipulación rápida de claves".
Los parámetros de la clave se leen desde stdin o se proporcionan como un archivo en la línea de comandos. El formato del archivo de parámetros es el siguiente: solo texto, la longitud de la línea está limitada a aproximadamente 1000 caracteres. Se debe utilizar la codificación UTF-8 para especificar caracteres que no sean ASCII. Las líneas en blanco se ignoran. Se ignora el espacio en blanco inicial y final. Un signo de hash como primer carácter que no es un espacio en blanco indica una línea de comentario. Las sentencias de control se indican mediante un signo de porcentaje inicial, sus argumentos se separan mediante espacios en blanco de la palabra clave. Los parámetros se especifican mediante una palabra clave, seguida de dos puntos; los argumentos se separan mediante espacios en blanco. El primer parámetro debe ser "Key-Type", pero las sentencias de control se pueden colocar en cualquier lugar. El orden de los parámetros no importa, excepto para "Key-Type". Los parámetros solo se utilizan para el bloque de claves generado (claves primarias y secundarias); los parámetros de los conjuntos anteriores no se utilizan. Es posible que se realicen algunas comprobaciones de sintaxis. La clave comienza cuando se alcanza el final del archivo de parámetros, se encuentra el siguiente parámetro "Key-Type" o se encuentra la sentencia de control "%commit".
Sentencias de control:
%echo text
Imprime el texto como mensaje de diagnóstico.
%dry-run
Suprime la generación real de la clave (útil para la verificación de la sintaxis).
%commit
Realiza la generación de la clave. Tenga en cuenta que se realiza un commit implícito en el siguiente parámetro.
%pubring filename
No escriba la clave en el keyring predeterminado o especificado en la línea de comandos, sino en el archivo filename.
Debe proporcionarse antes del primer commit para que tenga efecto; la especificación duplicada del mismo filename se ignora, y el último filename antes de un commit se utiliza. El filename se utiliza hasta que se especifique un nuevo filename (en los puntos de commit), y todas las claves se escriben en ese archivo. Si se proporciona un nuevo filename, este archivo se crea (y sobrescribe uno existente).
Consulte la sección anterior "Directorios home efímeros" para obtener una forma más robusta de contener los efectos secundarios.
%secring filename
Esta opción no tiene efecto para GnuPG 2.1 y versiones posteriores.
Consulte la sección anterior "Directorios home efímeros".
%ask-passphrase
%no-ask-passphrase
Esta opción no tiene efecto desde la versión 2.1 de GnuPG.
%no-protection
El uso de esta opción permite la creación de claves sin ninguna protección de contraseña. Esta opción está destinada principalmente a las pruebas de regresión.
%transient-key
Si se proporciona, las claves se crean utilizando un generador de números aleatorios más rápido y algo menos seguro. Esta opción puede utilizarse para las claves que solo se utilizan durante un corto período de tiempo y que no requieren una gran fortaleza criptográfica. Solo tiene efecto si se utiliza junto con la sentencia de control '%no-protection'.
Parámetros generales:
Key-Type: algo
Inicia un nuevo bloque de parámetros especificando el tipo de clave primaria. El algoritmo debe ser
capaz de firmar. Este es un parámetro obligatorio. algo puede ser un número de algoritmo OpenPGP o una cadena con el nombre del algoritmo. El valor especial 'default' puede utilizarse
para algo para crear el tipo de clave predeterminado; en este caso, no se debe proporcionar un 'Key-Usage' y
también se debe utilizar 'default' para 'Subkey-Type'.
Key-Length: nbits
La longitud solicitada de la clave generada en bits. El valor predeterminado se obtiene ejecutando el
comando 'gpg --gpgconf-list'. Para las claves ECC, este parámetro se ignora.
Key-Curve: curve
La curva elíptica solicitada de la clave generada. Este es un parámetro obligatorio para las
claves ECC. Se ignora para las claves que no son ECC.
Key-Grip: hexstring
Este es opcional y se utiliza para generar una CSR o certificado para una clave ya existente.
Key-Length se ignorará cuando se proporcione.
Key-Usage: usage-list
Lista delimitada por espacios o comas de usos de clave. Los valores permitidos son 'encrypt', 'sign' y
'auth'. Esto se utiliza para generar los indicadores de clave. Asegúrese de que el algoritmo sea
capaz de este uso. Tenga en cuenta que OpenPGP requiere que todas las claves primarias sean capaces de
certificación, por lo que, independientemente del uso que se proporcione aquí, el indicador 'cert' estará activado. Si no se especifica 'Key-Usage' y 'Key-Type' no es 'default', se utilizan todos los usos permitidos para ese
algoritmo en particular; si no se proporciona pero se utiliza 'default', el uso será
'sign'.
Subkey-Type: algo
Esto genera una subclave (subkey). Actualmente solo se puede manejar una subclave. Consulte también ‘Key-Type’ arriba.
Subkey-Length: nbits
Longitud de la subclave en bits. El valor predeterminado se obtiene ejecutando el comando ‘gpg --gpgconf-list’.
Subkey-Curve: curve
Curva de clave para una subclave; similar a ‘Key-Curve’.
Subkey-Usage: usage-list
Listas de uso de clave para una subclave; similar a ‘Key-Usage’.
Passphrase: string
Si desea especificar una frase de contraseña para la clave secreta, ingrese aquí. El valor predeterminado es usar el diálogo Pinentry para solicitar una frase de contraseña.
Name-Real: name
Name-Comment: comment
Name-Email: email
Las tres partes de un nombre de usuario. Recuerde utilizar la codificación UTF-8 aquí. Si no proporciona ninguna de ellas, no se creará ningún ID de usuario.
Expire-Date: iso-date|(number[d|w|m|y])
Establezca la fecha de caducidad de la clave (y la subclave). Puede introducirse en formato de fecha ISO (por ejemplo, "20000815T145012") o como un número de días, semanas, meses o años después de la fecha de creación. La notación especial "seconds=N" también está permitida para especificar un número de segundos desde la creación. Sin una letra, se asumen los días. Tenga en cuenta que no se realiza ninguna comprobación sobre el desbordamiento del tipo utilizado por OpenPGP para las marcas de tiempo. Por lo tanto, es mejor asegurarse de que el valor dado tenga sentido. Aunque OpenPGP trabaja con intervalos de tiempo, GnuPG utiliza un valor absoluto internamente y, por lo tanto, el último año que podemos representar es 2105.
Creation-Date: iso-date
Establezca la fecha de creación de la clave según se almacena en la información de la clave y que también forma parte del cálculo de la huella digital. Se puede utilizar una fecha como "1986-04-26" o una marca de tiempo completa como "19860426T042640". La hora se considera UTC. La notación especial "seconds=N" se puede utilizar para especificar directamente el número de segundos desde la época (tiempo Unix). Si no se proporciona, se utiliza la hora actual.
Preferences: string
Establezca los valores de preferencia de cifrado, hash y compresión para esta clave. Espera el mismo tipo de cadena que el subcomando ‘setpref’ en el menú --edit-key.
Revoker: algo:fpr [sensitive]
Añada un revocador designado a la clave generada. Algo es el algoritmo de clave pública del revocador designado (es decir, RSA=1, DSA=17, etc.). fpr es la huella digital del revocador designado. fpr no puede contener espacios ni dos puntos. La marca opcional ‘sensitive’ marca al revocador designado como información confidencial. Solo las claves v4 y v5 pueden ser revocadores designados.
Keyserver: string
Este es un parámetro opcional que especifica la URL preferida del servidor de claves para la clave.
Handle: string
Este es un parámetro opcional que solo se utiliza con las líneas de estado KEY_CREATED y KEY_NOT_CREATED. string puede tener hasta 100 caracteres y no debe contener espacios. Es útil para la generación por lotes de claves para asociar un bloque de parámetros de clave con una línea de estado.
Aquí hay un ejemplo de cómo crear una clave en un directorio temporal: $ export GNUPGHOME="$(mktemp -d)" $ cat >foo <<EOF %echo Generando una clave OpenPGP básica Key-Type: DSA Key-Length: 1024 Subkey-Type: ELG-E Subkey-Length: 1024 Name-Real: Joe Tester Name-Comment: con una contraseña estúpida Name-Email: _ Expire-Date: 0 Passphrase: abc # Realice un commit aquí, para que podamos imprimir "done" más tarde :-) %commit %echo done EOF $ gpg --batch --generate-key foo [...] $ gpg --list-secret-keys /tmp/tmp.0NQxB74PEf/pubring.kbx ------------------------------sec dsa1024 2016-12-16 [SCA] 768895903FC1C44045C8CB95EEBDB71E9E849D0 uid [ultimate] Joe Tester (con una contraseña estúpida) <_> ssb elg1024 2016-12-16 [E]
Si desea crear una clave con los algoritmos predeterminados, utilizaría estos parámetros: %echo Generando una clave predeterminada Key-Type: default Subkey-Type: default Name-Real: Joe Tester Name-Comment: con una contraseña estúpida Name-Email: _ Expire-Date: 0 Passphrase: abc # Realice un commit aquí, para que podamos imprimir "done" más tarde :-) %commit %echo done
ERRORES
En los sistemas más antiguos, este programa debe instalarse como setuid(root). Esto es necesario para bloquear las páginas de memoria. Bloquear las páginas de memoria evita que el sistema operativo escriba las páginas de memoria (que pueden contener contraseñas u otro material confidencial) en el disco. Si no recibe ningún mensaje de advertencia sobre memoria insegura, su sistema operativo admite el bloqueo sin necesidad de ser root. El programa pierde los privilegios de root tan pronto como se asigna la memoria bloqueada.
Tenga en cuenta también que algunos sistemas (especialmente las computadoras portátiles) tienen la capacidad de realizar una "suspensión en disco" (también conocida como "hibernación"). Esto escribe toda la memoria en el disco antes de pasar a un modo de baja potencia o incluso a un modo apagado. A menos que se tomen medidas en el sistema operativo para proteger la memoria guardada, las contraseñas u otro material confidencial pueden recuperarse más tarde.
Antes de informar sobre un error, primero debe buscar en los archivos de la lista de correo para obtener problemas similares y, a continuación, comprobar si dicho error ya se ha informado en nuestro rastreador de errores en https://bugs.gnupg.org.
VÉASE TAMBIÉN
gpgv(1), gpgsm(1), gpg-agent(1)
La documentación completa de esta herramienta se mantiene como un manual de Texinfo. Si GnuPG y el programa info están correctamente instalados en su sitio, el comando
info gnupg
debería darle acceso al manual completo, incluida una estructura de menú y un índice.