Rechercher une page de manuel

Chercher une autre page de manuel:

gpg

Autres langues

Langue: fr

Autres versions - même langue

Version: 25/10/2002 (fedora - 25/11/07)

Section: 1 (Commandes utilisateur)

NOM

gpg --- outil de chiffrement et de signature

SYNOPSIS

 
 gpg [--homedir nom] [--options fichier]
     [options] commande [arguments]
 

DESCRIPTION

gpg est le programme principal du système GnuPG.

Cette page de manuel ne liste que les commandes et options disponibles. Pour une documentation plus détaillée, procurez-vous le GNU Privacy Handbook (manuel de GNU Privacy Guard) ou l'un des autres documents sur http://www.gnupg.org/docs.html.

Rappelez-vous que l'analyse des options s'arrête dès qu'un argument non-option est rencontré ; vous pouvez stopper explicitement l'analyse des options en utilisant l'option spéciale « -- ».

COMMANDES

gpg reconnaît les commandes suivantes :

-s, --sign
Créer une signature. Cette commande peut être combinée avec --encrypt.
--clearsign
Créer une signature en clair.
-b, --detach-sign
Créer une signature détachée.
-e, --encrypt
Chiffrer des données. Cette option peut être combinée avec --sign.
-c, --symmetric
Chiffrer en utilisant un algorithme de chiffrement symétrique uniquement. Cette commande demande une phrase de passe (passphrase, phrase secrète).
--store
Stocker uniquement (créer un simple paquet conforme à la RFC 1991).
--decrypt [fichier]
Déchiffrer fichier (ou stdin si aucun fichier n'est spécifié) et l'écrire sur stdout (ou dans le fichier spécifié avec --output). Si le fichier déchiffré est signé, la signature est également vérifiée. Cette commande diffère du comportement par défaut, car elle n'écrase jamais le fichier qui est inclus dans fichier et rejette les fichiers qui ne commencent pas par un message chiffré.
--verify [[fichier-signature] [fichiers-signés]]
Supposer que fichier-signature est une signature et la vérifier sans générer de sortie. Sans argument, le paquet de signature est lu depuis stdin. Si seul un fichier de signature est fourni, il peut représenter une signature complète ou une signature détachée, auquel cas les données signées sont attendues dans un fichier n'ayant pas l'extension « .sig » ou « .asc ». Avec plus d'un argument, le premier d'entre eux devrait être une signature détachée et les fichiers suivants les données signées. Pour lire les données signées depuis stdin, utilisez « - » comme second nom de fichier. Pour des raisons de sécurité, une signature détachée ne peut lire les données signées depuis stdin sans l'indiquer de la manière précitée.
--verify-files [fichiers]
C'est une version spéciale de la commande --verify qui ne fonctionne pas avec les signatures détachées. La commande soit s'attend à ce que les fichiers soient vérifiés sur la ligne de commandes, soit lit les noms de fichiers depuis stdin ; chaque nom doit être sur une ligne séparée. La commande est destinée à la vérification rapide d'un grand nombre de fichiers.
--encrypt-files [fichiers]
C'est une version spéciale de la commande --encrypt. La commande soit s'attend à ce que les fichiers soient chiffrés sur la ligne de commandes, soit lit les noms de fichiers depuis stdin ; chaque nom doit être sur une ligne séparée. La commande est destinée au chiffrement rapide d'un grand nombre de fichiers.
--decrypt-files [fichiers]
Comme --encrypt-files à la différence que les fichiers seront déchiffrés. La syntaxe des noms de fichiers est identique.
--list-keys [noms]
--list-public-keys [noms]
Lister toutes les clés des trousseaux de clés publiques ou uniquement de ceux spécifiés sur la ligne de commandes.
--list-secret-keys [noms]
Lister toutes les clés des trousseaux de clés secrètes ou uniquement de ceux spécifiés sur la ligne de commandes. Un « # » à la suite des lettres « sec » signifie que la clé secrète n'est pas utilisable (elle a p.ex. été créée avec --export-secret-subkeys).
--list-sigs [noms]
Comme --list-keys, mais les signatures sont également listées.
--check-sigs [noms]
Comme --list-sigs, mais les signatures sont vérifiées.
--fingerprint [noms]
Lister toutes les clés avec leurs empreintes. Cela produit la même sortie que --list-keys mais avec une ligne supplémentaire contenant l'empreinte. Peut aussi être combiné avec --list-sigs ou --check-sigs. Si cette commande est répétée, l'empreinte de toutes les clés secondaires sera également mentionnée.
--list-packets
Ne lister que la séquence de paquets. Principalement utile lors du débogage.
--gen-key
Générer une nouvelle paire de clés. Cette commande n'est normalement utilisée que interactivement.
Il y a une fonctionnalité expérimentale qui vous permet de créer des clés en mode non interactif (batch). Voyez le fichier doc/DETAILS dans la distribution des sources pour savoir comment l'utiliser.
--edit-key nom
Présente un menu qui vous permet d'effectuer toutes sortes de tâches relatives aux clés :
sign
Apposer une signature sur la clé de l'utilisateur nom. Si la clé n'est pas déjà signée par l'utilisateur par défaut (ou par les utilisateurs spécifiés avec -u), le programme ré-affiche les informations sur la clé, ainsi que son empreinte, et demande si elle doit être signée. Cette question est répétée pour tous les utilisateurs spécifiés avec -u.
lsign
Comme --sign, mais la signature est marquée comme étant non-exportable et ne sera par conséquent jamais utilisée par d'autres. Cela peut être utilisé pour créer des clés valides uniquement dans l'environnement local.
nrsign
Comme --sign, mais la signature est marquée comme étant non-révocable et ne peut dès lors jamais être révoquée.
nrlsign
Combine les fonctionnalités de nrsign et de lsign pour créer une signature à la fois non-révocable et non-exportable.
revsig
Révoquer une signature. Pour chaque signature générée par l'une des clés secrètes, GnuPG demande si un certificat de révocation doit être généré.
trust
Modifier la valeur de la confiance dans le propriétaire. Cela met à jour immédiatement la base de données de confiance et ne requiert aucune sauvegarde.
disable
enable
Désactiver ou activer une clé entière. Une clé désactivée ne peut normalement pas être utilisée pour le chiffrement.
adduid
Créer un identificateur (ID) d'utilisateur alternatif.
addphoto
Créer un ID d'utilisateur photographique.
deluid
Effacer un ID d'utilisateur.
addkey
Ajouter une sous-clé à cette clé.
delkey
Supprimer une sous-clé.
addrevoker
Attribuer une autorisation de révocation. Cette commande prend un argument optionnel : « sensitive » (sensible). Si une autorisation de révocation est marquée comme étant sensible, elle ne sera pas exportée par défaut (voyez export-options).
revkey
Révoquer une sous-clé.
expire
Changer la date d'expiration d'une clé. Si une sous-clé est sélectionnée, sa date d'expiration sera modifiée. Sans sélection, la date d'expiration de la clé primaire est modifiée.
passwd
Changer la phrase de passe de la clé secrète.
primary
Marquer l'ID d'utilisateur courant comme étant principal, supprimer l'attribut « ID d'utilisateur principal » de tous les autres ID d'utilisateur et avancer l'horodate de toutes les auto-signatures affectées d'une seconde. Notez que la qualification de principal d'un identificateur d'utilisateur photographique le rend prioritaire par rapport aux autres ID d'utilisateurs photographiques ; de même, celui d'un identificateur d'utilisateur normal le rend prioritaire par rapport aux autres ID d'utilisateurs normaux.
uid n
Sélectionner l'identificateur d'utilisateur d'indice n. Utilisez 0 pour tout désélectionner.
key n
Sélectionner la sous-clé d'indice n. Utilisez 0 pour tout désélectionner.
check
Vérifier tous les ID d'utilisateur sélectionnés.
showphoto
Afficher l'ID photographique sélectionné.
pref
Lister les préférences de l'ID d'utilisateur sélectionné. Cela montre les préférences réelles, sans inclure de préférences impliquées.
showpref
Listage plus détaillé des préférences de l'ID d'utilisateur sélectionné. Cela montre les préférences en vigueur y compris les préférences impliquées 3DES (chiffrement), SHA-1 (hachage) et Uncompressed (compactage) si elles ne sont pas déjà incluses dans la liste de préférences.
setpref chaîne
Fixer la liste des préférences de l'identificateur d'utilisateur à chaîne, qui devrait être une chaîne similaire à celle affichée par « pref ». L'utilisation d'une chaîne vide spécifiera la chaîne de préférences par défaut, « none » remettra à zéro les préférences. Utilisez « gpg -v --version » pour obtenir la liste des algorithmes disponibles. Cette commande initialise simplement une liste interne et ne modifie rien à moins qu'une autre commande (comme « updpref ») modifiant les auto-signatures soit utilisée.
updpref
Modifier les préférences de tous les ID d'utilisateurs (ou simplement de ceux sélectionnés dans la liste de préférences en vigueur). L'horodate de toutes les auto-signatures affectées sera avancée d'une seconde. Notez que bien que vous puissiez modifier les préférences d'un ID d'utilisateur attribut (dit « ID photo »), GnuPG ne sélectionne pas les clés à partir des ID d'utilisateur attributs de sorte que ces préférences ne seront pas utilisées par GnuPG.
toggle
Basculer entre le listage des clés publiques et celui des clés privées.
save
Sauvegarder tous les changements dans les trousseaux de clés et quitter le programme.
quit
Quitter le programme sans mettre à jour les trousseaux de clés.
Le listage vous montre la clé accompagnée de ses clés secondaires et de tous ses ID d'utilisateur. Les clés ou ID d'utilisateurs sélectionnés sont indiqués par un astérisque. Deux valeurs de confiance accompagnent la clé primaire : la première est la confiance dans le propriétaire, et la seconde est la valeur de confiance calculée. Des lettres sont utilisées pour les valeurs suivantes :
-
Aucune confiance dans le propriétaire attribuée / pas encore calculée.
e
Échec du calcul du niveau de confiance ; probablement dû à une clé expirée.
q
Pas assez d'informations pour le calcul.
n
Ne jamais faire confiance à cette clé.
m
Confiance marginale.
f
Confiance complète.
u
Confiance absolue.
--sign-key nom
Signer une clé publique avec votre clé secrète. C'est une version raccourcie de la sous-commande « sign » de --edit.
--lsign-key nom
Signer une clé publique avec votre clé secrète mais la marquer comme étant non-exportable. C'est une version raccourcie de la sous-commande « lsign » de --edit.
--nrsign-key nom
Signer une clé publique avec votre clé secrète mais la marquer comme étant non-révocable. C'est une version raccourcie de la sous-commande « nrsign » de --edit.
--delete-key nom
Supprimer une clé du trousseau de clés publiques. Dans le mode non interactif, soit --yes est requis, soit la clé doit être spécifiée par son empreinte. C'est une mesure de précaution destinée à éviter l'effacement accidentel de plusieurs clés.
--delete-secret-key nom
Supprimer la clé des trousseaux de clés publiques et secrètes. Dans le mode non interactif, la clé doit être spécifiée par son empreinte.
--delete-secret-and-public-key nom
Comme --delete-key, mais si une clé secrète existe, elle sera supprimée en premier. Dans le mode non interactif, la clé doit être spécifiée par son empreinte.
--gen-revoke
Générer un certificat de révocation pour la clé entière. Pour révoquer une sous-clé ou une signature, utilisez la commande --edit.
--desig-revoke
Générer un certificat d'autorisation de révocation pour une clé. Cela permet à un utilisateur (avec l'autorisation du détenteur de la clé) de révoquer la clé de quelqu'un d'autre.
--export [noms]
Soit exporter toutes les clés de tous les trousseaux de clés (les trousseaux par défaut et ceux enregistrés via l'option --keyring) ou, si au moins un nom est fourni, celles dont le nom est fourni. Le nouveau trousseau est écrit sur stdout ou dans le fichier donné avec l'option « output ». À utiliser avec --armor pour envoyer ces clés par email.
--send-keys [noms]
Comme --export mais envoyer les clés à un serveur de clés. L'option --keyserver doit être utilisée pour donner le nom de ce serveur de clés. N'envoyez pas votre trousseau complet à un serveur de clés ; sélectionnez uniquement les clés qui sont nouvelles ou que vous avez modifiées.
--export-all [noms]
Comme --export, mais exporte également les clés qui ne sont pas compatibles avec OpenPGP.
--export-secret-keys [noms]
--export-secret-subkeys [noms]
Comme --export, mais exporte les clés secrètes à la place. Ce n'est généralement pas très utile et constitue un risque de sécurité. La seconde forme de la commande a la propriété spéciale de rendre la partie secrète de la clé principale inutile ; c'est une extension GNU à OpenPGP et on ne doit pas s'attendre à ce que d'autres implémentations réussissent à importer une telle clé.

Voyez l'option --simple-sk-checksum si vous voulez importer une telle clé exportée avec une implémentation plus ancienne de OpenPGP.

--import [fichiers]
--fast-import [fichiers]
Importer/fusionner des clés. Cela ajoute les clés données au trousseau. La version rapide n'est actuellement qu'un synonyme.
Il y a quelques autres options qui influencent le fonctionnement de cette commande. La plus remarquable est --merge-only qui fusionne uniquement de nouveaux ID utilisateur, signatures et sous-clés, mais n'insère pas de nouvelles clés.
--recv-keys identificateurs de clés
Importer les clés ayant les ID de clés donnés depuis un serveur de clés. L'option --keyserver doit être utilisée pour indiquer le nom de ce serveur de clés.
--refresh-keys identificateurs de clés
Requérir des mises à jour depuis un serveur de clés pour les clés déjà présentes dans le trousseau local. Cela permet d'obtenir les plus récents ID d'utilisateurs, signatures (etc.) d'une clé. L'option --keyserver doit être utilisée pour indiquer le nom de ce serveur de clés.
--search-keys [noms]
Rechercher les noms spécifiés sur le serveur de clés. Si plusieurs noms sont fournis, ils seront réunis pour créer la chaîne de recherche à donner au serveur. L'option --keyserver doit être utilisée pour indiquer le nom de ce serveur de clés.
--update-trustdb
Effectuer la maintenance de la base de données de confiance. Cette commande parcourt toutes les clés et construit la Toile de Confiance. Elle est interactive car elle peut demander des valeurs de « confiance dans le propriétaire » de clés. L'utilisateur doit estimer son niveau de confiance dans le propriétaire de la clé affichée pour correctement certifier (signer) les autres clés. Cette valeur n'est demandée que si elle n'a pas déjà été affectée à une clé. En utilisant le menu d'édition, cette valeur peut être modifiée à n'importe quel moment.
--check-trustdb
Effectuer la maintenance de la base de données de confiance sans interaction de la part de l'utilisateur. De temps à autre, la base de données de confiance doit être mise à jour afin que les clés expirées et les changements en résultant dans la toile de confiance puissent être découverts. GnuPG essaie de déterminer quand c'est nécessaire et fait ensuite cela implicitement ; cette commande peut être utilisée pour imposer une telle vérification. Le traitement est identique à celui de --update-trustdb mais il omet les clés dont la « confiance dans le propriétaire » n'est pas encore définie.
Pour pouvoir l'employer avec les travaux cron, cette commande peut être utilisée avec --batch auquel cas la vérification n'est effectuée que lorsqu'elle est appropriée. Pour forcer une exécution même dans le mode non interactif, ajoutez l'option --yes.
--export-ownertrust [fichier]
Stocker les valeurs de confiance dans le propriétaire dans fichier (ou stdin s'il n'est pas spécifié). C'est utile pour la sauvegarde car ces valeurs sont les seules qui ne peuvent être recréées à partir d'une base de données de confiance corrompue.
--import-ownertrust [fichiers]
Mettre à jour la base de données de confiance avec les valeurs de confiance dans le propriétaire indiquées dans les fichiers (ou stdin si aucun n'est spécifié) ; les valeurs existantes seront écrasées.
--rebuild-keydb-caches
Lors de la mise à jour de la version 1.0.6 vers la version 1.0.7, cette commande devrait être utilisée pour créer des caches de signatures dans le trousseau de clés. Elle pourrait également être utile dans d'autres situations.
--print-md algo [fichiers]
--print-mds [fichiers]
Afficher le condensé de message de l'algorithme algo pour tous les fichiers donnés ou stdin. Avec la seconde forme (ou la valeur déconseillée « * » pour algo), les condensés utilisant tous les algorithmes disponibles seront affichés.
--gen-random 0|1|2 [nombre]
Émettre nombre octets aléatoires du niveau de qualité spécifié. Si nombre n'est pas fourni ou est nul, une séquence infinie d'octets aléatoire sera générée. S'IL VOUS PLAÎT, n'utilisez pas cette commande à moins de savoir ce que vous faites ; cela peut enlever une précieuse entropie du système !
--gen-prime mode bits [qbits]
Utilise la Force, Luke :-). Le format de sortie est encore sujet à modification.
--version
Afficher des informations de version en plus d'une liste des algorithmes pris en charge.
--warranty
Afficher des informations sur la garantie.
-h, --help
Afficher des informations d'utilisation. C'est une liste très longue même si elle n'énumère pas toutes les options.

OPTIONS

Des options longues peuvent être placées dans un fichier d'options (« ~/.gnupg/gpg.conf » par défaut). Les noms d'options courts ne fonctionneront pas : par exemple, « armor » est une option valide dans le fichier d'options, mais « a » ne l'est pas. N'écrivez pas les 2 tirets, mais uniquement le nom de l'option et les arguments requis éventuels. Les lignes ayant un dièse (« # ») comme premier caractère non d'espacement sont ignorées. Des commandes peuvent également être placées dans ce fichier, mais cela n'a aucun sens.

gpg reconnaît les options suivantes :

-a, --armor
Créer une sortie dans le format protégé en ASCII.
-o, --output fichier
Écrire la sortie dans fichier.
-u, --local-user nom
Utiliser le nom pour signer. Cette option est ignorée silencieusement pour les commandes de listes et peut ainsi être utilisée dans un fichier d'options.
--default-key nom
Utiliser nom comme ID d'utilisateur par défaut pour les signatures. Si cette option n'est pas utilisée, l'ID d'utilisateur par défaut est le premier ID d'utilisateur trouvé dans le trousseau de clés secrètes.
-r, --recipient nom
Chiffrer pour l'ID d'utilisateur nom. Si cette option n'est pas spécifiée, GnuPG demande un ID utilisateur à moins que --default-recipient ne soit utilisé.
--default-recipient nom
Utiliser nom comme destinataire par défaut si l'option --recipient n'est pas utilisée et ne pas demander s'il est valide. nom ne peut pas être vide.
--default-recipient-self
Utiliser la clé par défaut comme destinataire par défaut si l'option --recipient n'est pas utilisée et ne pas demander si elle est valide. La clé par défaut est la première du trousseau de clés secrètes ou celle indiquée avec --default-key.
--no-default-recipient
Annuler l'effet de --default-recipient et --default-recipient-self.
--encrypt-to nom
Comme --recipient mais destiné à être utilisé dans le fichier d'options ; peut être utilisé avec votre propre ID d'utilisateur pour un « chiffrement-pour-vous-même ». Ces clés ne sont utilisées que lorsqu'il y a d'autres destinataires indiqués soit avec --recipient, soit après la saisie d'un identificateur d'utilisateur. Aucune vérification de confiance n'est effectuée pour ces ID d'utilisateurs et même des clés désactivées peuvent être utilisées.
--no-encrypt-to
Ignorer les options --encrypt-to.
-v, --verbose
Fournir plus d'informations durant le traitement. Si c'est répété, les données d'entrée sont également listées en détail.
-q, --quiet
Essayer d'être aussi silencieux que possible.
-z n, --compress n
Fixer le niveau de compression à n. Une valeur de 0 pour n désactive la compression. Le comportement par défaut est d'utiliser le niveau de compression par défaut de la zlib (normalement 6).
-t, --textmode
Utiliser le mode texte canonique. Si -t (mais pas --textmode) est utilisé avec la protection ASCII et la signature, cela permet des messages signés en clair. Cette astuce est nécessaire pour la compatibilité PGP ; normalement, vous devriez utiliser --sign ou --clearsign pour sélectionner le type de signature.
-n, --dry-run
N'effectuer aucune modification (n'est pas complètement implémenté).
-i, --interactive
Demander une confirmation avant d'écraser des fichiers.
--batch
Utiliser le mode non interactif. Ne jamais rien demander, interdire les commandes interactives.
--no-tty
S'assurer que le TTY (terminal) n'est jamais utilisé pour une quelconque sortie. Cette option est nécessaire dans certains cas car GnuPG affiche parfois des avertissements sur le TTY si --batch est utilisé.
--no-batch
Désactiver le mode non interactif. Cela peut être utile si --batch est activé depuis un fichier d'options.
--yes
Répondre « oui » à la plupart des questions.
--no
Répondre « non » à la plupart des questions.
--default-cert-check-level n
Le niveau de validité par défaut à utiliser lors de la signature d'une clé.
0 signifie que vous n'avez pris aucune mesure particulière pour vérifier la clé.
1 signifie que vous croyez que le propriétaire présumé de la clé est bien celui qu'il prétend être, mais que vous n'avez pas ou pas pu vérifier la clé. C'est utile pour une vérification de « personnalité », où vous signez la clé d'un utilisateur pseudonyme.
2 signifie que vous avez effectué une vérification superficielle de la clé. Par exemple, cela pourrait signifier que vous avez vérifié l'empreinte de la clé et comparé l'identificateur d'utilisateur de la clé avec un ID photo.
3 signifie que vous avez effectué une vérification minutieuse de la clé. Par exemple, cela pourrait signifier que vous avez vérifié l'empreinte de la clé avec son propriétaire en chair et en os et que vous avez vérifié, au moyen d'un document difficile à falsifier disposant d'un ID photo (comme un passeport) que le nom du propriétaire de la clé correspond à celui de l'ID d'utilisateur de la clé, et finalement que vous avez contrôlé (par échange de courriers électroniques) que l'adresse électronique présente sur la clé appartient bien au propriétaire.
Notez que les explications ci-dessus pour les niveaux 2 et 3 ne sont que des exemples. En fin de compte, c'est à vous qu'il revient de décider ce que « superficiel » et « minutieux » signifient.
Cette option vaut 0 par défaut.
--trusted-key identificateur de clé long
Supposer qu'on peut autant faire confiance à la clé spécifiée (qui doit être fournie sous la forme d'un ID de clé complet sur 8 octets) qu'à ses propres clés secrètes. Cette option est utile si vous ne voulez pas que (l'une de) vos clés secrètes demeurent en ligne, mais que vous voulez toujours pouvoir vérifier la validité de la clé d'un destinataire ou d'un signataire donné.
--always-trust
Ne pas valider les clés et supposer que celles qui sont utilisées sont toujours totalement fiables. Vous ne devriez pas utiliser ceci à moins que vous ayez installé un système de validation externe. Cette option supprime également la marque « [uncertain] » (incertain) affichée lors des vérifications de signatures quand il n'y a aucune preuve que l'ID d'utilisateur est bien lié à la clé.
--keyserver nom
Utiliser nom comme serveur de clés. C'est le serveur avec qui --recv-keys, --send-keys et --search-keys communiquent pour recevoir, envoyer ou rechercher des clés. Le format du nom est une URI : « procédé:[//]nom-serveur-clés[:port] ». Le système est le type du serveur de clés : « hkp » pour les serveurs de clés Horowitz (ou compatibles), « ldap » pour le serveur de clés LDAP de NAI ou « mailto » pour le serveur de clés par email Horowitz. Notez que votre installation particulière de GnuPG peut également supporter d'autres types de serveurs de clés. Les procédés utilisés par les systèmes de serveurs de clés ne sont pas sensibles à la casse.
La plupart des serveurs de clés se synchronisent entre eux, de sorte qu'il n'est généralement pas nécessaire d'envoyer des clés à plus d'un serveur. La commande « host -l pgp.net | grep wwwkeys » vous donne une liste de serveurs de clés HKP. Quand vous utilisez l'un des serveurs de clés web, du fait du système de répartition de charge utilisant un mécanisme de tour de rôle DNS, il se peut que vous obteniez un serveur de clés différent à chaque fois.
--keyserver-options paramètres
C'est une chaîne délimitée par des espaces ou des virgules qui fournit des options au serveur de clés. Les options peuvent être préfixées avec « no-» pour spécifier la signification opposée. Les options valides d'importation ou d'exportation peuvent également être utilisées ici pour s'appliquer à l'importation (--recv-key) ou à l'exportation (--send-key) d'une clé depuis/vers un serveur de clés. Bien que toutes les options ne soient pas disponibles pour tous les types de serveurs de clés, certaines options courantes sont :
include-revoked
Lors de la recherche d'une clé, inclure les clés qui sont marquées sur le serveur comme étant révoquées. Notez que cette option est toujours spécifiée quand vous utilisez le serveur de clés HKP de NAI, car celui-ci ne fait pas la différence entre les clés révoquées et celles qui ne le sont pas. Lors de l'utilisation du serveur de clés LDAP, cela s'applique à la fois à la recherche (--search-keys) et à la réception (--recv-keys).
include-disabled
Lors de la réception ou la recherche d'une clé, inclure celles qui sont marquées par le serveur de clés comme étant désactivées. Notez que cette option n'est pas utilisée avec les serveurs de clés HKP, car ceux-ci ne prennent pas en charge les clés désactivées.
include-subkeys
Lors de la réception d'une clé, inclure les sous-clés dans la recherche. Notez que cette option n'est pas utilisée avec les serveurs de clés HKP, car ceux-ci ne permettent pas la récupération de clés par ID de sous-clé.
use-temp-files
Sur la plupart des plates-formes de type Unix, GnuPG communique avec le programme assistant du serveur de clés par l'intermédiaire de tubes, c.-à-d. la méthode la plus efficace. Cette option force GnuPG à utiliser des fichiers temporaires pour communiquer. Sur certaines plates-formes (comme Win32 et RISC OS), cette option est toujours activée.
keep-temp-files
Si « use-temp-files » est utilisé, ne pas effacer les fichiers temporaires après utilisation. Cette option est utile pour apprendre le protocole de communication du serveur de clés en lisant les fichiers temporaires.
verbose
Indiquer au programme assistant du serveur de clés d'être plus bavard. Cette option peut être répétée pour accroître le niveau de volubilité.
honor-http-proxy
Pour les serveurs de clés qui utilisent HTTP (comme HKP), essayer d'accéder au serveur de clés via le proxy spécifié par la variable d'environnement « http_proxy ».
auto-key-retrieve
Cette option active la récupération automatique de clés depuis un serveur de clés lors de la vérification de signatures créées par des clés ne se trouvant pas dans le trousseau local.
--import-options paramètres
C'est une chaîne délimitée par des espaces ou des virgules qui fournit des options pour l'importation de clés. Les options peuvent être préfixées avec « no- » pour donner la signification opposée. Il s'agit de :
allow-local-sigs
Permettre l'importation de signatures de clés marquées comme étant « locales ». Ce n'est généralement pas utile à moins qu'un procédé de partage de trousseaux ne soit utilisé. Pas autorisé par défaut.
repair-hkp-subkey-bug
Durant l'importation, essayer de réparer le bogue de mélange de sous-clés (NdT: ?) du serveur de clés HKP. Notez que ceci ne peut complètement réparer la clé endommagée car certaines données cruciales sont supprimées par le serveur de clés, mais cela vous fournit au moins une sous-clé. Vaut non par défaut pour le --import normal et oui pour le --recv-keys depuis un serveur de clés.
--export-options paramètres
C'est une chaîne délimitée par des espaces ou des virgules qui fournit des options pour l'exportation de clés. Les options peuvent être préfixées avec « no- » pour donner la signification opposée. Il s'agit de :
include-non-rfc
Inclure les clés non conformes à la RFC dans l'exportation. Oui par défaut.
include-local-sigs
Permettre l'exportation de signatures de clés marquées comme étant « locales ». Ce n'est généralement pas utile à moins qu'un procédé de partage de trousseaux ne soit utilisé. Pas autorisé par défaut.
include-attributes
Inclure les ID d'utilisateur attributs (ID photo) lors de l'exportation. C'est utile pour exporter des clés si elles vont être utilisées par un programme OpenPGP qui n'accepte pas les ID d'utilisateur attributs. Oui par défaut.
include-sensitive-revkeys
Inclure des informations sur l'autorisation de révocation qui a été marquée comme étant « sensible ». Non incluses par défaut.
--show-photos
Faire en sorte que --list-keys, --list-sigs, --list-public-keys, --list-secret-keys et la vérification d'une signature affichent également l'ID photo attaché à la clé, s'il y en a un. Voyez également --photo-viewer.
--no-show-photos
Annule l'effet de --show-photos.
--photo-viewer chaîne
C'est la ligne de commandes qui devrait être exécutée pour visualiser un ID photo. « %i » sera développé dans le nom de fichier contenant la photo. « %I » fait la même chose, sauf que le fichier n'est pas effacé une fois la visualisation terminée. Les autres drapeaux sont « %k » pour l'ID de clé, « %K » pour l'ID de clé long, « %f » pour l'empreinte de la clé, « %t » pour l'extension du type d'image (p.ex. « jpg »), « %T » pour le type MIME de l'image (p.ex. « image/jpeg ») et « %% » pour un signe pourcent. Si ni %i ni %I n'est présent, alors la photo sera fournie au visualisateur via l'entrée standard.
Le visualisateur par défaut est « xloadimage -fork -quiet -title 'IDclé 0x%k' stdin »
--exec-path chaîne
Spécifie une liste de répertoires où rechercher les visualisateurs de photos et les assistants de serveurs de clés. Si elle n'est pas fournie, les assistants des serveurs de clés utilisent le répertoire par défaut intégré à la compilation et les visualisateurs de photos utilisent la variable d'environnement $PATH.
--show-keyring
Indique à --list-keys, --list-public-keys et --list-secret-keys d'afficher le nom du trousseau dans lequel une clé donnée réside. Ce n'est utile que lorsque vous listez une clé ou un groupe de clés spécifique. Cela n'a pas d'effet lors du listage de toutes les clés.
--keyring fichier
Ajouter fichier à la liste des trousseaux. Si fichier commence par un tilde et un slash, ils sont remplacés par le répertoire HOME. Si le nom de fichier ne contient pas de slash, il est supposé être localisé dans le répertoire personnel (« ~/.gnupg » si --homedir n'est pas utilisé). Le nom du fichier peut être préfixé par un « procédé » :
« gnupg-ring: » est utilisé par défaut.
Il peut être logique de l'utiliser avec --no-default-keyring.
--secret-keyring fichier
Comme --keyring mais pour les trousseaux de clés secrètes.
--homedir répertoire
Fixer le nom du répertoire personnel à répertoire ; si cette option n'est pas spécifiée, il s'agit de « ~/.gnupg » par défaut. L'utiliser dans un fichier d'options n'a aucun sens. De plus, cette option a priorité sur la variable d'environnement « GNUPGHOME ».
--charset nom
Fixer le nom du jeu de caractères natif. C'est utilisé pour convertir certaines chaînes de caractères dans le codage UTF-8 adéquat. Si cette option n'est pas utilisée, le jeu de caractères par défaut est déterminé à partir de la localisation courante. Un niveau de volubilité de 3 montre celle qui est utilisée. Les valeurs valides pour nom sont :
iso-8859-1
Le jeu de caractères Latin 1.
iso-8859-2
Le jeu de caractères Latin 2.
iso-8859-15
C'est actuellement un alias pour le jeu de caractères Latin 1.
koi8-r
Le jeu de caractères russe habituel (RFC 1489).
utf-8
Éviter toutes les traductions et supposer que le système d'exploitation utilise le codage UTF-8 nativement.
--utf8-strings
--no-utf8-strings
Supposer que les arguments sont déjà fournis sous forme de chaînes de caractères UTF8. Le comportement par défaut (--no-utf8-strings) est de supposer que les arguments sont codés dans le jeu de caractères spécifié par --charset. Ces options affectent tous les arguments suivants. Ces deux options peuvent être utilisées à plusieurs reprises.
--options fichier
Lire les options depuis le fichier et ne pas essayer de les lire depuis le fichier d'options par défaut situé dans le répertoire personnel (voyez --homedir). Cette option est ignorée si elle est utilisée dans un fichier d'options.
--no-options
Raccourci pour « --options /dev/null ». Cette option est détectée avant une tentative d'ouverture d'un fichier d'options. L'utilisation de cette option empêchera également la création d'un répertoire personnel « ~./gnupg ».
--load-extension nom
Charger un module d'extension. Si nom ne contient pas de slash (« / »), il est recherché dans le répertoire configuré lors de la construction de GnuPG (généralement « /usr/local/lib/gnupg »). Les extensions ne sont généralement plus utiles, et l'utilisation de cette option est déconseillée.
--debug drapeaux
Spécifier les drapeaux de débogage. Tous les drapeaux sont coordonnés par un « ou » et les drapeaux peuvent être indiqués en utilisant la syntaxe C (p.ex. 0x0042).
--debug-all
Spécifier tous les drapeaux de débogage utiles.
--status-fd n
Écrire des chaînes de statut spéciales dans le descripteur de fichier n. Voyez le fichier DETAILS dans la documentation pour obtenir leur liste.
--logger-fd n
Écrire la sortie de journalisation dans le descripteur de fichier n et pas sur stderr.
--attribute-fd n
Écrire les sous-paquets d'attributs dans le descripteur de fichier n. C'est le plus utile avec --status-fd, car les messages de statut sont nécessaires pour extraire les différents sous-paquets du flux alimentant le descripteur de fichier.
--sk-comments
Inclure les paquets de commentaires sur la clé secrète lors de l'exportation de clés secrètes. C'est une extension GnuPG au standard OpenPGP qui est désactivée par défaut. Remarquez que cela n'a rien à voir avec les commentaires dans les signatures en clair ou dans les en-têtes protégés en ASCII.
--no-sk-comments
Annule l'effet de --sk-comments.
--no-comment
Voir --sk-comments. Cette option est obsolète et pourrait être supprimée prochainement.
--comment chaîne
Utiliser la chaîne comme commentaire apparaissant dans les signatures en clair. Le comportement par défaut est de ne pas écrire de chaîne de commentaire.
--default-comment
Écrire la chaîne de commentaire standard dans les signatures en clair. Utilisez ceci pour remplacer un --comment provenant d'un fichier de configuration. Cette option est maintenant obsolète car il n'y a plus de commentaire par défaut.
--no-version
Omettre la chaîne de version dans les signatures en clair.
--emit-version
Écrire la chaîne de version dans les signatures en clair. Utilisez ceci pour remplacer un --no-version précédent provenant d'un fichier de configuration.
-N, --notation-data nom=valeur
Placer la paire nom-valeur dans la signature en tant que données de notation. nom ne peut être composé que de caractères alphanumériques, de chiffres ou de caractères de soulignement ; le premier caractère ne peut pas être un chiffre. valeur peut être n'importe quelle chaîne imprimable ; elle sera codée en UTF8 et vous devriez par conséquent vérifier que votre --charset est défini correctement. Si vous préfixez nom par un point d'exclamation, les données de notation seront marquées comme étant critiques (RFC 2440 section 5.2.3.15).
--show-notation
Afficher les notations de signature de clé dans les listings de --list-sigs ou --check-sigs.
--no-show-notation
Ne pas afficher les notations de signature de clé dans les listings de --list-sigs ou --check-sigs.
--set-policy-url chaîne
Utiliser chaîne comme URL du document de politique de signature (RFC 2440 section 5.2.3.19). Si vous le préfixez par un point d'exclamation, le paquet concerné sera marqué comme étant critique.
--show-policy-url
Montrer les URL de politique éventuelles définies dans les listings de --list-sigs ou --check-sigs.
--no-show-policy-url
Ne pas montrer les URL de politique éventuelles définies dans les listings de --list-sigs ou --check-sigs.
--set-filename chaîne
Utiliser chaîne comme nom du fichier stocké dans les messages.
--for-your-eyes-only
Spécifier le drapeau « rien que pour vos yeux » dans le message. Cela indique à GnuPG de refuser de sauver le fichier à moins que l'option --output ne soit spécifiée, et à PGP d'utiliser le « visualisateur sécurisé » en utilisant une police de caractères résistant à Tempest pour afficher le message. Cette option a priorité sur --set-filename.
--no-for-your-eyes-only
Annule l'effet de --for-your-eyes-only.
--use-embedded-filename
Essayer de créer un fichier dont le nom est contenu dans les données. Cela peut être dangereux car il est possible d'écraser des fichiers.
--completes-needed n
Le nombre d'utilisateurs en qui on a entièrement confiance nécessaires pour introduire un nouveau signataire de clé (1 par défaut).
--marginals-needed n
Le nombre d'utilisateurs en qui on a marginalement confiance nécessaires pour introduire un nouveau signataire de clé (3 par défaut).
--max-cert-depth n
La longueur maximale d'une chaîne de certification (5 par défaut).
--cipher-algo nom
Utiliser nom comme algorithme de chiffrement. L'exécution du programme avec la commande --version produit une liste des algorithmes pris en charge. Si cette option n'est pas utilisée, l'algorithme de chiffrement est sélectionné à partir des préférences stockées avec la clé.
--digest-algo nom
Utiliser nom comme algorithme de hachage. L'exécution du programme avec la commande --version produit une liste des algorithmes pris en charge.
--cert-digest-algo nom
Utiliser nom comme algorithme de hachage à utiliser lors de la signature d'une clé. L'exécution du programme avec la commande --version produit une liste des algorithmes pris en charge. Gardez à l'esprit que si vous choisissez un algorithme pris en charge par GnuPG mais pas par d'autres implémentations de OpenPGP, alors il est fort probable que certains utilisateurs ne pourront pas utiliser les signatures de clés que vous avez créées, voire même votre clé entière.
--s2k-cipher-algo nom
Utiliser nom comme algorithme de chiffrement à utiliser pour protéger les clés secrètes. Le chiffrement par défaut est CAST5. Il est également utilisé pour le chiffrement conventionnel si --cipher-algo n'est pas fourni.
--s2k-digest-algo nom
Utiliser nom comme algorithme de hachage à utiliser pour coder les phrases de passe. L'algorithme par défaut est RIPEMD-160. Il est également utilisé pour le chiffrement conventionnel si --digest-algo n'est pas fourni.
--s2k-mode n
Sélectionner la façon dont les phrases de passe sont codées. Si n vaut 0, une phrase de passe non modifiée (pas recommandé !) sera utilisée, un 1 (par défaut) ajoute un sel (salt) à la phrase de passe et un 3 répète plusieurs fois le processus. À moins que --rfc1991 ne soit utilisé, ce mode est également employé pour le chiffrement conventionnel.
--simple-sk-checksum
L'intégrité des clés secrètes est protégée par une somme de contrôle SHA-1. Cette méthode fera partie d'une spécification améliorée de OpenPGP mais GnuPG l'utilise déjà pour résister à certaines attaques. Les anciennes applications ne comprennent pas ce nouveau format ; cette option peut être utilisée pour revenir à l'ancien comportement. L'utilisation de cette option ajoute un risque de sécurité. Notez que cette option n'a d'effet que lors du chiffrement de la clé secrète ; la manière la plus simple d'arriver à cela est de modifier la phrase de passe de la clé (on peut même fournir la même valeur).
--compress-algo n
Utiliser l'algorithme de compression n. Vaut 2 par défaut qui est la compression requise par la RFC 1950. Vous pouvez utiliser 1 pour employer la vieille version de la zlib (RFC 1951) qui est utilisée par PGP. 0 désactive la compression. L'algorithme par défaut peut donner de meilleurs résultats car la taille de fenêtre n'est pas limitée à 8 Ko. Si ce n'est pas utilisé, le comportement de OpenPGP est utilisé, c.-à-d. que l'algorithme de compression est sélectionné à partir des préférences ; notez que cela ne peut pas être fait si vous ne chiffrez pas de données.
--disable-cipher-algo nom
Ne jamais permettre l'utilisation de nom comme algorithme de chiffrement. Le nom fourni ne sera pas contrôlé de sorte qu'un algorithme chargé ultérieurement sera toujours désactivé.
--disable-pubkey-algo nom
Ne jamais permettre l'utilisation de nom comme algorithme à clé publique. Le nom fourni ne sera pas contrôlé de sorte qu'un algorithme chargé ultérieurement sera toujours désactivé.
--no-sig-cache
Ne pas mettre en cache l'état de vérification des signatures de clés. La mise en mémoire cache offre des performances bien meilleures dans le listage des clés. Néanmoins, si vous suspectez que votre trousseau de clés publiques n'est pas protégé contre les modifications en écriture, vous pouvez utiliser cette option pour désactiver la mise en cache. Il est probablement vain de la désactiver car toutes sortes de dégâts peuvent être commis si quelqu'un dispose d'un accès en écriture à votre trousseau de clés publiques.
--no-sig-create-check
GnuPG vérifie normalement chaque signature juste après sa création pour se prémunir des bogues et des défauts de fonctionnement matériels qui pourraient divulguer des bits de la clé secrète. Cette vérification supplémentaire demande un certain temps (à peu près 115 % pour les clés DSA) et cette option peut être utilisée pour la désactiver. Néanmoins, étant donné que la création d'une signature nécessite une interaction manuelle, cette pénalité de performance n'a pas d'importance dans la plupart des configurations.
--auto-check-trustdb
Si GnuPG a l'impression que ses informations concernant la toile de confiance doivent être mises à jour, il exécute automatiquement la commande --check-trustdb en interne. Cela peut demander beaucoup de temps.
--no-auto-check-trustdb
Annule l'effet de --auto-check-trustdb.
--throw-keyid
Ne pas placer l'ID de clé dans les paquets chiffrés. Cette option cache le récepteur du message et est une riposte contre l'analyse du trafic. Elle peut ralentir le processus de déchiffrement car toutes les clés secrètes disponibles sont testées.
--not-dash-escaped
Cette option modifie le comportement des signatures en clair afin qu'elles puissent être utilisées pour les fichiers patch. Vous ne devriez pas envoyer un tel fichier protégé en ASCII par email car tous les espaces et terminaisons de lignes sont également hachés. Vous ne pouvez pas utiliser cette option pour les données comportant 5 tirets au début d'une ligne, ce qui n'est pas le cas des fichiers patch. Une ligne spéciale de l'en-tête protégé en ASCII informe GnuPG de cette option de signature du texte en clair.
--escape-from-lines
Puisque certains programmes de mail remplacent les lignes débutant en « From » par « <From », il est préférable de traiter spécialement de telles lignes lors de la création de signatures en clair. Toutes les autres versions de PGP font de même. Cette option n'est pas activée par défaut car elle violerait la RFC 2440.
--passphrase-fd n
Lire la phrase de passe depuis le descripteur de fichier n. Si n vaut 0, la phrase de passe sera lue depuis stdin. Cela ne peut être utilisé que si une seule phrase de passe est fournie. N'utilisez pas cette option si vous pouvez l'éviter.
--command-fd n
C'est un remplacement du mode obsolète de mémoire partagée IPC. Si cette option est activée, les réponses de l'utilisateur aux questions ne sont pas attendues depuis le terminal mais depuis le descripteur de fichier donné. Elle devrait être utilisée avec --status-fd. Voyez le fichier doc/DETAILS dans la distribution des sources pour des détails d'utilisation.
--use-agent
Essayer d'utiliser l'agent GnuPG. Ne perdez pas de vue que celui-ci est toujours en cours de développement. Avec cette option, GnuPG essaie d'abord de se connecter à l'agent avant de demander une phrase de passe.
--gpg-agent-info
Surcharger la valeur de la variable d'environnement GPG_AGENT_INFO. N'est utilisé que lorsque --use-agent a été spécifié.
--rfc1991
Essayer d'être plus conforme à la RFC 1991 (PGP 2.x).
--pgp2
Régler toutes les options pour être aussi compatible que possible avec PGP 2.x, et avertir de toute action (p.ex. le chiffrement avec une clé non RSA) créant un message que PGP 2.x ne serait pas en mesure de traiter. Notez que « PGP 2.x » signifie ici « MIT PGP 2.6.2 ». Il y a d'autres versions de PGP 2.x disponibles, mais celle du MIT est un bon point de départ (NdT : good common baseline).
Cette option implique « --rfc1991 --no-openpgp --disable-mdc --no-force-v4-certs --no-comment --escape-from-lines --force-v3-sigs --no-ask-sig-expire --no-ask-cert-expire --cipher-algo IDEA --digest-algo MD5 --compress-algo 1 ». Elle désactive également --textmode lors du chiffrement.
--no-pgp2
Annule l'effet de --pgp2.
--pgp6
Régler toutes les options pour être aussi compatible que possible avec PGP 6. Cela vous limite aux chiffrements IDEA (si l'extension IDEA est installée), 3DES et CAST5, aux condensés MD5, SHA1 et RIPEMD160 et aux algorithmes de compression none et ZIP. Cela empêche également la création de signatures avec des sous-clés car PGP 6 ne comprend pas les signatures créées par des sous-clés (de signature).
Cette option implique « --disable-mdc --no-comment --escape-from-lines --force-v3-sigs --no-ask-sig-expire --compress-algo 1 ».
--no-pgp6
Annule l'effet de --pgp6.
--pgp7
Régler toutes les options pour être aussi compatible avec PGP 7 que possible. C'est identique à --pgp6 sauf que les codes de détection de modifications (MDC, modification detection codes) ne sont pas désactivés et que s'ajoutent à la liste des chiffrements autorisés AES128, AES192, AES256 et TWOFISH.
--no-pgp7
Annule l'effet de --pgp7.
--openpgp
Choisir des options de paquets, de chiffrement et de hachage conformes au comportement de OpenPGP. Utilisez cette option pour réinitialiser toutes les options précédentes comme --rfc1991, --force-v3-sigs, --s2k-*, --cipher-algo, --digest-algo et --compress-algo à des valeurs compatibles avec OpenPGP. Tous les contournements PGP sont également désactivés.
--force-v3-sigs
OpenPGP établit qu'une implémentation devrait générer des signatures v4 mais PGP versions 5 et ultérieures ne reconnaissent les signatures v4 qu'en ce qui concerne les clés. Cette option impose des signatures v3 pour les données. Notez que cette option surcharge --ask-sig-expire, car les signatures v3 ne peuvent avoir de date d'expiration.
--no-force-v3-sigs
Annule l'effet de --force-v3-sigs.
--force-v4-certs
Toujours utiliser les signatures de clés v4 même sur les clés v3. Cette option change également l'algorithme de hachage par défaut pour les clés RSA v3 qui passe de MD5 à SHA-1.
--no-force-v4-certs
Annule l'effet de --force-v4-certs.
--force-mdc
Forcer l'utilisation de chiffrements possédant un code de détection de modifications. C'est toujours utilisé avec les nouveaux chiffrements (ceux ayant une taille de bloc supérieure à 64 bits) ou si la clé du récepteur indique sa préférence pour un des ces chiffrements.
--disable-mdc
Désactiver l'utilisation du code de détection de modifications. Notez qu'en utilisant cette option, le message chiffré devient vulnérable à une attaque de modification de message.
--allow-non-selfsigned-uid
Permettre l'importation et l'utilisation de clés dont les ID utilisateurs ne sont pas auto-signés. Ce n'est pas recommandé, car un ID d'utilisateur non auto-signé est trivial à falsifier.
--no-allow-non-selfsigned-uid
Annule l'effet de --allow-non-selfsigned-uid.
--allow-freeform-uid
Désactiver toute forme de vérification du format de l'ID d'utilisateur quand on en génère un nouveau. Cette option ne devrait être utilisée que dans des environnements très spéciaux car elle n'impose pas le format standard de facto des ID d'utilisateurs.
--ignore-time-conflict
GnuPG vérifie normalement que les horodates associées aux clés et aux signatures sont plausibles. Néanmoins, une signature semble parfois être plus ancienne que la clé à cause de problèmes d'horloge. Cette option remplace ces vérifications par un simple avertissement.
--ignore-valid-from
GnuPG ne sélectionne et n'utilise normalement pas de sous-clés créées dans le futur. Cette option permet l'utilisation de telles clés et présente donc le comportement des versions antérieures à la v1.0.7. Vous ne devriez pas utiliser cette option sauf en cas de problème d'horloge.
--ignore-crc-error
La protection ASCII utilisée par OpenPGP fait l'objet d'une somme de contrôle CRC contre les erreurs de transmission. Le CRC est parfois codé quelque part sur le canal de transmission mais le contenu réel (qui est de toute façon protégé par le protocole OpenPGP) est toujours correct. Cette option permet à gpg d'ignorer les erreurs de CRC.
--ignore-mdc-error
Cette option transforme un échec de protection d'intégrité MDC en un avertissement. Cela peut être utile si un message est partiellement corrompu, mais qu'il est nécessaire d'en extraire un maximum de données. Néanmoins, gardez à l'esprit qu'un échec de protection MDC peut aussi signifier que le message a été altéré intentionnellement par un attaquant.
--lock-once
Verrouiller les bases de données la première fois qu'un verrou est requis, mais ne pas le libérer avant la terminaison du processus.
--lock-multiple
Libérer les verrous à chaque fois qu'ils ne sont plus nécessaires. Utilisez ceci pour surcharger un --lock-once précédent provenant d'un fichier de configuration.
--lock-never
Désactiver entièrement le verrouillage. Cette option ne devrait être utilisée que dans des environnements très spéciaux, où l'on peut s'assurer qu'un seul processus accède à ces fichiers. Une disquette amorçable comportant un système de chiffrement autonome utilisera probablement ceci. Une mauvaise utilisation de cette option peut conduire à une corruption de données ou de clés.
--no-random-seed-file
GnuPG utilise un fichier pour stocker sa réserve interne de données aléatoires par-delà les invocations. Cela accélère la génération de données aléatoires. Néanmoins, les opérations d'écriture ne sont parfois pas souhaitables ; dans ce cas, cette option peut être utilisée au prix d'une génération aléatoire moins rapide.
--no-verbose
Réinitialiser le niveau de volubilité à 0.
--no-greeting
Supprimer le message initial relatif aux droits d'auteur mais ne pas entrer dans le mode non interactif.
--no-secmem-warning
Supprimer l'avertissement concernant une « utilisation non sûre de la mémoire ».
--no-permission-warning
Supprimer l'avertissement relatif aux permissions de fichiers dangereuses.
--no-mdc-warning
Supprimer l'avertissement relatif à la protection d'intégrité MDC.
--no-armor
Supposer que les données d'entrée ne sont pas dans le format protégé en ASCII.
--no-default-keyring
Ne pas ajouter les trousseaux par défaut à la liste de trousseaux.
--skip-verify
Sauter l'étape de vérification de signature. Cela peut être utilisé pour accélérer le déchiffrement si la vérification de signature n'est pas nécessaire.
--with-colons
Afficher les listes de clés délimitées par des deux-points. Notez que la sortie sera codée en UTF-8 quel que soit le réglage --charset éventuel utilisé.
--with-key-data
Afficher les listes de clés délimitées par des deux-points (comme --with-colons) et afficher les données sur la clé publique.
--with-fingerprint
Comme --fingerprint mais ne modifier que le format de la sortie ; peut être utilisé avec une autre commande.
--fast-list-mode
Modifie la sortie des commandes retournant des listes pour qu'elles fonctionnent plus rapidement, en laissant vides certaines parties. Certaines applications n'ont pas besoin de l'ID d'utilisateur et des informations de confiance données dans les listes. En utilisant cette option, elles obtiennent un listage plus rapide. Le comportement exact de cette option pourrait changer à l'avenir.
--fixed-list-mode
Ne pas fusionner l'ID d'utilisateur et la clé primaire dans le mode de listage --with-colon et afficher toutes les horodates sous forme du nombre de secondes écoulées depuis le 01/01/1970.
--list-only
Modifie le comportement de certaines commandes. Généralement similaire à --dry-run. La sémantique de cette commande pourrait être étendue dans le futur. Actuellement, elle n'effectue pas la passe de déchiffrement réel et permet de ce fait un listage rapide des clés de chiffrement.
--no-literal
N'est pas destiné à une utilisation normale. Utilisez les sources pour voir dans quels cas cela pourrait être utile.
--set-filesize
N'est pas destiné à une utilisation normale. Utilisez les sources pour voir dans quels cas cela pourrait être utile.
--emulate-md-encode-bug
Les versions de GnuPG antérieures à 1.0.2 étaient affectées d'un bogue relatif à la façon dont une signature était codée. Cette option active un contournement en re-vérifiant les signatures incorrectes avec le codage utilisé dans les anciennes versions. Cela ne peut se produire que pour les signatures ElGamal qui ne sont pas très répandues.
--show-session-key
Afficher la clé de session utilisée par un message. Voyez --override-session-key pour l'option associée.
Nous pensons que le dépôt de clé est une Mauvaise Chose ; néanmoins, l'utilisateur devrait avoir la liberté de décider d'aller en prison ou de révéler le contenu d'un message spécifique sans compromettre tous les messages qui ont été chiffrés jusqu'à ce jour avec une clé secrète. N'UTILISEZ PAS CETTE OPTION SAUF EN CAS D'ABSOLUE NÉCESSITÉ.
--override-session-key chaîne
Ne pas utiliser la clé publique mais la clé de session chaîne. Le format de cette chaîne est le même que celui affiché par --show-session-key. Cette option n'est normalement pas utilisée mais est pratique au cas où quelqu'un vous force à révéler le contenu d'un message chiffré ; en utilisant cette option, vous pouvez faire cela sans compromettre la clé secrète.
--ask-sig-expire
Lors de la création d'une signature de données, demander une date d'expiration. Si cette option n'est pas spécifiée, la date d'expiration est « never » (jamais).
--no-ask-sig-expire
Annule l'effet de -sig-expire.
--ask-cert-expire
Lors de la création d'une signature de clé, demander une date d'expiration. Si cette option n'est pas spécifiée, la date d'expiration est « never » (jamais).
--no-ask-cert-expire
Annule l'effet de --ask-cert-expire.
--expert
Permettre à l'utilisateur d'effectuer certaines choses insensées ou « idiotes » comme signer une clé expirée ou révoquée, ou certaines choses potentiellement incompatibles comme la génération de types de clés obsolètes. Cela désactive également certains messages d'avertissement relatifs à des actions potentiellement incompatibles. Comme le nom l'indique, cette option n'est destinée qu'aux experts. Si vous ne comprenez pas entièrement les implications de ce que cela vous permet de faire, ne l'utilisez pas.
--no-expert
Annule l'effet de --expert.
--merge-only
Ne pas insérer de nouvelles clés dans les trousseaux lors d'une importation.
--allow-secret-key-import
C'est une option obsolète qui n'est plus utilisée.
--try-all-secrets
Ne pas considérer l'ID de clé stocké dans le message mais essayer toutes les clés secrètes à tour de rôle pour trouver la bonne clé de déchiffrement. Cette option force le comportement qui est utilisé par des destinataires anonymes (créés en utilisant --throw-keyid) et pourrait être pratique au cas où un message chiffré contient un ID de clé bogué.
--enable-special-filenames
Cette option active un mode dans lequel les noms de fichiers de la forme -&n, où n est un nombre décimal non négatif, référencent le descripteur de fichier n et pas un fichier portant ce nom.
--no-expensive-trust-checks
Utilisation expérimentale uniquement.
--group nom=valeur1 [valeur2 valeur3 ...]
Définit un groupe nommé, qui est similaire aux alias dans les programmes de courrier électronique. À chaque fois que le nom du groupe est un destinataire (-r ou --recipient), il sera remplacé par les valeurs spécifiées.

Les valeurs sont des ID de clés ou des empreintes, mais n'importe quelle description de clé est acceptée. Notez qu'une valeur contenant des espaces sera traitée comme deux valeurs différentes. Remarquez également qu'il n'y a qu'un seul niveau de développement : vous ne pouvez pas construire de groupe pointant vers un autre groupe.

--preserve-permissions
Ne pas restituer les permissions d'un trousseau de clés secrètes à la lecture/écriture par le propriétaire uniquement. N'utilisez cette option que si vous savez réellement ce que vous faites.
--personal-cipher-preferences chaîne
Fixer la liste des préférences de chiffrement personnelles à chaîne ; cette liste devrait être une chaîne similaire à celle affichée par la commande « pref » du menu d'édition. Cela permet à l'utilisateur de spécifier ses propres algorithmes préférés lorsque des algorithmes sont choisis à partir des préférences affichées par les clés du destinataire.
--personal-digest-preferences chaîne
Fixer la liste de préférences de hachage personnelles à chaîne ; cette liste devrait être une chaîne similaire à celle affichée par la commande « pref » du menu d'édition. Cela permet à l'utilisateur de spécifier ses propres algorithmes préférés lorsque des algorithmes sont choisis à partir des préférences affichées par les clés du destinataire.
--personal-compress-preferences chaîne
Fixer la liste de préférences de compression personnelles à chaîne ; cette liste devrait être une chaîne similaire à celle affichée par la commande « pref » du menu d'édition. Cela permet à l'utilisateur de spécifier ses propres algorithmes préférés lorsque des algorithmes sont choisis à partir des préférences affichées par les clés du destinataire.
--default-preference-list chaîne
Fixer la liste de préférences par défaut à chaîne ; cette liste devrait être une chaîne similaire à celle affichée par la commande « pref » du menu d'édition. Cela affecte à la fois la génération de clés et la commande « updpref » du menu d'édition.

Comment spécifier un identificateur d'utilisateur

Il y a différentes façons de spécifier un ID d'utilisateur à GnuPG ; voici quelques exemples :

234567C4
0F34E556E
01347A56A
0xAB123456
Ici, l'ID de clé est donné dans la forme courte habituelle.
234AABBCC34567C4
0F323456784E56EAB
01AB3FED1347A5612
0x234AABBCC34567C4
Ici, l'ID de clé est donné dans la forme longue utilisée par OpenPGP (vous pouvez obtenir l'ID de clé long en utilisant l'option --with-colons).
1234343434343434C434343434343434
123434343434343C3434343434343734349A3434
0E12343434343434343434EAB3484343434343434
0xE12343434343434343434EAB3484343434343434
La meilleure façon de spécifier un ID de clé est d'utiliser l'empreinte de la clé. Cela évite les ambiguïtés en cas d'ID de clés dupliqués (très rares pour les ID de clés longs).
=Heinrich Heine <heinrichh@uni-duesseldorf.de>
En utilisant une chaîne correspondant exactement. C'est indiqué par le signe égal.
<heinrichh@uni-duesseldorf.de>
En utilisant l'adresse électronique à reconnaître exactement. Le « < » indique ce mode d'adresse électronique.
+Heinrich Heine duesseldorf
Tous les mots doivent correspondre exactement (casse pas importante) mais peuvent apparaître dans n'importe quel ordre dans l'ID. Les mots sont des séquences quelconques de lettres, chiffres, caractères de soulignement et caractères ayant le bit 7 positionné.
Heine
*Heine
Reconnaissance de sous-chaîne insensible à la casse. C'est le mode par défaut mais des applications peuvent indiquer ceci explicitement en plaçant un astérisque en tête.

Notez que vous pouvez concaténer un point d'exclamation aux ID ou empreintes de clés. Ce drapeau indique à GnuPG d'utiliser précisément la clé primaire ou secondaire donnée et de ne pas essayer de deviner laquelle utiliser.

VALEUR DE RETOUR

Le programme renvoie 0 si tout s'est bien déroulé, 1 si au moins une signature était incorrecte et d'autres codes d'erreur en cas d'erreur fatale.

EXEMPLES

gpg -se -r Bob fichier
Signer et chiffrer pour l'utilisateur Bob
gpg --clearsign fichier
Créer une signature en clair
gpg -sb fichier
Créer une signature détachée
gpg --list-keys ID_utilisateur
Afficher des clés
gpg --fingerprint ID_utilisateur
Afficher une empreinte
gpg --verify fichierpgp
gpg --verify fichier-sig [fichiers]
Vérifier la signature du fichier mais ne pas générer de données. La seconde forme est utilisée pour les signatures détachées, où fichier-sig est une signature détachée (soit protégée en ASCII, soit binaire) et [fichiers] représente les données signées ; s'il n'est pas fourni, le nom du fichier contenant les données signées est construit en enlevant l'extension (« .asc » ou « .sig ») du fichier-sig, ou en le demandant à l'utilisateur.

ENVIRONNEMENT

HOME
Emplacement du répertoire personnel par défaut.
GNUPGHOME
Répertoire à utiliser au lieu de « ~/.gnupg ».
GPG_AGENT_INFO
Utilisé pour localiser l'agent gpg ; honoré uniquement quand --use-agent est spécifié. La valeur est constituée de 3 champs délimités par des deux-points : le premier est le chemin menant à la socket de domaine Unix, le deuxième est le PID de l'agent gpg et le dernier est la version du protocole (qui devrait être 1). Quand on démarre l'agent gpg comme décrit dans sa documentation, cette variable est fixée à la valeur correcte. L'option --gpg-agent-info peut être utilisée pour la remplacer.
http_proxy
Honoré uniquement quand l'option de serveur de clés honor-http-proxy est définie.

FILES

~/.gnupg/secring.gpg
Le trousseaux de clés secrètes
~/.gnupg/secring.gpg.lock
et le fichier verrou.
~/.gnupg/pubring.gpg
Le trousseaux de clés secrètes
~/.gnupg/pubring.gpg.lock
et le fichier verrou.
~/.gnupg/trustdb.gpg
La base de données de confiance
~/.gnupg/trustdb.gpg.lock
et le fichier verrou.
~/.gnupg/random_seed
Utilisé pour conserver la réserve interne de données aléatoires.
~/.gnupg/gpg.conf
Fichier de configuration par défaut.
~/.gnupg/options
Fichier de configuration dans l'ancien style ; utilisé uniquement quand gpg.config n'est pas trouvé.
/usr[/local]/share/gnupg/options.skel
Fichier d'options squelette.
/usr[/local]/lib/gnupg/
Emplacement par défaut des extensions.

AVERTISSEMENTS

Utilisez un *bon* mot de passe pour votre compte utilisateur et une *bonne* phrase de passe pour protéger votre clé secrète. Cette phrase de passe est le maillon le plus faible du système tout entier. Des programmes effectuant des attaques avec dictionnaires sur votre trousseau de clés secrètes sont très faciles à écrire et vous devriez donc très bien protéger votre répertoire « ~/.gnupg/ ».

Gardez à l'esprit que si ce programme est utilisé au dessus d'un réseau (avec telnet p.ex.), il est alors *très* facile d'espionner votre phrase de passe !

Si vous voulez vérifier des signatures détachées, assurez-vous que le programme peut les gérer, soit en lui donnant les deux noms de fichiers sur la ligne de commandes, soit en utilisant « - » pour spécifier stdin.

BOGUES

Sur beaucoup de systèmes, ce programme devrait être installé dans le mode setuid-root. C'est nécessaire pour verrouiller des pages mémoire. Le verrouillage des pages mémoire interdit au système d'exploitation d'écrire des pages de mémoire sur disque. Si vous n'obtenez aucun message d'avertissement relatif à une utilisation non sûre de la mémoire, votre système d'exploitation supporte le verrouillage même si vous n'êtes pas root. Le programme abandonne les privilèges root dès que la mémoire verrouillée est allouée.

TRADUCTION

Frédéric Delanoy <delanoy_f at yahoo.com>, 2003.
Si on veut un groupe lisible, il faut soit le modérer, soit lui
donner un placement cryptique. Pour que le groupe ne sombre pas dans
le chaos, il doit être difficile de poster dedans
-+- TP in GFA : "Cachez ce groupe que je ne saurai voir." -+-