--load-extension name :: Carrega um modulo de extensão. Se nome não contem uma barra ele procura no diretório configurado quando o GnuPG foi construído (geralmente "/usr/local/lib/gnupg") Exensões geralmente não são mais úteis e o uso dessa opção é obsoleto.

--show-photos, --no-show-photos :: Causa --list-keys, --list-sigs, --list-public-keys, --list-secret-keys, e a verificação de uma assinatura também pode exibir a ID de photo anexadas à chave, se existir alguma. Veja também --photo-viewer. Essa opção é obsoleta. Use --list-option [no-]show-photos e/ou --verify-options [no-]show-photos ao invés.

--show-keyring :: Mostra o nome do chaveiro que está no topo da listagem de chaves para mostrar em qual chaveiro uma dada chave reside. Essa opção é obsoleta: use --list-options [no-]show-keyring em vez disso.

--ctapi-driver file :: Use arquivo para acessar o leitor de smartcard. O padrão corrente é 'libtowitoko.so'. Note que o uso essa interface é obsoleto; e pode ser removida de versões futuras.

--always-trust :: Idêntico a --trust-model always. Essa opção é obsoleta.

--show-notation, --no-show-notation :: Mostra notações de assinaturas nas listagens --list-sigs ou --ckeck-sigs assim como quando se está realizando uma assinatura com uma notação nela. Essas opções são obsoletas. Use --list-options [no-]show-notation e/ou --verify-options [no-]show-notation em vez disso.

--show-policy-url, --no-show-policy-url :: Mostra a política de URLs nas listagens em --list-sigs ou --check-sigs assim como quando se está verificando um assinatura com uma política de URL nela. Essas opções são obsoletas. Use --list-options [no-]show-notation e/ou --verify-options [no-]show-notation em vez disso.

Exemplos

Assina e criptografa para o usuário Bob:

gpg -se -r Bob file

Faz uma assinatura de texto limpo:

gpg --clearsign file

Faz uma assinatura avulsa:

gpg -sb file

Faz uma assinatura avulsa com a chave 0x12345678:

gpg -u 0x12345678 -sb file

Mostra as chaves:

gpg --list-keys user_ID

Mostra a impressão digital:

gpg --fingerprint user_ID

Verifica a assinatura do arquivo, mas não retorna os dados. A segunda forma é usar assinaturas avulsas, onde sigfile é a assinatura avulsa (ASCII blindado ou binário) e são os dados assinados; se isso não é fornecido nome do arquivo que contém os dados de assinatura é construído cortando a extensão (".asc" ou ".sig") de sigfile ou perguntando ao usuário por um nome de arquivo:

gpg --verify pgpfile
$ gpg --verify sigfile

Como especificar uma ID de usuário

Existem diferentes maneiras de especificar uma ID de usuário para o GnuPG. Algumas delas são válidas apenas para gpg, outras somente são boas para o gpgsm. Aqui está a lista completa de maneiras de especificar uma chave:

Pelo ID da chave:

Esse formato é deduzido do tamanho da string e seu conteúdo ou o prefixo 0x. Uma ID de chave de um certificado X.509 são os 64 bits menos significativos da sua impressão digital SHA-1. O uso de IDs de chave é apenas um atalho, para todo o processo automático a impressão digital deveria ser usada.

Quando o gpg for usado um ponto de exclamação (!) pode ser adicionado ao final para forçar o uso da chave primária ou secundária especificada e não experimentar e calcular qual chave primária ou secundária a ser usada.

As quatro últimas linhas do exemplo dão a ID de chave em sua forma longa como é usada internamente pelo protocolo OpenPGP. Você pode ver o ID de chave longo usando a opção --with-colons.

234567C4
0F34E556E
01347A56A
0xAB123456

234AABBCC34567C4
0F323456784E56EAB
01AB3FED1347A5612
0x234AABBCC34567C4

Por impressão digital (fingerprint):

Esse formato é deduzido do tamanho da string e seu conteúdo ou o prefixo 0x. Note que apenas os a versão de 20 bytes da impressão digital está disponível com gpgsm (i.e. o hash SHA-1 do certificado).

Quando o gpg for usado um ponto de exclamação (!) pode ser adicionado ao final para forçar o uso da chave primária ou secundária especificada e não experimentar e calcular qual chave primária ou secundária a ser usada.

A melhor forma de especificar uma ID de chave é usando a impressão digital. Isso evita qualquer ambiguidade nos casos em que houver IDs de chave duplicados.

1234343434343434C434343434343434
123434343434343C3434343434343734349A3434
0E12343434343434343434EAB3484343434343434
0xE12343434343434343434EAB3484343434343434

Obs.: O gpgsm também aceita dois pontos entre cada par de dígitos hexadecimais porque esse é o padrão de-facto em como apresentar impressões digitais X.509.

Pela exata combinação no ID de usuário do OpenPGP:

É denotado por um sinal de igualdade. Isso não faz sentido para certificados X.509.

=Heinrich Heine <heinrichh@uni-duesseldorf.de>

Pela correspondência exata de um endereço de e-mail:

Isso é indicado colocando o endereço de e-mail da forma habitual entre um sinal de "menor que" e um sinal de "maior que".

<heinrichh@uni-duesseldorf.de>

Pela correspondência de palavras:

Todas as palavras precisam corresponder exatamente (sem ser case sensitive) mas podem aparecer em qualquer ordem no ID de usuário ou um nome de assunto. Palavras são qualquer sequência de letras, dígitos, underlines e todo caractere com 7 bits definidos.

+Heinrich Heine duesseldorf

Pela correspondência exata do DN de assunto:

Isso é indicado por uma barra no início, diretamente seguida pelo DN de assunto encodado em RFC 2253. Note que você não pode usar a string impressa por "gpgsm --list-keys" porque ela tem sido reordenada e modificada por uma melhor legibilidade; use --with-colons para imprimir a string RFC 2253 bruta (mas fora do padrão).

/CN=Heinrich Heine,O=Poets,L=Paris,C=FR

Pela correspondência exata do DN do emissor:

Isso é indicado por uma marca de hash inicial, diretamente seguida por uma barra e então diretamente seguida pelo DN encodado em RFC 2253 do emissor. Isso deve retornar o certificado raiz do emissor. Veja as notas abaixo.

#/CN=Root Cert,O=Poets,L=Paris,C=FR

Pela correspondência exata do número serial e DN do emissor:

Isso é indicado por uma marca de hash, seguida por uma representação hexadecimal de um número serial, então seguido por uma barra e pelo DN do emissor encodado em RFC 2253. Veja as notas abaixo:

#4F03/CN=Root Cert,O=Poets,L=Paris,C=FR

Pela compressão de chaves:

Isso é indicado por um "e" comercial seguido de 40 dígitos hexadecimais de de uma chave comprimida. gpgsm imprime a chave comprimida quando é usado o comando --dump-cert. Não funciona ainda para chaves OpenPGP.

&D75F22C3F86E355877348498CDC92BD21010A480

Pela correspondência de substrings:

Esse é o modo padrão, mas aplicações podem querer indicá-lo explicitamente ao colocar um asterisco na frente. A correspondência não é sensível a maiúsculas e minúsculas.

Heine
*Heine

Por favor note que nós reusamos a marcação que identifica o hash que foi usada em versões GnuPG antigas para indicar o id local chamado. Não é mais utilizado atualmente e não deve ocorrer conflito quando for usado com coisas X.509.

Usar o formato RFC 2253 de DNs tem a desvantagem de que não é possível mapeá-los de volta para a codificação original, no entanto nós não temos que fazer isso pois nosso banco de dados de chaves armazena essa codificação como metadado.

Arquivos

Há alguns arquivos de configuração para controlar certos aspectos das operações do gpg. A menos que seja indicado, espera-se que eles estejam no diretório home corrente (veja: [option --homedir]).

• gpg.conf :: Esse é o arquivo de configuração padrão lido pelo gpg na inicialização. Nele contém toda opção longa válida; os dois traços iniciais podem não ser digitados e a opção pode não ser abreviada. Esse nome padrão pode ser mudado pela linha de comando (veja: [option --options]). Você deve fazer um backup desse arquivo.

Note que em instalações maiores, isso pode ser útil para colocar arquivos predefinidos no diretório "/etc/skel/.gnupg/" para que usuário criados recentemente possam começar com uma configuração funcional. Para propósitos internos o pgp cria e mantém alguns outros arquivos; eles todos se encontram no diretório home corrente (veja: [option --homedir]). Apenas o gpg pode modificar esses arquivos.

• ~/.gnupg/secring.gpg :: O chaveiro secreto. Você deveria fazer um backup desse arquivo.
• ~/.gnupg/secring.gpg.lock :: O arquivo de bloqueio para o chaveiro secreto.
• ~/.gnupg/pubring.gpg :: O chaveiro público. Você deveria fazer um backup desse arquivo.
• ~/.gnupg/pubring.gpg.lock :: O arquivo de bloqueio para o chaveiro público.
• ~/.gnupg/trustdb.gpg :: O banco de dados de confiança. Não há a necessidade de se fazer um backup desse arquivo; é melhor fazer um backup dos valores de confiança do proprietário (veja: [option --export-own-ertrust]).
• ~/.gnupg/trustdb.gpg.lock :: O arquivo de bloqueio do banco de dados de confiança.
• ~/.gnupg/random_seed :: Um arquivo usado para preservar o estado do pool aleatório interno.
• /usr[/local]/share/gnupg/options.skel :: O arquivo de opção do skeleton.
• /usr[/local]/lib/gnupg/ :: Localização padrão para extensões.

Variáveis de ambiente

Operações são mais controladas por algumas variáveis de ambiente:

• HOME :: Usado para localizar o diretório home padrão.
• GNUPGHOME :: Define o diretório usado em vez de "~/.gnupg".
• GPG_AGENT_INFO :: Usado para localizar o gpg-agent. É usado honradamente apenas quando --use-agent está definido. O valor consiste de 3 sinais de dois pontos delimitados por campos: O primeiro é o caminho para o Unix Domain Socket, o segundo é o PID do pgp-agent e o protocolo de versão que deveria ser definido como 1. Na inicialização do gpg-agent como descrito em sua documentação, essas variáveis são definidas para o valor correto. A opção --gpg-agent-info pode ser usada para sobrescrever isso.
• PINENTRY_USER_DATA :: Esse valor é passado via gpg-agent par o pinentry. Isso é útil para transmitir informação extra para um pinentry customizado.
• COLUMNS, LINES :: Usados para dimensionar alguns displays para o tamanho total da tela.
• LANGUAGE :: Independentemente do seu uso pelo GNU, é usado na versão W32 para sobrescrever a linguagem selecionada feita através do registro. Se usado e definido para um nome de linguagem (langid) válido e disponível, o arquivo com a tradução é carregado de gpgdir/gnupg.nls/langid.mo. Aqui gpgdir é o diretório em que o binário do gpg foi carregado. Se ele não puder ser carregado, o registro é experimentado e como último recurso o sistema local nativo do Windows é usado.

Bugs

Em muitos sistemas esse programa deveria ser instalado como superusuário (root). Isso é necessário para bloquear páginas de memória. O bloqueio de páginas de memória previne que o sistema operacional escreva páginas de memória (que podem conter frases ou outros materiais sensitivos) no disco. Se você não receber mensagens de alerta sobre memória insegura, o seu sistema operacional suporta o bloqueio sem ser superusuário. O programa perde os privilégios de superusuário assim que a memória bloqueada é alocada.

Note também que alguns sistemas (especialmente laptops) tem a habilidade de "suspender para o disco" (também conhecido como "hibernar"). Isso copia toda a memória para o disco antes de entrar em um modo de baixo consumo de energia ou até mesmo no modo desligado. A não ser que medidas sejam tomadas no sistema operacional para proteger a memória salva, senhas e outros materiais sensíveis podem ser recuperados mais tarde do disco.

Veja também:

• gpgv(1),

A documentação completa para essa ferramenta é mantida como um manual Texinfo. Se os programas GnuPG e info estão instalados corretamente em seu lugar, o comando info gnupg deve lhe conceder acesso ao manual completo, incluindo uma estrutura de menu e um índice.

Este manual foi traduzido e revisado por Juliane Barcelos, Richiely Batista e Sidney Ribeiro Júnior durante o mês de fevereiro, 2013.