GPG(1) | Manuel de l'utilisateur Linux | GPG(1) |
NOM¶
gpg - Outil de chiffrement et de signature
SYNOPSIS¶
gpg [--homedir nom] [--options fichier]
[options] commande [arguments]
DESCRIPTION¶
gpg est le programme principal du système GnuPG.
Cette page de manuel ne liste que les commandes et options disponibles. Pour une documentation plus détaillée, procurez-vous le GNU Privacy Handbook (manuel de GNU Privacy Guard) ou l'un des autres documents sur http://www.gnupg.org/docs.html.
Rappelez-vous que l'analyse des options s'arrête dès qu'un argument non-option est rencontré ; vous pouvez stopper explicitement l'analyse des options en utilisant l'option spéciale « -- ».
COMMANDES¶
gpg reconnaît les commandes suivantes :
- -s, --sign
- Créer une signature. Cette commande peut être combinée avec --encrypt.
- --clearsign
- Créer une signature en clair.
- -b, --detach-sign
- Créer une signature détachée.
- -e, --encrypt
- Chiffrer des données. Cette option peut être combinée avec --sign.
- -c, --symmetric
- Chiffrer en utilisant un algorithme de chiffrement symétrique uniquement. Cette commande demande une phrase de passe (passphrase, phrase secrète).
- --store
- Stocker uniquement (créer un simple paquet conforme à la RFC 1991).
- --decrypt [fichier]
- Déchiffrer fichier (ou stdin si aucun fichier n'est spécifié) et l'écrire sur stdout (ou dans le fichier spécifié avec --output). Si le fichier déchiffré est signé, la signature est également vérifiée. Cette commande diffère du comportement par défaut, car elle n'écrase jamais le fichier qui est inclus dans fichier et rejette les fichiers qui ne commencent pas par un message chiffré.
- --verify [[fichier-signature] [fichiers-signés]]
- Supposer que fichier-signature est une signature et la vérifier sans générer de sortie. Sans argument, le paquet de signature est lu depuis stdin. Si seul un fichier de signature est fourni, il peut représenter une signature complète ou une signature détachée, auquel cas les données signées sont attendues dans un fichier n'ayant pas l'extension « .sig » ou « .asc ». Avec plus d'un argument, le premier d'entre eux devrait être une signature détachée et les fichiers suivants les données signées. Pour lire les données signées depuis stdin, utilisez « - » comme second nom de fichier. Pour des raisons de sécurité, une signature détachée ne peut lire les données signées depuis stdin sans l'indiquer de la manière précitée.
- --verify-files [fichiers]
- C'est une version spéciale de la commande --verify qui ne fonctionne pas avec les signatures détachées. La commande soit s'attend à ce que les fichiers soient vérifiés sur la ligne de commandes, soit lit les noms de fichiers depuis stdin ; chaque nom doit être sur une ligne séparée. La commande est destinée à la vérification rapide d'un grand nombre de fichiers.
- --encrypt-files [fichiers]
- C'est une version spéciale de la commande --encrypt. La commande soit s'attend à ce que les fichiers soient chiffrés sur la ligne de commandes, soit lit les noms de fichiers depuis stdin ; chaque nom doit être sur une ligne séparée. La commande est destinée au chiffrement rapide d'un grand nombre de fichiers.
- --decrypt-files [fichiers]
- Comme --encrypt-files à la différence que les fichiers seront déchiffrés. La syntaxe des noms de fichiers est identique.
- --list-keys [noms]
- --list-public-keys [noms]
- Lister toutes les clés des trousseaux de clés publiques ou uniquement de ceux spécifiés sur la ligne de commandes.
- --list-secret-keys [noms]
- Lister toutes les clés des trousseaux de clés secrètes ou uniquement de ceux spécifiés sur la ligne de commandes. Un « # » à la suite des lettres « sec » signifie que la clé secrète n'est pas utilisable (elle a p.ex. été créée avec --export-secret-subkeys).
- --list-sigs [noms]
- Comme --list-keys, mais les signatures sont également listées.
- --check-sigs [noms]
- Comme --list-sigs, mais les signatures sont vérifiées.
- --fingerprint [noms]
- Lister toutes les clés avec leurs empreintes. Cela produit la même sortie que --list-keys mais avec une ligne supplémentaire contenant l'empreinte. Peut aussi être combiné avec --list-sigs ou --check-sigs. Si cette commande est répétée, l'empreinte de toutes les clés secondaires sera également mentionnée.
- --list-packets
- Ne lister que la séquence de paquets. Principalement utile lors du débogage.
- --gen-key
- Générer une nouvelle paire de clés. Cette commande n'est normalement utilisée que interactivement.
- Il y a une fonctionnalité expérimentale qui vous permet de créer des clés en mode non interactif (batch). Voyez le fichier doc/DETAILS dans la distribution des sources pour savoir comment l'utiliser.
- --edit-key nom
- Présente un menu qui vous permet d'effectuer toutes sortes de tâches relatives aux clés :
- sign
- Apposer une signature sur la clé de l'utilisateur nom. Si la clé n'est pas déjà signée par l'utilisateur par défaut (ou par les utilisateurs spécifiés avec -u), le programme ré-affiche les informations sur la clé, ainsi que son empreinte, et demande si elle doit être signée. Cette question est répétée pour tous les utilisateurs spécifiés avec -u.
- lsign
- Comme --sign, mais la signature est marquée comme étant non-exportable et ne sera par conséquent jamais utilisée par d'autres. Cela peut être utilisé pour créer des clés valides uniquement dans l'environnement local.
- nrsign
- Comme --sign, mais la signature est marquée comme étant non-révocable et ne peut dès lors jamais être révoquée.
- nrlsign
- Combine les fonctionnalités de nrsign et de lsign pour créer une signature à la fois non-révocable et non-exportable.
- revsig
- Révoquer une signature. Pour chaque signature générée par l'une des clés secrètes, GnuPG demande si un certificat de révocation doit être généré.
- trust
- Modifier la valeur de la confiance dans le propriétaire. Cela met à jour immédiatement la base de données de confiance et ne requiert aucune sauvegarde.
- disable
- enable
- Désactiver ou activer une clé entière. Une clé désactivée ne peut normalement pas être utilisée pour le chiffrement.
- adduid
- Créer un identificateur (ID) d'utilisateur alternatif.
- addphoto
- Créer un ID d'utilisateur photographique.
- deluid
- Effacer un ID d'utilisateur.
- addkey
- Ajouter une sous-clé à cette clé.
- delkey
- Supprimer une sous-clé.
- addrevoker
- Attribuer une autorisation de révocation. Cette commande prend un argument optionnel : « sensitive » (sensible). Si une autorisation de révocation est marquée comme étant sensible, elle ne sera pas exportée par défaut (voyez export-options).
- revkey
- Révoquer une sous-clé.
- expire
- Changer la date d'expiration d'une clé. Si une sous-clé est sélectionnée, sa date d'expiration sera modifiée. Sans sélection, la date d'expiration de la clé primaire est modifiée.
- passwd
- Changer la phrase de passe de la clé secrète.
- primary
- Marquer l'ID d'utilisateur courant comme étant principal, supprimer l'attribut « ID d'utilisateur principal » de tous les autres ID d'utilisateur et avancer l'horodate de toutes les auto-signatures affectées d'une seconde. Notez que la qualification de principal d'un identificateur d'utilisateur photographique le rend prioritaire par rapport aux autres ID d'utilisateurs photographiques ; de même, celui d'un identificateur d'utilisateur normal le rend prioritaire par rapport aux autres ID d'utilisateurs normaux.
- uid n
- Sélectionner l'identificateur d'utilisateur d'indice n. Utilisez 0 pour tout désélectionner.
- key n
- Sélectionner la sous-clé d'indice n. Utilisez 0 pour tout désélectionner.
- check
- Vérifier tous les ID d'utilisateur sélectionnés.
- showphoto
- Afficher l'ID photographique sélectionné.
- pref
- Lister les préférences de l'ID d'utilisateur sélectionné. Cela montre les préférences réelles, sans inclure de préférences impliquées.
- showpref
- Listage plus détaillé des préférences de l'ID d'utilisateur sélectionné. Cela montre les préférences en vigueur y compris les préférences impliquées 3DES (chiffrement), SHA-1 (hachage) et Uncompressed (compactage) si elles ne sont pas déjà incluses dans la liste de préférences.
- setpref chaîne
- Fixer la liste des préférences de l'identificateur d'utilisateur à chaîne, qui devrait être une chaîne similaire à celle affichée par « pref ». L'utilisation d'une chaîne vide spécifiera la chaîne de préférences par défaut, « none » remettra à zéro les préférences. Utilisez « gpg -v --version » pour obtenir la liste des algorithmes disponibles. Cette commande initialise simplement une liste interne et ne modifie rien à moins qu'une autre commande (comme « updpref ») modifiant les auto-signatures soit utilisée.
- updpref
- Modifier les préférences de tous les ID d'utilisateurs (ou simplement de ceux sélectionnés dans la liste de préférences en vigueur). L'horodate de toutes les auto-signatures affectées sera avancée d'une seconde. Notez que bien que vous puissiez modifier les préférences d'un ID d'utilisateur attribut (dit « ID photo »), GnuPG ne sélectionne pas les clés à partir des ID d'utilisateur attributs de sorte que ces préférences ne seront pas utilisées par GnuPG.
- toggle
- Basculer entre le listage des clés publiques et celui des clés privées.
- save
- Sauvegarder tous les changements dans les trousseaux de clés et quitter le programme.
- quit
- Quitter le programme sans mettre à jour les trousseaux de clés.
- Le listage vous montre la clé accompagnée de ses clés secondaires et de tous ses ID d'utilisateur. Les clés ou ID d'utilisateurs sélectionnés sont indiqués par un astérisque. Deux valeurs de confiance accompagnent la clé primaire : la première est la confiance dans le propriétaire, et la seconde est la valeur de confiance calculée. Des lettres sont utilisées pour les valeurs suivantes :
- -
- Aucune confiance dans le propriétaire attribuée / pas encore calculée.
- e
- Échec du calcul du niveau de confiance ; probablement dû à une clé expirée.
- q
- Pas assez d'informations pour le calcul.
- n
- Ne jamais faire confiance à cette clé.
- m
- Confiance marginale.
- f
- Confiance complète.
- u
- Confiance absolue.
- --sign-key nom
- Signer une clé publique avec votre clé secrète. C'est une version raccourcie de la sous-commande « sign » de --edit.
- --lsign-key nom
- Signer une clé publique avec votre clé secrète mais la marquer comme étant non-exportable. C'est une version raccourcie de la sous-commande « lsign » de --edit.
- --nrsign-key nom
- Signer une clé publique avec votre clé secrète mais la marquer comme étant non-révocable. C'est une version raccourcie de la sous-commande « nrsign » de --edit.
- --delete-key nom
- Supprimer une clé du trousseau de clés publiques. Dans le mode non interactif, soit --yes est requis, soit la clé doit être spécifiée par son empreinte. C'est une mesure de précaution destinée à éviter l'effacement accidentel de plusieurs clés.
- --delete-secret-key nom
- Supprimer la clé des trousseaux de clés publiques et secrètes. Dans le mode non interactif, la clé doit être spécifiée par son empreinte.
- --delete-secret-and-public-key nom
- Comme --delete-key, mais si une clé secrète existe, elle sera supprimée en premier. Dans le mode non interactif, la clé doit être spécifiée par son empreinte.
- --gen-revoke
- Générer un certificat de révocation pour la clé entière. Pour révoquer une sous-clé ou une signature, utilisez la commande --edit.
- --desig-revoke
- Générer un certificat d'autorisation de révocation pour une clé. Cela permet à un utilisateur (avec l'autorisation du détenteur de la clé) de révoquer la clé de quelqu'un d'autre.
- --export [noms]
- Soit exporter toutes les clés de tous les trousseaux de clés (les trousseaux par défaut et ceux enregistrés via l'option --keyring) ou, si au moins un nom est fourni, celles dont le nom est fourni. Le nouveau trousseau est écrit sur stdout ou dans le fichier donné avec l'option « output ». À utiliser avec --armor pour envoyer ces clés par email.
- --send-keys [noms]
- Comme --export mais envoyer les clés à un serveur de clés. L'option --keyserver doit être utilisée pour donner le nom de ce serveur de clés. N'envoyez pas votre trousseau complet à un serveur de clés ; sélectionnez uniquement les clés qui sont nouvelles ou que vous avez modifiées.
- --export-all [noms]
- Comme --export, mais exporte également les clés qui ne sont pas compatibles avec OpenPGP.
- --export-secret-keys [noms]
- --export-secret-subkeys [noms]
- Comme --export, mais exporte les clés secrètes à la
place. Ce n'est généralement pas très utile et
constitue un risque de sécurité. La seconde forme de la
commande a la propriété spéciale de rendre la partie
secrète de la clé principale inutile ; c'est une
extension GNU à OpenPGP et on ne doit pas s'attendre à ce
que d'autres implémentations réussissent à importer
une telle clé.
Voyez l'option --simple-sk-checksum si vous voulez importer une telle clé exportée avec une implémentation plus ancienne de OpenPGP.
- --import [fichiers]
- --fast-import [fichiers]
- Importer/fusionner des clés. Cela ajoute les clés données au trousseau. La version rapide n'est actuellement qu'un synonyme.
- Il y a quelques autres options qui influencent le fonctionnement de cette commande. La plus remarquable est --merge-only qui fusionne uniquement de nouveaux ID utilisateur, signatures et sous-clés, mais n'insère pas de nouvelles clés.
- --recv-keys identificateurs de clés
- Importer les clés ayant les ID de clés donnés depuis un serveur de clés. L'option --keyserver doit être utilisée pour indiquer le nom de ce serveur de clés.
- --refresh-keys identificateurs de clés
- Requérir des mises à jour depuis un serveur de clés pour les clés déjà présentes dans le trousseau local. Cela permet d'obtenir les plus récents ID d'utilisateurs, signatures (etc.) d'une clé. L'option --keyserver doit être utilisée pour indiquer le nom de ce serveur de clés.
- --search-keys [noms]
- Rechercher les noms spécifiés sur le serveur de clés. Si plusieurs noms sont fournis, ils seront réunis pour créer la chaîne de recherche à donner au serveur. L'option --keyserver doit être utilisée pour indiquer le nom de ce serveur de clés.
- --update-trustdb
- Effectuer la maintenance de la base de données de confiance. Cette commande parcourt toutes les clés et construit la Toile de Confiance. Elle est interactive car elle peut demander des valeurs de « confiance dans le propriétaire » de clés. L'utilisateur doit estimer son niveau de confiance dans le propriétaire de la clé affichée pour correctement certifier (signer) les autres clés. Cette valeur n'est demandée que si elle n'a pas déjà été affectée à une clé. En utilisant le menu d'édition, cette valeur peut être modifiée à n'importe quel moment.
- --check-trustdb
- Effectuer la maintenance de la base de données de confiance sans interaction de la part de l'utilisateur. De temps à autre, la base de données de confiance doit être mise à jour afin que les clés expirées et les changements en résultant dans la toile de confiance puissent être découverts. GnuPG essaie de déterminer quand c'est nécessaire et fait ensuite cela implicitement ; cette commande peut être utilisée pour imposer une telle vérification. Le traitement est identique à celui de --update-trustdb mais il omet les clés dont la « confiance dans le propriétaire » n'est pas encore définie.
- Pour pouvoir l'employer avec les travaux cron, cette commande peut être utilisée avec --batch auquel cas la vérification n'est effectuée que lorsqu'elle est appropriée. Pour forcer une exécution même dans le mode non interactif, ajoutez l'option --yes.
- --export-ownertrust [fichier]
- Stocker les valeurs de confiance dans le propriétaire dans fichier (ou stdin s'il n'est pas spécifié). C'est utile pour la sauvegarde car ces valeurs sont les seules qui ne peuvent être recréées à partir d'une base de données de confiance corrompue.
- --import-ownertrust [fichiers]
- Mettre à jour la base de données de confiance avec les valeurs de confiance dans le propriétaire indiquées dans les fichiers (ou stdin si aucun n'est spécifié) ; les valeurs existantes seront écrasées.
- --rebuild-keydb-caches
- Lors de la mise à jour de la version 1.0.6 vers la version 1.0.7, cette commande devrait être utilisée pour créer des caches de signatures dans le trousseau de clés. Elle pourrait également être utile dans d'autres situations.
- --print-md algo [fichiers]
- --print-mds [fichiers]
- Afficher le condensé de message de l'algorithme algo pour tous les fichiers donnés ou stdin. Avec la seconde forme (ou la valeur déconseillée « * » pour algo), les condensés utilisant tous les algorithmes disponibles seront affichés.
- --gen-random 0|1|2 [nombre]
- Émettre nombre octets aléatoires du niveau de qualité spécifié. Si nombre n'est pas fourni ou est nul, une séquence infinie d'octets aléatoire sera générée. S'IL VOUS PLAÎT, n'utilisez pas cette commande à moins de savoir ce que vous faites ; cela peut enlever une précieuse entropie du système !
- --gen-prime mode bits [qbits]
- Utilise la Force, Luke :-). Le format de sortie est encore sujet à modification.
- --version
- Afficher des informations de version en plus d'une liste des algorithmes pris en charge.
- --warranty
- Afficher des informations sur la garantie.
- -h, --help
- Afficher des informations d'utilisation. C'est une liste très longue même si elle n'énumère pas toutes les options.
OPTIONS¶
Des options longues peuvent être placées dans un fichier d'options (« ~/.gnupg/gpg.conf » par défaut). Les noms d'options courts ne fonctionneront pas : par exemple, « armor » est une option valide dans le fichier d'options, mais « a » ne l'est pas. N'écrivez pas les 2 tirets, mais uniquement le nom de l'option et les arguments requis éventuels. Les lignes ayant un dièse (« # ») comme premier caractère non d'espacement sont ignorées. Des commandes peuvent également être placées dans ce fichier, mais cela n'a aucun sens.
gpg reconnaît les options suivantes :
- -a, --armor
- Créer une sortie dans le format protégé en ASCII.
- -o, --output fichier
- Écrire la sortie dans fichier.
- -u, --local-user nom
- Utiliser le nom pour signer. Cette option est ignorée silencieusement pour les commandes de listes et peut ainsi être utilisée dans un fichier d'options.
- --default-key nom
- Utiliser nom comme ID d'utilisateur par défaut pour les signatures. Si cette option n'est pas utilisée, l'ID d'utilisateur par défaut est le premier ID d'utilisateur trouvé dans le trousseau de clés secrètes.
- -r, --recipient nom
- Chiffrer pour l'ID d'utilisateur nom. Si cette option n'est pas spécifiée, GnuPG demande un ID utilisateur à moins que --default-recipient ne soit utilisé.
- --default-recipient nom
- Utiliser nom comme destinataire par défaut si l'option --recipient n'est pas utilisée et ne pas demander s'il est valide. nom ne peut pas être vide.
- --default-recipient-self
- Utiliser la clé par défaut comme destinataire par défaut si l'option --recipient n'est pas utilisée et ne pas demander si elle est valide. La clé par défaut est la première du trousseau de clés secrètes ou celle indiquée avec --default-key.
- --no-default-recipient
- Annuler l'effet de --default-recipient et --default-recipient-self.
- --encrypt-to nom
- Comme --recipient mais destiné à être utilisé dans le fichier d'options ; peut être utilisé avec votre propre ID d'utilisateur pour un « chiffrement-pour-vous-même ». Ces clés ne sont utilisées que lorsqu'il y a d'autres destinataires indiqués soit avec --recipient, soit après la saisie d'un identificateur d'utilisateur. Aucune vérification de confiance n'est effectuée pour ces ID d'utilisateurs et même des clés désactivées peuvent être utilisées.
- --no-encrypt-to
- Ignorer les options --encrypt-to.
- -v, --verbose
- Fournir plus d'informations durant le traitement. Si c'est répété, les données d'entrée sont également listées en détail.
- -q, --quiet
- Essayer d'être aussi silencieux que possible.
- -z n, --compress n
- Fixer le niveau de compression à n. Une valeur de 0 pour n désactive la compression. Le comportement par défaut est d'utiliser le niveau de compression par défaut de la zlib (normalement 6).
- -t, --textmode
- Utiliser le mode texte canonique. Si -t (mais pas --textmode) est utilisé avec la protection ASCII et la signature, cela permet des messages signés en clair. Cette astuce est nécessaire pour la compatibilité PGP ; normalement, vous devriez utiliser --sign ou --clearsign pour sélectionner le type de signature.
- -n, --dry-run
- N'effectuer aucune modification (n'est pas complètement implémenté).
- -i, --interactive
- Demander une confirmation avant d'écraser des fichiers.
- --batch
- Utiliser le mode non interactif. Ne jamais rien demander, interdire les commandes interactives.
- --no-tty
- S'assurer que le TTY (terminal) n'est jamais utilisé pour une quelconque sortie. Cette option est nécessaire dans certains cas car GnuPG affiche parfois des avertissements sur le TTY si --batch est utilisé.
- --no-batch
- Désactiver le mode non interactif. Cela peut être utile si --batch est activé depuis un fichier d'options.
- --yes
- Répondre « oui » à la plupart des questions.
- --no
- Répondre « non » à la plupart des questions.
- --default-cert-check-level n
- Le niveau de validité par défaut à utiliser lors de la signature d'une clé.
- 0 signifie que vous n'avez pris aucune mesure particulière pour vérifier la clé.
- 1 signifie que vous croyez que le propriétaire présumé de la clé est bien celui qu'il prétend être, mais que vous n'avez pas ou pas pu vérifier la clé. C'est utile pour une vérification de « personnalité », où vous signez la clé d'un utilisateur pseudonyme.
- 2 signifie que vous avez effectué une vérification superficielle de la clé. Par exemple, cela pourrait signifier que vous avez vérifié l'empreinte de la clé et comparé l'identificateur d'utilisateur de la clé avec un ID photo.
- 3 signifie que vous avez effectué une vérification minutieuse de la clé. Par exemple, cela pourrait signifier que vous avez vérifié l'empreinte de la clé avec son propriétaire en chair et en os et que vous avez vérifié, au moyen d'un document difficile à falsifier disposant d'un ID photo (comme un passeport) que le nom du propriétaire de la clé correspond à celui de l'ID d'utilisateur de la clé, et finalement que vous avez contrôlé (par échange de courriers électroniques) que l'adresse électronique présente sur la clé appartient bien au propriétaire.
- Notez que les explications ci-dessus pour les niveaux 2 et 3 ne sont que des exemples. En fin de compte, c'est à vous qu'il revient de décider ce que « superficiel » et « minutieux » signifient.
- Cette option vaut 0 par défaut.
- --trusted-key identificateur de clé long
- Supposer qu'on peut autant faire confiance à la clé spécifiée (qui doit être fournie sous la forme d'un ID de clé complet sur 8 octets) qu'à ses propres clés secrètes. Cette option est utile si vous ne voulez pas que (l'une de) vos clés secrètes demeurent en ligne, mais que vous voulez toujours pouvoir vérifier la validité de la clé d'un destinataire ou d'un signataire donné.
- --always-trust
- Ne pas valider les clés et supposer que celles qui sont utilisées sont toujours totalement fiables. Vous ne devriez pas utiliser ceci à moins que vous ayez installé un système de validation externe. Cette option supprime également la marque « [uncertain] » (incertain) affichée lors des vérifications de signatures quand il n'y a aucune preuve que l'ID d'utilisateur est bien lié à la clé.
- --keyserver nom
- Utiliser nom comme serveur de clés. C'est le serveur avec qui --recv-keys, --send-keys et --search-keys communiquent pour recevoir, envoyer ou rechercher des clés. Le format du nom est une URI : « procédé:[//]nom-serveur-clés[:port] ». Le système est le type du serveur de clés : « hkp » pour les serveurs de clés Horowitz (ou compatibles), « ldap » pour le serveur de clés LDAP de NAI ou « mailto » pour le serveur de clés par email Horowitz. Notez que votre installation particulière de GnuPG peut également supporter d'autres types de serveurs de clés. Les procédés utilisés par les systèmes de serveurs de clés ne sont pas sensibles à la casse.
- La plupart des serveurs de clés se synchronisent entre eux, de sorte qu'il n'est généralement pas nécessaire d'envoyer des clés à plus d'un serveur. La commande « host -l pgp.net | grep wwwkeys » vous donne une liste de serveurs de clés HKP. Quand vous utilisez l'un des serveurs de clés web, du fait du système de répartition de charge utilisant un mécanisme de tour de rôle DNS, il se peut que vous obteniez un serveur de clés différent à chaque fois.
- --keyserver-options paramètres
- C'est une chaîne délimitée par des espaces ou des virgules qui fournit des options au serveur de clés. Les options peuvent être préfixées avec « no-» pour spécifier la signification opposée. Les options valides d'importation ou d'exportation peuvent également être utilisées ici pour s'appliquer à l'importation (--recv-key) ou à l'exportation (--send-key) d'une clé depuis/vers un serveur de clés. Bien que toutes les options ne soient pas disponibles pour tous les types de serveurs de clés, certaines options courantes sont :
- include-revoked
- Lors de la recherche d'une clé, inclure les clés qui sont marquées sur le serveur comme étant révoquées. Notez que cette option est toujours spécifiée quand vous utilisez le serveur de clés HKP de NAI, car celui-ci ne fait pas la différence entre les clés révoquées et celles qui ne le sont pas. Lors de l'utilisation du serveur de clés LDAP, cela s'applique à la fois à la recherche (--search-keys) et à la réception (--recv-keys).
- include-disabled
- Lors de la réception ou la recherche d'une clé, inclure celles qui sont marquées par le serveur de clés comme étant désactivées. Notez que cette option n'est pas utilisée avec les serveurs de clés HKP, car ceux-ci ne prennent pas en charge les clés désactivées.
- include-subkeys
- Lors de la réception d'une clé, inclure les sous-clés dans la recherche. Notez que cette option n'est pas utilisée avec les serveurs de clés HKP, car ceux-ci ne permettent pas la récupération de clés par ID de sous-clé.
- use-temp-files
- Sur la plupart des plates-formes de type Unix, GnuPG communique avec le programme assistant du serveur de clés par l'intermédiaire de tubes, c.-à-d. la méthode la plus efficace. Cette option force GnuPG à utiliser des fichiers temporaires pour communiquer. Sur certaines plates-formes (comme Win32 et RISC OS), cette option est toujours activée.
- keep-temp-files
- Si « use-temp-files » est utilisé, ne pas effacer les fichiers temporaires après utilisation. Cette option est utile pour apprendre le protocole de communication du serveur de clés en lisant les fichiers temporaires.
- verbose
- Indiquer au programme assistant du serveur de clés d'être plus bavard. Cette option peut être répétée pour accroître le niveau de volubilité.
- honor-http-proxy
- Pour les serveurs de clés qui utilisent HTTP (comme HKP), essayer d'accéder au serveur de clés via le proxy spécifié par la variable d'environnement « http_proxy ».
- auto-key-retrieve
- Cette option active la récupération automatique de clés depuis un serveur de clés lors de la vérification de signatures créées par des clés ne se trouvant pas dans le trousseau local.
- --import-options paramètres
- C'est une chaîne délimitée par des espaces ou des virgules qui fournit des options pour l'importation de clés. Les options peuvent être préfixées avec « no- » pour donner la signification opposée. Il s'agit de :
- allow-local-sigs
- Permettre l'importation de signatures de clés marquées comme étant « locales ». Ce n'est généralement pas utile à moins qu'un procédé de partage de trousseaux ne soit utilisé. Pas autorisé par défaut.
- repair-hkp-subkey-bug
- Durant l'importation, essayer de réparer le bogue de mélange de sous-clés (NdT: ?) du serveur de clés HKP. Notez que ceci ne peut complètement réparer la clé endommagée car certaines données cruciales sont supprimées par le serveur de clés, mais cela vous fournit au moins une sous-clé. Vaut non par défaut pour le --import normal et oui pour le --recv-keys depuis un serveur de clés.
- --export-options paramètres
- C'est une chaîne délimitée par des espaces ou des virgules qui fournit des options pour l'exportation de clés. Les options peuvent être préfixées avec « no- » pour donner la signification opposée. Il s'agit de :
- include-non-rfc
- Inclure les clés non conformes à la RFC dans l'exportation. Oui par défaut.
- include-local-sigs
- Permettre l'exportation de signatures de clés marquées comme étant « locales ». Ce n'est généralement pas utile à moins qu'un procédé de partage de trousseaux ne soit utilisé. Pas autorisé par défaut.
- include-attributes
- Inclure les ID d'utilisateur attributs (ID photo) lors de l'exportation. C'est utile pour exporter des clés si elles vont être utilisées par un programme OpenPGP qui n'accepte pas les ID d'utilisateur attributs. Oui par défaut.
- include-sensitive-revkeys
- Inclure des informations sur l'autorisation de révocation qui a été marquée comme étant « sensible ». Non incluses par défaut.
- --show-photos
- Faire en sorte que --list-keys, --list-sigs, --list-public-keys, --list-secret-keys et la vérification d'une signature affichent également l'ID photo attaché à la clé, s'il y en a un. Voyez également --photo-viewer.
- --no-show-photos
- Annule l'effet de --show-photos.
- --photo-viewer chaîne
- C'est la ligne de commandes qui devrait être exécutée pour visualiser un ID photo. « %i » sera développé dans le nom de fichier contenant la photo. « %I » fait la même chose, sauf que le fichier n'est pas effacé une fois la visualisation terminée. Les autres drapeaux sont « %k » pour l'ID de clé, « %K » pour l'ID de clé long, « %f » pour l'empreinte de la clé, « %t » pour l'extension du type d'image (p.ex. « jpg »), « %T » pour le type MIME de l'image (p.ex. « image/jpeg ») et « %% » pour un signe pourcent. Si ni %i ni %I n'est présent, alors la photo sera fournie au visualisateur via l'entrée standard.
- Le visualisateur par défaut est « xloadimage -fork -quiet -title 'IDclé 0x%k' stdin »
- --exec-path chaîne
- Spécifie une liste de répertoires où rechercher les visualisateurs de photos et les assistants de serveurs de clés. Si elle n'est pas fournie, les assistants des serveurs de clés utilisent le répertoire par défaut intégré à la compilation et les visualisateurs de photos utilisent la variable d'environnement $PATH.
- --show-keyring
- Indique à --list-keys, --list-public-keys et --list-secret-keys d'afficher le nom du trousseau dans lequel une clé donnée réside. Ce n'est utile que lorsque vous listez une clé ou un groupe de clés spécifique. Cela n'a pas d'effet lors du listage de toutes les clés.
- --keyring fichier
- Ajouter fichier à la liste des trousseaux. Si fichier commence par un tilde et un slash, ils sont remplacés par le répertoire HOME. Si le nom de fichier ne contient pas de slash, il est supposé être localisé dans le répertoire personnel (« ~/.gnupg » si --homedir n'est pas utilisé). Le nom du fichier peut être préfixé par un « procédé » :
- « gnupg-ring: » est utilisé par défaut.
- Il peut être logique de l'utiliser avec --no-default-keyring.
- --secret-keyring fichier
- Comme --keyring mais pour les trousseaux de clés secrètes.
- --homedir répertoire
- Fixer le nom du répertoire personnel à répertoire ; si cette option n'est pas spécifiée, il s'agit de « ~/.gnupg » par défaut. L'utiliser dans un fichier d'options n'a aucun sens. De plus, cette option a priorité sur la variable d'environnement « GNUPGHOME ».
- --charset nom
- Fixer le nom du jeu de caractères natif. C'est utilisé pour convertir certaines chaînes de caractères dans le codage UTF-8 adéquat. Si cette option n'est pas utilisée, le jeu de caractères par défaut est déterminé à partir de la localisation courante. Un niveau de volubilité de 3 montre celle qui est utilisée. Les valeurs valides pour nom sont :
- iso-8859-1
- Le jeu de caractères Latin 1.
- iso-8859-2
- Le jeu de caractères Latin 2.
- iso-8859-15
- C'est actuellement un alias pour le jeu de caractères Latin 1.
- koi8-r
- Le jeu de caractères russe habituel (RFC 1489).
- utf-8
- Éviter toutes les traductions et supposer que le système d'exploitation utilise le codage UTF-8 nativement.
- --utf8-strings
- --no-utf8-strings
- Supposer que les arguments sont déjà fournis sous forme de chaînes de caractères UTF8. Le comportement par défaut (--no-utf8-strings) est de supposer que les arguments sont codés dans le jeu de caractères spécifié par --charset. Ces options affectent tous les arguments suivants. Ces deux options peuvent être utilisées à plusieurs reprises.
- --options fichier
- Lire les options depuis le fichier et ne pas essayer de les lire depuis le fichier d'options par défaut situé dans le répertoire personnel (voyez --homedir). Cette option est ignorée si elle est utilisée dans un fichier d'options.
- --no-options
- Raccourci pour « --options /dev/null ». Cette option est détectée avant une tentative d'ouverture d'un fichier d'options. L'utilisation de cette option empêchera également la création d'un répertoire personnel « ~./gnupg ».
- --load-extension nom
- Charger un module d'extension. Si nom ne contient pas de slash (« / »), il est recherché dans le répertoire configuré lors de la construction de GnuPG (généralement « /usr/local/lib/gnupg »). Les extensions ne sont généralement plus utiles, et l'utilisation de cette option est déconseillée.
- --debug drapeaux
- Spécifier les drapeaux de débogage. Tous les drapeaux sont coordonnés par un « ou » et les drapeaux peuvent être indiqués en utilisant la syntaxe C (p.ex. 0x0042).
- --debug-all
- Spécifier tous les drapeaux de débogage utiles.
- --status-fd n
- Écrire des chaînes de statut spéciales dans le descripteur de fichier n. Voyez le fichier DETAILS dans la documentation pour obtenir leur liste.
- --logger-fd n
- Écrire la sortie de journalisation dans le descripteur de fichier n et pas sur stderr.
- --attribute-fd n
- Écrire les sous-paquets d'attributs dans le descripteur de fichier n. C'est le plus utile avec --status-fd, car les messages de statut sont nécessaires pour extraire les différents sous-paquets du flux alimentant le descripteur de fichier.
- --sk-comments
- Inclure les paquets de commentaires sur la clé secrète lors de l'exportation de clés secrètes. C'est une extension GnuPG au standard OpenPGP qui est désactivée par défaut. Remarquez que cela n'a rien à voir avec les commentaires dans les signatures en clair ou dans les en-têtes protégés en ASCII.
- --no-sk-comments
- Annule l'effet de --sk-comments.
- --no-comment
- Voir --sk-comments. Cette option est obsolète et pourrait être supprimée prochainement.
- --comment chaîne
- Utiliser la chaîne comme commentaire apparaissant dans les signatures en clair. Le comportement par défaut est de ne pas écrire de chaîne de commentaire.
- --default-comment
- Écrire la chaîne de commentaire standard dans les signatures en clair. Utilisez ceci pour remplacer un --comment provenant d'un fichier de configuration. Cette option est maintenant obsolète car il n'y a plus de commentaire par défaut.
- --no-version
- Omettre la chaîne de version dans les signatures en clair.
- --emit-version
- Écrire la chaîne de version dans les signatures en clair. Utilisez ceci pour remplacer un --no-version précédent provenant d'un fichier de configuration.
- -N, --notation-data nom=valeur
- Placer la paire nom-valeur dans la signature en tant que données de notation. nom ne peut être composé que de caractères alphanumériques, de chiffres ou de caractères de soulignement ; le premier caractère ne peut pas être un chiffre. valeur peut être n'importe quelle chaîne imprimable ; elle sera codée en UTF8 et vous devriez par conséquent vérifier que votre --charset est défini correctement. Si vous préfixez nom par un point d'exclamation, les données de notation seront marquées comme étant critiques (RFC 2440 section 5.2.3.15).
- --show-notation
- Afficher les notations de signature de clé dans les listings de --list-sigs ou --check-sigs.
- --no-show-notation
- Ne pas afficher les notations de signature de clé dans les listings de --list-sigs ou --check-sigs.
- --set-policy-url chaîne
- Utiliser chaîne comme URL du document de politique de signature (RFC 2440 section 5.2.3.19). Si vous le préfixez par un point d'exclamation, le paquet concerné sera marqué comme étant critique.
- --show-policy-url
- Montrer les URL de politique éventuelles définies dans les listings de --list-sigs ou --check-sigs.
- --no-show-policy-url
- Ne pas montrer les URL de politique éventuelles définies dans les listings de --list-sigs ou --check-sigs.
- --set-filename chaîne
- Utiliser chaîne comme nom du fichier stocké dans les messages.
- --for-your-eyes-only
- Spécifier le drapeau « rien que pour vos yeux » dans le message. Cela indique à GnuPG de refuser de sauver le fichier à moins que l'option --output ne soit spécifiée, et à PGP d'utiliser le « visualisateur sécurisé » en utilisant une police de caractères résistant à Tempest pour afficher le message. Cette option a priorité sur --set-filename.
- --no-for-your-eyes-only
- Annule l'effet de --for-your-eyes-only.
- --use-embedded-filename
- Essayer de créer un fichier dont le nom est contenu dans les données. Cela peut être dangereux car il est possible d'écraser des fichiers.
- --completes-needed n
- Le nombre d'utilisateurs en qui on a entièrement confiance nécessaires pour introduire un nouveau signataire de clé (1 par défaut).
- --marginals-needed n
- Le nombre d'utilisateurs en qui on a marginalement confiance nécessaires pour introduire un nouveau signataire de clé (3 par défaut).
- --max-cert-depth n
- La longueur maximale d'une chaîne de certification (5 par défaut).
- --cipher-algo nom
- Utiliser nom comme algorithme de chiffrement. L'exécution du programme avec la commande --version produit une liste des algorithmes pris en charge. Si cette option n'est pas utilisée, l'algorithme de chiffrement est sélectionné à partir des préférences stockées avec la clé.
- --digest-algo nom
- Utiliser nom comme algorithme de hachage. L'exécution du programme avec la commande --version produit une liste des algorithmes pris en charge.
- --cert-digest-algo nom
- Utiliser nom comme algorithme de hachage à utiliser lors de la signature d'une clé. L'exécution du programme avec la commande --version produit une liste des algorithmes pris en charge. Gardez à l'esprit que si vous choisissez un algorithme pris en charge par GnuPG mais pas par d'autres implémentations de OpenPGP, alors il est fort probable que certains utilisateurs ne pourront pas utiliser les signatures de clés que vous avez créées, voire même votre clé entière.
- --s2k-cipher-algo nom
- Utiliser nom comme algorithme de chiffrement à utiliser pour protéger les clés secrètes. Le chiffrement par défaut est CAST5. Il est également utilisé pour le chiffrement conventionnel si --cipher-algo n'est pas fourni.
- --s2k-digest-algo nom
- Utiliser nom comme algorithme de hachage à utiliser pour coder les phrases de passe. L'algorithme par défaut est RIPEMD-160. Il est également utilisé pour le chiffrement conventionnel si --digest-algo n'est pas fourni.
- --s2k-mode n
- Sélectionner la façon dont les phrases de passe sont codées. Si n vaut 0, une phrase de passe non modifiée (pas recommandé !) sera utilisée, un 1 (par défaut) ajoute un sel (salt) à la phrase de passe et un 3 répète plusieurs fois le processus. À moins que --rfc1991 ne soit utilisé, ce mode est également employé pour le chiffrement conventionnel.
- --simple-sk-checksum
- L'intégrité des clés secrètes est protégée par une somme de contrôle SHA-1. Cette méthode fera partie d'une spécification améliorée de OpenPGP mais GnuPG l'utilise déjà pour résister à certaines attaques. Les anciennes applications ne comprennent pas ce nouveau format ; cette option peut être utilisée pour revenir à l'ancien comportement. L'utilisation de cette option ajoute un risque de sécurité. Notez que cette option n'a d'effet que lors du chiffrement de la clé secrète ; la manière la plus simple d'arriver à cela est de modifier la phrase de passe de la clé (on peut même fournir la même valeur).
- --compress-algo n
- Utiliser l'algorithme de compression n. Vaut 2 par défaut qui est la compression requise par la RFC 1950. Vous pouvez utiliser 1 pour employer la vieille version de la zlib (RFC 1951) qui est utilisée par PGP. 0 désactive la compression. L'algorithme par défaut peut donner de meilleurs résultats car la taille de fenêtre n'est pas limitée à 8 Ko. Si ce n'est pas utilisé, le comportement de OpenPGP est utilisé, c.-à-d. que l'algorithme de compression est sélectionné à partir des préférences ; notez que cela ne peut pas être fait si vous ne chiffrez pas de données.
- --disable-cipher-algo nom
- Ne jamais permettre l'utilisation de nom comme algorithme de chiffrement. Le nom fourni ne sera pas contrôlé de sorte qu'un algorithme chargé ultérieurement sera toujours désactivé.
- --disable-pubkey-algo nom
- Ne jamais permettre l'utilisation de nom comme algorithme à clé publique. Le nom fourni ne sera pas contrôlé de sorte qu'un algorithme chargé ultérieurement sera toujours désactivé.
- --no-sig-cache
- Ne pas mettre en cache l'état de vérification des signatures de clés. La mise en mémoire cache offre des performances bien meilleures dans le listage des clés. Néanmoins, si vous suspectez que votre trousseau de clés publiques n'est pas protégé contre les modifications en écriture, vous pouvez utiliser cette option pour désactiver la mise en cache. Il est probablement vain de la désactiver car toutes sortes de dégâts peuvent être commis si quelqu'un dispose d'un accès en écriture à votre trousseau de clés publiques.
- --no-sig-create-check
- GnuPG vérifie normalement chaque signature juste après sa création pour se prémunir des bogues et des défauts de fonctionnement matériels qui pourraient divulguer des bits de la clé secrète. Cette vérification supplémentaire demande un certain temps (à peu près 115 % pour les clés DSA) et cette option peut être utilisée pour la désactiver. Néanmoins, étant donné que la création d'une signature nécessite une interaction manuelle, cette pénalité de performance n'a pas d'importance dans la plupart des configurations.
- --auto-check-trustdb
- Si GnuPG a l'impression que ses informations concernant la toile de confiance doivent être mises à jour, il exécute automatiquement la commande --check-trustdb en interne. Cela peut demander beaucoup de temps.
- --no-auto-check-trustdb
- Annule l'effet de --auto-check-trustdb.
- --throw-keyid
- Ne pas placer l'ID de clé dans les paquets chiffrés. Cette option cache le récepteur du message et est une riposte contre l'analyse du trafic. Elle peut ralentir le processus de déchiffrement car toutes les clés secrètes disponibles sont testées.
- --not-dash-escaped
- Cette option modifie le comportement des signatures en clair afin qu'elles puissent être utilisées pour les fichiers patch. Vous ne devriez pas envoyer un tel fichier protégé en ASCII par email car tous les espaces et terminaisons de lignes sont également hachés. Vous ne pouvez pas utiliser cette option pour les données comportant 5 tirets au début d'une ligne, ce qui n'est pas le cas des fichiers patch. Une ligne spéciale de l'en-tête protégé en ASCII informe GnuPG de cette option de signature du texte en clair.
- --escape-from-lines
- Puisque certains programmes de mail remplacent les lignes débutant en « From » par « <From », il est préférable de traiter spécialement de telles lignes lors de la création de signatures en clair. Toutes les autres versions de PGP font de même. Cette option n'est pas activée par défaut car elle violerait la RFC 2440.
- --passphrase-fd n
- Lire la phrase de passe depuis le descripteur de fichier n. Si n vaut 0, la phrase de passe sera lue depuis stdin. Cela ne peut être utilisé que si une seule phrase de passe est fournie. N'utilisez pas cette option si vous pouvez l'éviter.
- --command-fd n
- C'est un remplacement du mode obsolète de mémoire partagée IPC. Si cette option est activée, les réponses de l'utilisateur aux questions ne sont pas attendues depuis le terminal mais depuis le descripteur de fichier donné. Elle devrait être utilisée avec --status-fd. Voyez le fichier doc/DETAILS dans la distribution des sources pour des détails d'utilisation.
- --use-agent
- Essayer d'utiliser l'agent GnuPG. Ne perdez pas de vue que celui-ci est toujours en cours de développement. Avec cette option, GnuPG essaie d'abord de se connecter à l'agent avant de demander une phrase de passe.
- --gpg-agent-info
- Surcharger la valeur de la variable d'environnement GPG_AGENT_INFO. N'est utilisé que lorsque --use-agent a été spécifié.
- --rfc1991
- Essayer d'être plus conforme à la RFC 1991 (PGP 2.x).
- --pgp2
- Régler toutes les options pour être aussi compatible que possible avec PGP 2.x, et avertir de toute action (p.ex. le chiffrement avec une clé non RSA) créant un message que PGP 2.x ne serait pas en mesure de traiter. Notez que « PGP 2.x » signifie ici « MIT PGP 2.6.2 ». Il y a d'autres versions de PGP 2.x disponibles, mais celle du MIT est un bon point de départ (NdT : good common baseline).
- Cette option implique « --rfc1991 --no-openpgp --disable-mdc --no-force-v4-certs --no-comment --escape-from-lines --force-v3-sigs --no-ask-sig-expire --no-ask-cert-expire --cipher-algo IDEA --digest-algo MD5 --compress-algo 1 ». Elle désactive également --textmode lors du chiffrement.
- --no-pgp2
- Annule l'effet de --pgp2.
- --pgp6
- Régler toutes les options pour être aussi compatible que possible avec PGP 6. Cela vous limite aux chiffrements IDEA (si l'extension IDEA est installée), 3DES et CAST5, aux condensés MD5, SHA1 et RIPEMD160 et aux algorithmes de compression none et ZIP. Cela empêche également la création de signatures avec des sous-clés car PGP 6 ne comprend pas les signatures créées par des sous-clés (de signature).
- Cette option implique « --disable-mdc --no-comment --escape-from-lines --force-v3-sigs --no-ask-sig-expire --compress-algo 1 ».
- --no-pgp6
- Annule l'effet de --pgp6.
- --pgp7
- Régler toutes les options pour être aussi compatible avec PGP 7 que possible. C'est identique à --pgp6 sauf que les codes de détection de modifications (MDC, modification detection codes) ne sont pas désactivés et que s'ajoutent à la liste des chiffrements autorisés AES128, AES192, AES256 et TWOFISH.
- --no-pgp7
- Annule l'effet de --pgp7.
- --openpgp
- Choisir des options de paquets, de chiffrement et de hachage conformes au comportement de OpenPGP. Utilisez cette option pour réinitialiser toutes les options précédentes comme --rfc1991, --force-v3-sigs, --s2k-*, --cipher-algo, --digest-algo et --compress-algo à des valeurs compatibles avec OpenPGP. Tous les contournements PGP sont également désactivés.
- --force-v3-sigs
- OpenPGP établit qu'une implémentation devrait générer des signatures v4 mais PGP versions 5 et ultérieures ne reconnaissent les signatures v4 qu'en ce qui concerne les clés. Cette option impose des signatures v3 pour les données. Notez que cette option surcharge --ask-sig-expire, car les signatures v3 ne peuvent avoir de date d'expiration.
- --no-force-v3-sigs
- Annule l'effet de --force-v3-sigs.
- --force-v4-certs
- Toujours utiliser les signatures de clés v4 même sur les clés v3. Cette option change également l'algorithme de hachage par défaut pour les clés RSA v3 qui passe de MD5 à SHA-1.
- --no-force-v4-certs
- Annule l'effet de --force-v4-certs.
- --force-mdc
- Forcer l'utilisation de chiffrements possédant un code de détection de modifications. C'est toujours utilisé avec les nouveaux chiffrements (ceux ayant une taille de bloc supérieure à 64 bits) ou si la clé du récepteur indique sa préférence pour un des ces chiffrements.
- --disable-mdc
- Désactiver l'utilisation du code de détection de modifications. Notez qu'en utilisant cette option, le message chiffré devient vulnérable à une attaque de modification de message.
- --allow-non-selfsigned-uid
- Permettre l'importation et l'utilisation de clés dont les ID utilisateurs ne sont pas auto-signés. Ce n'est pas recommandé, car un ID d'utilisateur non auto-signé est trivial à falsifier.
- --no-allow-non-selfsigned-uid
- Annule l'effet de --allow-non-selfsigned-uid.
- --allow-freeform-uid
- Désactiver toute forme de vérification du format de l'ID d'utilisateur quand on en génère un nouveau. Cette option ne devrait être utilisée que dans des environnements très spéciaux car elle n'impose pas le format standard de facto des ID d'utilisateurs.
- --ignore-time-conflict
- GnuPG vérifie normalement que les horodates associées aux clés et aux signatures sont plausibles. Néanmoins, une signature semble parfois être plus ancienne que la clé à cause de problèmes d'horloge. Cette option remplace ces vérifications par un simple avertissement.
- --ignore-valid-from
- GnuPG ne sélectionne et n'utilise normalement pas de sous-clés créées dans le futur. Cette option permet l'utilisation de telles clés et présente donc le comportement des versions antérieures à la v1.0.7. Vous ne devriez pas utiliser cette option sauf en cas de problème d'horloge.
- --ignore-crc-error
- La protection ASCII utilisée par OpenPGP fait l'objet d'une somme de contrôle CRC contre les erreurs de transmission. Le CRC est parfois codé quelque part sur le canal de transmission mais le contenu réel (qui est de toute façon protégé par le protocole OpenPGP) est toujours correct. Cette option permet à gpg d'ignorer les erreurs de CRC.
- --ignore-mdc-error
- Cette option transforme un échec de protection d'intégrité MDC en un avertissement. Cela peut être utile si un message est partiellement corrompu, mais qu'il est nécessaire d'en extraire un maximum de données. Néanmoins, gardez à l'esprit qu'un échec de protection MDC peut aussi signifier que le message a été altéré intentionnellement par un attaquant.
- --lock-once
- Verrouiller les bases de données la première fois qu'un verrou est requis, mais ne pas le libérer avant la terminaison du processus.
- --lock-multiple
- Libérer les verrous à chaque fois qu'ils ne sont plus nécessaires. Utilisez ceci pour surcharger un --lock-once précédent provenant d'un fichier de configuration.
- --lock-never
- Désactiver entièrement le verrouillage. Cette option ne devrait être utilisée que dans des environnements très spéciaux, où l'on peut s'assurer qu'un seul processus accède à ces fichiers. Une disquette amorçable comportant un système de chiffrement autonome utilisera probablement ceci. Une mauvaise utilisation de cette option peut conduire à une corruption de données ou de clés.
- --no-random-seed-file
- GnuPG utilise un fichier pour stocker sa réserve interne de données aléatoires par-delà les invocations. Cela accélère la génération de données aléatoires. Néanmoins, les opérations d'écriture ne sont parfois pas souhaitables ; dans ce cas, cette option peut être utilisée au prix d'une génération aléatoire moins rapide.
- --no-verbose
- Réinitialiser le niveau de volubilité à 0.
- --no-greeting
- Supprimer le message initial relatif aux droits d'auteur mais ne pas entrer dans le mode non interactif.
- --no-secmem-warning
- Supprimer l'avertissement concernant une « utilisation non sûre de la mémoire ».
- --no-permission-warning
- Supprimer l'avertissement relatif aux permissions de fichiers dangereuses.
- --no-mdc-warning
- Supprimer l'avertissement relatif à la protection d'intégrité MDC.
- --no-armor
- Supposer que les données d'entrée ne sont pas dans le format protégé en ASCII.
- --no-default-keyring
- Ne pas ajouter les trousseaux par défaut à la liste de trousseaux.
- --skip-verify
- Sauter l'étape de vérification de signature. Cela peut être utilisé pour accélérer le déchiffrement si la vérification de signature n'est pas nécessaire.
- --with-colons
- Afficher les listes de clés délimitées par des deux-points. Notez que la sortie sera codée en UTF-8 quel que soit le réglage --charset éventuel utilisé.
- --with-key-data
- Afficher les listes de clés délimitées par des deux-points (comme --with-colons) et afficher les données sur la clé publique.
- --with-fingerprint
- Comme --fingerprint mais ne modifier que le format de la sortie ; peut être utilisé avec une autre commande.
- --fast-list-mode
- Modifie la sortie des commandes retournant des listes pour qu'elles fonctionnent plus rapidement, en laissant vides certaines parties. Certaines applications n'ont pas besoin de l'ID d'utilisateur et des informations de confiance données dans les listes. En utilisant cette option, elles obtiennent un listage plus rapide. Le comportement exact de cette option pourrait changer à l'avenir.
- --fixed-list-mode
- Ne pas fusionner l'ID d'utilisateur et la clé primaire dans le mode de listage --with-colon et afficher toutes les horodates sous forme du nombre de secondes écoulées depuis le 01/01/1970.
- --list-only
- Modifie le comportement de certaines commandes. Généralement similaire à --dry-run. La sémantique de cette commande pourrait être étendue dans le futur. Actuellement, elle n'effectue pas la passe de déchiffrement réel et permet de ce fait un listage rapide des clés de chiffrement.
- --no-literal
- N'est pas destiné à une utilisation normale. Utilisez les sources pour voir dans quels cas cela pourrait être utile.
- --set-filesize
- N'est pas destiné à une utilisation normale. Utilisez les sources pour voir dans quels cas cela pourrait être utile.
- --emulate-md-encode-bug
- Les versions de GnuPG antérieures à 1.0.2 étaient affectées d'un bogue relatif à la façon dont une signature était codée. Cette option active un contournement en re-vérifiant les signatures incorrectes avec le codage utilisé dans les anciennes versions. Cela ne peut se produire que pour les signatures ElGamal qui ne sont pas très répandues.
- --show-session-key
- Afficher la clé de session utilisée par un message. Voyez --override-session-key pour l'option associée.
- Nous pensons que le dépôt de clé est une Mauvaise Chose ; néanmoins, l'utilisateur devrait avoir la liberté de décider d'aller en prison ou de révéler le contenu d'un message spécifique sans compromettre tous les messages qui ont été chiffrés jusqu'à ce jour avec une clé secrète. N'UTILISEZ PAS CETTE OPTION SAUF EN CAS D'ABSOLUE NÉCESSITÉ.
- --override-session-key chaîne
- Ne pas utiliser la clé publique mais la clé de session chaîne. Le format de cette chaîne est le même que celui affiché par --show-session-key. Cette option n'est normalement pas utilisée mais est pratique au cas où quelqu'un vous force à révéler le contenu d'un message chiffré ; en utilisant cette option, vous pouvez faire cela sans compromettre la clé secrète.
- --ask-sig-expire
- Lors de la création d'une signature de données, demander une date d'expiration. Si cette option n'est pas spécifiée, la date d'expiration est « never » (jamais).
- --no-ask-sig-expire
- Annule l'effet de -sig-expire.
- --ask-cert-expire
- Lors de la création d'une signature de clé, demander une date d'expiration. Si cette option n'est pas spécifiée, la date d'expiration est « never » (jamais).
- --no-ask-cert-expire
- Annule l'effet de --ask-cert-expire.
- --expert
- Permettre à l'utilisateur d'effectuer certaines choses insensées ou « idiotes » comme signer une clé expirée ou révoquée, ou certaines choses potentiellement incompatibles comme la génération de types de clés obsolètes. Cela désactive également certains messages d'avertissement relatifs à des actions potentiellement incompatibles. Comme le nom l'indique, cette option n'est destinée qu'aux experts. Si vous ne comprenez pas entièrement les implications de ce que cela vous permet de faire, ne l'utilisez pas.
- --no-expert
- Annule l'effet de --expert.
- --merge-only
- Ne pas insérer de nouvelles clés dans les trousseaux lors d'une importation.
- --allow-secret-key-import
- C'est une option obsolète qui n'est plus utilisée.
- --try-all-secrets
- Ne pas considérer l'ID de clé stocké dans le message mais essayer toutes les clés secrètes à tour de rôle pour trouver la bonne clé de déchiffrement. Cette option force le comportement qui est utilisé par des destinataires anonymes (créés en utilisant --throw-keyid) et pourrait être pratique au cas où un message chiffré contient un ID de clé bogué.
- --enable-special-filenames
- Cette option active un mode dans lequel les noms de fichiers de la forme -&n, où n est un nombre décimal non négatif, référencent le descripteur de fichier n et pas un fichier portant ce nom.
- --no-expensive-trust-checks
- Utilisation expérimentale uniquement.
- --group nom=valeur1 [valeur2 valeur3 ...]
- Définit un groupe nommé, qui est similaire aux alias dans
les programmes de courrier électronique. À chaque
fois que le nom du groupe est un destinataire (-r ou --recipient), il sera
remplacé par les valeurs spécifiées.
Les valeurs sont des ID de clés ou des empreintes, mais n'importe quelle description de clé est acceptée. Notez qu'une valeur contenant des espaces sera traitée comme deux valeurs différentes. Remarquez également qu'il n'y a qu'un seul niveau de développement : vous ne pouvez pas construire de groupe pointant vers un autre groupe.
- --preserve-permissions
- Ne pas restituer les permissions d'un trousseau de clés secrètes à la lecture/écriture par le propriétaire uniquement. N'utilisez cette option que si vous savez réellement ce que vous faites.
- --personal-cipher-preferences chaîne
- Fixer la liste des préférences de chiffrement personnelles à chaîne ; cette liste devrait être une chaîne similaire à celle affichée par la commande « pref » du menu d'édition. Cela permet à l'utilisateur de spécifier ses propres algorithmes préférés lorsque des algorithmes sont choisis à partir des préférences affichées par les clés du destinataire.
- --personal-digest-preferences chaîne
- Fixer la liste de préférences de hachage personnelles à chaîne ; cette liste devrait être une chaîne similaire à celle affichée par la commande « pref » du menu d'édition. Cela permet à l'utilisateur de spécifier ses propres algorithmes préférés lorsque des algorithmes sont choisis à partir des préférences affichées par les clés du destinataire.
- --personal-compress-preferences chaîne
- Fixer la liste de préférences de compression personnelles à chaîne ; cette liste devrait être une chaîne similaire à celle affichée par la commande « pref » du menu d'édition. Cela permet à l'utilisateur de spécifier ses propres algorithmes préférés lorsque des algorithmes sont choisis à partir des préférences affichées par les clés du destinataire.
- --default-preference-list chaîne
- Fixer la liste de préférences par défaut à chaîne ; cette liste devrait être une chaîne similaire à celle affichée par la commande « pref » du menu d'édition. Cela affecte à la fois la génération de clés et la commande « updpref » du menu d'édition.
Comment spécifier un identificateur d'utilisateur¶
Il y a différentes façons de spécifier un ID d'utilisateur à GnuPG ; voici quelques exemples :
- 234567C4
- 0F34E556E
- 01347A56A
- 0xAB123456
- Ici, l'ID de clé est donné dans la forme courte habituelle.
- 234AABBCC34567C4
- 0F323456784E56EAB
- 01AB3FED1347A5612
- 0x234AABBCC34567C4
- Ici, l'ID de clé est donné dans la forme longue utilisée par OpenPGP (vous pouvez obtenir l'ID de clé long en utilisant l'option --with-colons).
- 1234343434343434C434343434343434
- 123434343434343C3434343434343734349A3434
- 0E12343434343434343434EAB3484343434343434
- 0xE12343434343434343434EAB3484343434343434
- La meilleure façon de spécifier un ID de clé est d'utiliser l'empreinte de la clé. Cela évite les ambiguïtés en cas d'ID de clés dupliqués (très rares pour les ID de clés longs).
- =Heinrich Heine <heinrichh@uni-duesseldorf.de>
- En utilisant une chaîne correspondant exactement. C'est indiqué par le signe égal.
- <heinrichh@uni-duesseldorf.de>
- En utilisant l'adresse électronique à reconnaître exactement. Le « < » indique ce mode d'adresse électronique.
- +Heinrich Heine duesseldorf
- Tous les mots doivent correspondre exactement (casse pas importante) mais peuvent apparaître dans n'importe quel ordre dans l'ID. Les mots sont des séquences quelconques de lettres, chiffres, caractères de soulignement et caractères ayant le bit 7 positionné.
- Heine
- *Heine
- Reconnaissance de sous-chaîne insensible à la casse. C'est le mode par défaut mais des applications peuvent indiquer ceci explicitement en plaçant un astérisque en tête.
Notez que vous pouvez concaténer un point d'exclamation aux ID ou empreintes de clés. Ce drapeau indique à GnuPG d'utiliser précisément la clé primaire ou secondaire donnée et de ne pas essayer de deviner laquelle utiliser.
VALEUR DE RETOUR¶
Le programme renvoie 0 si tout s'est bien déroulé, 1 si au moins une signature était incorrecte et d'autres codes d'erreur en cas d'erreur fatale.
EXEMPLES¶
- gpg -se -r Bob fichier
- Signer et chiffrer pour l'utilisateur Bob
- gpg --clearsign fichier
- Créer une signature en clair
- gpg -sb fichier
- Créer une signature détachée
- gpg --list-keys ID_utilisateur
- Afficher des clés
- gpg --fingerprint ID_utilisateur
- Afficher une empreinte
- gpg --verify fichierpgp
- gpg --verify fichier-sig [fichiers]
- Vérifier la signature du fichier mais ne pas générer de données. La seconde forme est utilisée pour les signatures détachées, où fichier-sig est une signature détachée (soit protégée en ASCII, soit binaire) et [fichiers] représente les données signées ; s'il n'est pas fourni, le nom du fichier contenant les données signées est construit en enlevant l'extension (« .asc » ou « .sig ») du fichier-sig, ou en le demandant à l'utilisateur.
ENVIRONNEMENT¶
- HOME
- Emplacement du répertoire personnel par défaut.
- GNUPGHOME
- Répertoire à utiliser au lieu de « ~/.gnupg ».
- GPG_AGENT_INFO
- Utilisé pour localiser l'agent gpg ; honoré uniquement quand --use-agent est spécifié. La valeur est constituée de 3 champs délimités par des deux-points : le premier est le chemin menant à la socket de domaine Unix, le deuxième est le PID de l'agent gpg et le dernier est la version du protocole (qui devrait être 1). Quand on démarre l'agent gpg comme décrit dans sa documentation, cette variable est fixée à la valeur correcte. L'option --gpg-agent-info peut être utilisée pour la remplacer.
- http_proxy
- Honoré uniquement quand l'option de serveur de clés honor-http-proxy est définie.
FILES¶
- ~/.gnupg/secring.gpg
- Le trousseaux de clés secrètes
- ~/.gnupg/secring.gpg.lock
- et le fichier verrou.
- ~/.gnupg/pubring.gpg
- Le trousseaux de clés secrètes
- ~/.gnupg/pubring.gpg.lock
- et le fichier verrou.
- ~/.gnupg/trustdb.gpg
- La base de données de confiance
- ~/.gnupg/trustdb.gpg.lock
- et le fichier verrou.
- ~/.gnupg/random_seed
- Utilisé pour conserver la réserve interne de données aléatoires.
- ~/.gnupg/gpg.conf
- Fichier de configuration par défaut.
- ~/.gnupg/options
- Fichier de configuration dans l'ancien style ; utilisé uniquement quand gpg.config n'est pas trouvé.
- /usr[/local]/share/gnupg/options.skel
- Fichier d'options squelette.
- /usr[/local]/lib/gnupg/
- Emplacement par défaut des extensions.
AVERTISSEMENTS¶
Utilisez un *bon* mot de passe pour votre compte utilisateur et une *bonne* phrase de passe pour protéger votre clé secrète. Cette phrase de passe est le maillon le plus faible du système tout entier. Des programmes effectuant des attaques avec dictionnaires sur votre trousseau de clés secrètes sont très faciles à écrire et vous devriez donc très bien protéger votre répertoire « ~/.gnupg/ ».
Gardez à l'esprit que si ce programme est utilisé au dessus d'un réseau (avec telnet p.ex.), il est alors *très* facile d'espionner votre phrase de passe !
Si vous voulez vérifier des signatures détachées, assurez-vous que le programme peut les gérer, soit en lui donnant les deux noms de fichiers sur la ligne de commandes, soit en utilisant « - » pour spécifier stdin.
BOGUES¶
Sur beaucoup de systèmes, ce programme devrait être installé dans le mode setuid-root. C'est nécessaire pour verrouiller des pages mémoire. Le verrouillage des pages mémoire interdit au système d'exploitation d'écrire des pages de mémoire sur disque. Si vous n'obtenez aucun message d'avertissement relatif à une utilisation non sûre de la mémoire, votre système d'exploitation supporte le verrouillage même si vous n'êtes pas root. Le programme abandonne les privilèges root dès que la mémoire verrouillée est allouée.
TRADUCTION¶
Frédéric Delanoy <delanoy_f at yahoo.com>, 2003.
25 octobre 2002 |