Essa sessão explica os principais comandos para o gerenciamento de chaves

--gen-key :: Gera um novo par de chaves. Esse comando é normalmente usado apenas de forma interativa.

Existe uma característica experimental que permite que você crie chaves no modo batch. Veja o arquivo "doc/DETAILS" na distribuição fonte em como usar isso.

--gen-revoke nome :: Gera um certificado de revogação para uma chave completa. Para revogar uma subchave ou uma assinatura, use o comando --edit.

--desig-revoke nome :: Gera um certificado de revogação designada para uma chave. Isso permite um usuário (com permissão ou keyholder) de revogar a chave de alguém.

--edit-key :: Mostra um menu que permite que você de fazer mais tarefas relacionadas ao gerenciamento de chaves. Este comando espera a especificação de uma chave pela linha de comando.

• uid n :: Seleção de um ID de usuário ou um ID fotográfico de usuário de índice n. Use 0 para desmarcar todos.
• key n :: Seleção de uma subchave de índice n. Use 0 para desmarcar todos.
• sign :: Crie uma assinatura na chave no nome do usuário Se a chave ainda não está registrada por um usuário padrão (ou usuários dados com -u), o programa mostra a informação da chave outra vez, junto com sua fingerprint e pergunta se ela deve ser assinada. Essa questão é repetida para todos os usuários especificados com -u.
• lsign :: mesmo de "sign", mas a assinatura é marcada como não exportável e nunca poderá ser usada por outros. Deve ser usado para criar chaves válidas apenas em um ambiente local.
• nrsign :: O mesmo de "sign", mas a assinatura é marcada como não recuperável e portando pode nunca ser revogada.
• tsign :: Faça uma assinatura confiável. Isso é uma assinatura que combina as noções de certificação (como uma assinatura regular), e confiável (como o comando "trust"). Costuma ser útil somente em comunidades distintas ou grupos.
Note que "l" (para local/não exportável), "nr" (para não recuperável) e "t" (para confiável) podem ser livremente misturados e prefixados ao "sign" para criar uma assinatura de qualquer tipo desejado.
• delsig :: Deleta uma assinatura. Note que não é possível remover uma assinatura, uma vez que ela foi enviada ao publico (isto é, para um servidor de chaves). Nesse caso você deverá usar o revsig.
• revsig :: Revoga uma assinatura. Para cada assinatura que foi gerada por uma das chaves secretas, o GnuPG pergunta se o certificado de revogação deve ser gerado.
• check :: Verifica as assinaturas em todos os IDs de usuários selecionados.
• adduid :: Cria um ID de usuário adicional.
• addphoto :: Cria um ID de usuário fotográfico. Isso irá induzir a um arquivo JPEG que será incorporado no ID do usuário. Note que um JPEG muito grande irá criar uma chave muito grande. Note também que alguns programas irá mostrar seu JPEG sem alterações (GnuPG), e alguns programas irão redimensiona-lo para caber em uma dialog box (PGP).
• showphoto :: Mostra o ID de usuário fotográfico.
• deluid :: Deleta um ID de usuário ou um ID de usuário fotográfico. Note que não é possível remover um usuário, uma vez que ele foi enviado ao publico (isto é, para um servidor de chaves). Nesse caso você deverá usar o revuid.
• revuid :: Revoga um ID de usuário ou um ID de usuário fotográfico.
• primary :: Marca o usuário atual como o primário, remove as marcações de usuário primário de todos os usuários e define o timestamp de todas as auto-assinaturas afetadas para um segundo a frente. Note que definindo um ID de usuário fotográfico como primário irá torná-lo primário sobre todos os outros IDs de usuários fotográficos, e definindo um ID de usuário comum como primário irá torna-lo primário sobre todos IDs de usuários comuns.
• keyserver :: Define um servidor de chaves preferido para o ID(s) de usuário especificado. Isso irá permitir que outros usuários saibam aonde você prefere que eles acessem sua chave. Veja --keyserver-options honor-keyserver-url para saber mais. A definição de um valor como "nada" remove um servidor de chave preferido existente.
• notation :: Define uma notação nome=valor para um ID(s) de usuário específico. Veja --cert-notation para saber mais. A definição de um valor como "nada" remove todas as notações, definindo uma notação prefixada com um sinal de menos (-) remove essa notação, e definindo um nome para uma notação (sem o =valor) prefixada com um sinal de menos remove todas as notações com aquele nome.
• pref :: Lista as preferências de um ID de usuário selecionado. Isso mostra as preferências atuais, sem incluir nenhuma preferência implícita.
• showpref :: Mais preferências listadas para o ID de usuário selecionado. Isso mostra as preferências em efeito pela inclusão de preferências implícitas do 3DES (cipher), SHA-1 (digest), e Descompactado (compactação) se elas não estiverem inclusas na lista de preferências. Como complemento, o servidor de chaves preferido e as notações de assinaturas (se existir alguma) são mostrados.
• setpref string :: Define a lista preferências do ID de usuário para string para todos (ou somente os selecionados) IDs de usuários. A chamada do setpref sem argumentos define a lista de preferência como default (seja built-in ou definido via --default-preference-list), e a chamada do setpref com "nada" como argumento define uma lista de preferência vazia. Use o gpg --version para obter a lista de algoritmos disponíveis. Note que enquanto você muda as preferências em um atributo ID de usuário (também conhecido como "ID fotográfico"), o GnuPG não seleciona chaves através de atributos de IDs de usuários logo essas preferências não serão usadas pelo GnuPG.
Quando se está definindo as preferências, você deve listar os algoritmos na ordem em que você gostaria de vê-los serem usados por alguém quando vão criptografar uma mensagem para a sua chave. Se você não incluir o 3DES, ele será automaticamente adicionado ao final. Note que existem vários fatores que são levados em conta ao se escolher um algoritmo (por exemplo, sua chave pode não ser a única destinatária), então a aplicação remota do OpenPGP que está sendo usada para enviar pra você pode ou não seguir exatamente a ordem escolhida para a mensagem. Isto irá, portanto, apenas escolher um algoritmo que está presente na lista de preferência de cada chave destinatária. Veja também em INTEROPERABILIDADE COM OUTROS PROGRAMAS DO OPENPGP na seção abaixo.
• addkey :: Adiciona uma subchave a essa chave.
• addcardkey :: Gera uma subchave em um card e adiciona-a a essa chave.
• Keytocard :: Transfere a subchave secreta selecionada (ou a chave primária se nenhuma sub chave foi selecionada) para o smartcard. A chave secreta no chaveiro irá ser trocada por um stub se a chave puder ser armazenada com sucesso no card e você poderá usar o comando 'save' posteriormente. Apenas determinados tipos de chaves podem ser transferidas para o card. Um sub menu permitirá você selecionar em qual card guardar sua chave. Note que é possível retirar a chave de volta do card - se o card quebrar, sua chave secreta será perdida ao menos que você tenha um backup em algum lugar.
• bkuptocard file :: Restaura o arquivo dado ao card. Esse comando pode ser usado para restaurar uma chave de backup (gerada durante a inicialização do card) em um novo card. Em quase todos os casos será a chave criptografada. Você deve usar esse comando apenas com a chave pública correspondente e ter certeza de que o arquivo passado como argumento é de fato o backup para a restauração. Depois você deve selecionar 2 para restaurar como uma chave criptográfica. Você primeiro será perguntado a entrar com a frase secreta/passphrase da chave do backup e depois para o PIN do Admin do card.
• delkey :: Remove uma subchave (chave secundária). Note que não é possível remover a subchave, uma vez que ela foi enviada ao publico (isto é, para o servidor de chaves). Nesse caso você deve usar revkey.
• revkey :: Revoga uma subchave.
• expire :: Muda o tempo para expirar de uma chave ou subchave. Se uma subchave é selecionada, o tempo de expiração dessa subchave será alterado. Sem seleção, a chave de expiração da chave primária é alterada.
• trust :: Troca o valor de owner trust para a chave. Isso atualiza o banco de dados confiável imediatamente não é necessário salvar.
• disable, enable :: Desativa ou ativa uma chave por completo. Uma chave desativada normalmente não pode ser usada para criptação.
• addrevoker :: Adiciona um revogador designado para a chave. Isso leva um argumento opcional: "sensitive". Se um determinado revogador é marcado como sensível, por padrão ele não poderá ser exportado (veja export-options).
• passwd :: Muda a passprhase de uma chave secreta.
• toggle :: Alterna entre listagem publica ou secreta de chaves.
• clean :: Compacta (removendo todas as assinaturas exceto as auto assinadas) qualquer ID de usuário que não é mais utilizado (isto é, revogado ou expirado). Depois, remove qualquer assinatura que não é utilizada pelo cálculo confiável. Especificamente, isto remove qualquer assinatura que não valida, qualquer assinatura que é substituída por uma assinatura mais tardia, assinaturas revogadas, e assinaturas emitidas por chaves que não estão mais presentes no chaveiro.
• minimize :: Cria a mínima chave possível. Isso remove todas as assinaturas de cada ID de usuário exceto para a auto assinatura mais recente.
• cross-certify :: Adiciona assinaturas de certificado cruzado para assinar subchaves que podem não tê-las. Assinaturas de certificado cruzado protegem contra um ataque subto contra subchaves assinadas. Veja --require-cross-certification. Todas as novas chaves geradas possuem essa assinatura por padrão, portanto essa opção é útil apenas para atualizar chaves antigas.
• save :: Salva todas as mudanças no chaveiro e sai.
• quit :: Sai do programa sem atualizar os chaveiros.
• A listagem mostra para você a chave juntamente com sua chave secundária e todos seus ids de usuários. O ID de usuário primário é indicado por um ponto, e chaves selecionadas ou ids de usuários são indicados por um asterisco. O valor trust é mostrado junto com a chave primária: primeiro é o owner trust atribuído e por segundo temos o valor do trust calculado. Letras são usadas para os valores:
  • - :: Sem ownertrust atribuído/não calculado ainda.
  • e :: Cálculo de confiança falhou; provavelmente devido ao fato de que a chave expirou.
  • q :: Sem informações suficientes para o cálculo.
  • n :: Nunca confie nessa chave.
  • m :: Marginalmente confiável.
  • f :: Completamente confiável.
  • u :: Finalmente confiável.

--sign-key nome :: Assina uma chave pública com sua chave secreta. Este é um atalho para o sub comando "sign" de --edit.

--lsign-key nome :: Assina uma chave pública com sua chave secreta, mas marcam elas como não exportáveis. Este é um atalho para o sub comando "lsing" de --edit-key.