Content-type: text/html
Manpage of gpg
gpg
Section: Manuel de l'utilisateur Linux (1)
Updated: 25/10/2002
Index
Return to Main Contents
NOM
gpg --- outil de chiffrement et de signature
SYNOPSIS
gpg [--homedir nom] [--options fichier]
[options] commande [arguments]
DESCRIPTION
gpg est le programme principal du système GnuPG.
Cette page de manuel ne liste que les commandes et options disponibles.
Pour une documentation plus détaillée, procurez-vous le GNU Privacy
Handbook (manuel de GNU Privacy Guard) ou l'un des autres documents sur
http://www.gnupg.org/docs.html.
Rappelez-vous que l'analyse des options s'arrête dès qu'un argument
non-option est rencontré ; vous pouvez stopper explicitement l'analyse des
options en utilisant l'option spéciale « -- ».
COMMANDES
gpg reconnaît les commandes suivantes :
- -s, --sign
-
Créer une signature. Cette commande peut être combinée avec --encrypt.
- --clearsign
-
Créer une signature en clair.
- -b, --detach-sign
-
Créer une signature détachée.
- -e, --encrypt
-
Chiffrer des données. Cette option peut être combinée avec --sign.
- -c, --symmetric
-
Chiffrer en utilisant un algorithme de chiffrement symétrique uniquement.
Cette commande demande une phrase de passe (passphrase, phrase secrète).
- --store
-
Stocker uniquement (créer un simple paquet conforme à la RFC 1991).
- --decrypt [fichier]
-
Déchiffrer fichier (ou stdin si aucun fichier n'est spécifié) et
l'écrire sur stdout (ou dans le fichier spécifié avec --output). Si le
fichier déchiffré est signé, la signature est également vérifiée. Cette
commande diffère du comportement par défaut, car elle n'écrase jamais le
fichier qui est inclus dans fichier et rejette les fichiers qui ne
commencent pas par un message chiffré.
- --verify [[fichier-signature] [fichiers-signés]]
-
Supposer que fichier-signature est une signature et la vérifier sans
générer de sortie. Sans argument, le paquet de signature est lu depuis
stdin. Si seul un fichier de signature est fourni, il peut représenter une
signature complète ou une signature détachée, auquel cas les données
signées sont attendues dans un fichier n'ayant pas l'extension
« .sig » ou « .asc ». Avec plus d'un argument, le premier d'entre eux
devrait être une signature détachée et les fichiers suivants les données
signées. Pour lire les données signées depuis stdin, utilisez
« - » comme second nom de fichier. Pour des raisons de sécurité,
une signature détachée ne peut lire les données signées depuis stdin sans
l'indiquer de la manière précitée.
- --verify-files [fichiers]
-
C'est une version spéciale de la commande --verify qui ne fonctionne pas
avec les signatures détachées. La commande soit s'attend à ce que les
fichiers soient vérifiés sur la ligne de commandes, soit lit les noms de
fichiers depuis stdin ; chaque nom doit être sur une ligne séparée. La
commande est destinée à la vérification rapide d'un grand nombre de
fichiers.
- --encrypt-files [fichiers]
-
C'est une version spéciale de la commande --encrypt. La commande soit
s'attend à ce que les fichiers soient chiffrés sur la ligne de commandes,
soit lit les noms de fichiers depuis stdin ; chaque nom doit être sur une
ligne séparée. La commande est destinée au chiffrement rapide d'un grand
nombre de fichiers.
- --decrypt-files [fichiers]
-
Comme --encrypt-files à la différence que les fichiers seront déchiffrés.
La syntaxe des noms de fichiers est identique.
- --list-keys [noms]
-
- --list-public-keys [noms]
-
Lister toutes les clés des trousseaux de clés publiques ou uniquement de
ceux spécifiés sur la ligne de commandes.
- --list-secret-keys [noms]
-
Lister toutes les clés des trousseaux de clés secrètes ou uniquement de
ceux spécifiés sur la ligne de commandes. Un « # » à la suite des lettres
« sec » signifie que la clé secrète n'est pas utilisable (elle a p.ex.
été créée avec --export-secret-subkeys).
- --list-sigs [noms]
-
Comme --list-keys, mais les signatures sont également listées.
- --check-sigs [noms]
-
Comme --list-sigs, mais les signatures sont vérifiées.
- --fingerprint [noms]
-
Lister toutes les clés avec leurs empreintes. Cela produit la même sortie
que --list-keys mais avec une ligne supplémentaire contenant l'empreinte.
Peut aussi être combiné avec --list-sigs ou --check-sigs. Si cette commande
est répétée, l'empreinte de toutes les clés secondaires sera également
mentionnée.
- --list-packets
-
Ne lister que la séquence de paquets. Principalement utile lors du
débogage.
- --gen-key
-
Générer une nouvelle paire de clés. Cette commande n'est normalement
utilisée que interactivement.
-
Il y a une fonctionnalité expérimentale qui vous permet de créer des clés
en mode non interactif (batch). Voyez le fichier doc/DETAILS dans la
distribution des sources pour savoir comment l'utiliser.
- --edit-key nom
-
Présente un menu qui vous permet d'effectuer toutes sortes de tâches
relatives aux clés :
-
- sign
-
Apposer une signature sur la clé de l'utilisateur nom. Si la clé
n'est pas déjà signée par l'utilisateur par défaut (ou par les utilisateurs
spécifiés avec -u), le programme ré-affiche les informations sur la clé,
ainsi que son empreinte, et demande si elle doit être signée. Cette question
est répétée pour tous les utilisateurs spécifiés avec -u.
- lsign
-
Comme --sign, mais la signature est marquée comme étant non-exportable et
ne sera par conséquent jamais utilisée par d'autres. Cela peut être utilisé
pour créer des clés valides uniquement dans l'environnement local.
- nrsign
-
Comme --sign, mais la signature est marquée comme étant non-révocable et ne
peut dès lors jamais être révoquée.
- nrlsign
-
Combine les fonctionnalités de nrsign et de lsign pour créer une signature
à la fois non-révocable et non-exportable.
- revsig
-
Révoquer une signature. Pour chaque signature générée par l'une des clés
secrètes, GnuPG demande si un certificat de révocation doit être généré.
- trust
-
Modifier la valeur de la confiance dans le propriétaire. Cela met à jour
immédiatement la base de données de confiance et ne requiert aucune
sauvegarde.
- disable
-
- enable
-
Désactiver ou activer une clé entière. Une clé désactivée ne peut
normalement pas être utilisée pour le chiffrement.
- adduid
-
Créer un identificateur (ID) d'utilisateur alternatif.
- addphoto
-
Créer un ID d'utilisateur photographique.
- deluid
-
Effacer un ID d'utilisateur.
- addkey
-
Ajouter une sous-clé à cette clé.
- delkey
-
Supprimer une sous-clé.
- addrevoker
-
Attribuer une autorisation de révocation. Cette commande prend un argument
optionnel : « sensitive » (sensible). Si une autorisation de révocation
est marquée comme étant sensible, elle ne sera pas exportée par défaut
(voyez export-options).
- revkey
-
Révoquer une sous-clé.
- expire
-
Changer la date d'expiration d'une clé. Si une sous-clé est sélectionnée,
sa date d'expiration sera modifiée. Sans sélection, la date d'expiration de
la clé primaire est modifiée.
- passwd
-
Changer la phrase de passe de la clé secrète.
- primary
-
Marquer l'ID d'utilisateur courant comme étant principal, supprimer
l'attribut « ID d'utilisateur principal » de tous les autres ID
d'utilisateur et avancer l'horodate de toutes les auto-signatures affectées
d'une seconde. Notez que la qualification de principal d'un identificateur
d'utilisateur photographique le rend prioritaire par rapport aux autres ID
d'utilisateurs photographiques ; de même, celui d'un identificateur
d'utilisateur normal le rend prioritaire par rapport aux autres ID
d'utilisateurs normaux.
- uid n
-
Sélectionner l'identificateur d'utilisateur d'indice n. Utilisez 0
pour tout désélectionner.
- key n
-
Sélectionner la sous-clé d'indice n. Utilisez 0 pour tout
désélectionner.
- check
-
Vérifier tous les ID d'utilisateur sélectionnés.
- showphoto
-
Afficher l'ID photographique sélectionné.
- pref
-
Lister les préférences de l'ID d'utilisateur sélectionné. Cela montre les
préférences réelles, sans inclure de préférences impliquées.
- showpref
-
Listage plus détaillé des préférences de l'ID d'utilisateur sélectionné.
Cela montre les préférences en vigueur y compris les préférences impliquées
3DES (chiffrement), SHA-1 (hachage) et Uncompressed (compactage) si elles
ne sont pas déjà incluses dans la liste de préférences.
- setpref chaîne
-
Fixer la liste des préférences de l'identificateur d'utilisateur à
chaîne, qui devrait être une chaîne similaire à celle affichée par
« pref ». L'utilisation d'une chaîne vide spécifiera la chaîne de
préférences par défaut, « none » remettra à zéro les préférences.
Utilisez « gpg -v --version » pour obtenir la liste des algorithmes
disponibles. Cette commande initialise simplement une liste interne et ne
modifie rien à moins qu'une autre commande (comme « updpref ») modifiant
les auto-signatures soit utilisée.
- updpref
-
Modifier les préférences de tous les ID d'utilisateurs (ou simplement de
ceux sélectionnés dans la liste de préférences en vigueur). L'horodate de
toutes les auto-signatures affectées sera avancée d'une seconde. Notez que
bien que vous puissiez modifier les préférences d'un ID d'utilisateur
attribut (dit « ID photo »), GnuPG ne sélectionne pas les clés à partir
des ID d'utilisateur attributs de sorte que ces préférences ne seront pas
utilisées par GnuPG.
- toggle
-
Basculer entre le listage des clés publiques et celui des clés privées.
- save
-
Sauvegarder tous les changements dans les trousseaux de clés et quitter le
programme.
- quit
-
Quitter le programme sans mettre à jour les trousseaux de clés.
-
Le listage vous montre la clé accompagnée de ses clés secondaires et de
tous ses ID d'utilisateur. Les clés ou ID d'utilisateurs sélectionnés sont
indiqués par un astérisque. Deux valeurs de confiance accompagnent la clé
primaire : la première est la confiance dans le propriétaire, et la
seconde est la valeur de confiance calculée. Des lettres sont utilisées
pour les valeurs suivantes :
-
- -
-
Aucune confiance dans le propriétaire attribuée / pas encore calculée.
- e
-
Échec du calcul du niveau de confiance ; probablement dû à une clé
expirée.
- q
-
Pas assez d'informations pour le calcul.
- n
-
Ne jamais faire confiance à cette clé.
- m
-
Confiance marginale.
- f
-
Confiance complète.
- u
-
Confiance absolue.
- --sign-key nom
-
Signer une clé publique avec votre clé secrète. C'est une version
raccourcie de la sous-commande « sign » de --edit.
- --lsign-key nom
-
Signer une clé publique avec votre clé secrète mais la marquer comme étant
non-exportable. C'est une version raccourcie de la sous-commande
« lsign » de --edit.
- --nrsign-key nom
-
Signer une clé publique avec votre clé secrète mais la marquer comme étant
non-révocable. C'est une version raccourcie de la sous-commande
« nrsign » de --edit.
- --delete-key nom
-
Supprimer une clé du trousseau de clés publiques. Dans le mode non
interactif, soit --yes est requis, soit la clé doit être spécifiée par son
empreinte. C'est une mesure de précaution destinée à éviter l'effacement
accidentel de plusieurs clés.
- --delete-secret-key nom
-
Supprimer la clé des trousseaux de clés publiques et secrètes. Dans le mode
non interactif, la clé doit être spécifiée par son empreinte.
- --delete-secret-and-public-key nom
-
Comme --delete-key, mais si une clé secrète existe, elle sera supprimée en
premier. Dans le mode non interactif, la clé doit être spécifiée par son
empreinte.
- --gen-revoke
-
Générer un certificat de révocation pour la clé entière. Pour révoquer une
sous-clé ou une signature, utilisez la commande --edit.
- --desig-revoke
-
Générer un certificat d'autorisation de révocation pour une clé. Cela
permet à un utilisateur (avec l'autorisation du détenteur de la clé) de
révoquer la clé de quelqu'un d'autre.
- --export [noms]
-
Soit exporter toutes les clés de tous les trousseaux de clés (les
trousseaux par défaut et ceux enregistrés via l'option --keyring) ou, si au
moins un nom est fourni, celles dont le nom est fourni. Le nouveau
trousseau est écrit sur stdout ou dans le fichier donné avec l'option
« output ». À utiliser avec --armor pour envoyer ces clés par email.
- --send-keys [noms]
-
Comme --export mais envoyer les clés à un serveur de clés. L'option
--keyserver doit être utilisée pour donner le nom de ce serveur de clés.
N'envoyez pas votre trousseau complet à un serveur de clés ; sélectionnez
uniquement les clés qui sont nouvelles ou que vous avez modifiées.
- --export-all [noms]
-
Comme --export, mais exporte également les clés qui ne sont pas compatibles
avec OpenPGP.
- --export-secret-keys [noms]
-
- --export-secret-subkeys [noms]
-
Comme --export, mais exporte les clés secrètes à la place. Ce n'est
généralement pas très utile et constitue un risque de sécurité. La seconde
forme de la commande a la propriété spéciale de rendre la partie secrète de
la clé principale inutile ; c'est une extension GNU à OpenPGP et on ne
doit pas s'attendre à ce que d'autres implémentations réussissent à
importer une telle clé.
Voyez l'option --simple-sk-checksum si vous voulez importer une telle clé
exportée avec une implémentation plus ancienne de OpenPGP.
- --import [fichiers]
-
- --fast-import [fichiers]
-
Importer/fusionner des clés. Cela ajoute les clés données au trousseau. La
version rapide n'est actuellement qu'un synonyme.
-
Il y a quelques autres options qui influencent le fonctionnement de cette
commande. La plus remarquable est --merge-only qui fusionne uniquement de
nouveaux ID utilisateur, signatures et sous-clés, mais n'insère pas de
nouvelles clés.
- --recv-keys identificateurs de clés
-
Importer les clés ayant les ID de clés donnés depuis un serveur de clés.
L'option --keyserver doit être utilisée pour indiquer le nom de ce serveur
de clés.
- --refresh-keys identificateurs de clés
-
Requérir des mises à jour depuis un serveur de clés pour les clés déjà
présentes dans le trousseau local. Cela permet d'obtenir les plus récents
ID d'utilisateurs, signatures (etc.) d'une clé. L'option --keyserver doit
être utilisée pour indiquer le nom de ce serveur de clés.
- --search-keys [noms]
-
Rechercher les noms spécifiés sur le serveur de clés. Si plusieurs noms
sont fournis, ils seront réunis pour créer la chaîne de recherche à donner
au serveur. L'option --keyserver doit être utilisée pour indiquer le nom de
ce serveur de clés.
- --update-trustdb
-
Effectuer la maintenance de la base de données de confiance. Cette commande
parcourt toutes les clés et construit la Toile de Confiance. Elle est
interactive car elle peut demander des valeurs de « confiance dans le
propriétaire » de clés. L'utilisateur doit estimer son niveau de confiance
dans le propriétaire de la clé affichée pour correctement certifier
(signer) les autres clés. Cette valeur n'est demandée que si elle n'a pas
déjà été affectée à une clé. En utilisant le menu d'édition, cette valeur
peut être modifiée à n'importe quel moment.
- --check-trustdb
-
Effectuer la maintenance de la base de données de confiance sans
interaction de la part de l'utilisateur. De temps à autre, la base de
données de confiance doit être mise à jour afin que les clés expirées et
les changements en résultant dans la toile de confiance puissent être
découverts. GnuPG essaie de déterminer quand c'est nécessaire et fait
ensuite cela implicitement ; cette commande peut être utilisée pour
imposer une telle vérification. Le traitement est identique à celui de
--update-trustdb mais il omet les clés dont la « confiance dans le
propriétaire » n'est pas encore définie.
-
Pour pouvoir l'employer avec les travaux cron, cette commande peut être
utilisée avec --batch auquel cas la vérification n'est effectuée que
lorsqu'elle est appropriée. Pour forcer une exécution même dans le mode non
interactif, ajoutez l'option --yes.
- --export-ownertrust [fichier]
-
Stocker les valeurs de confiance dans le propriétaire dans fichier
(ou stdin s'il n'est pas spécifié). C'est utile pour la sauvegarde car ces
valeurs sont les seules qui ne peuvent être recréées à partir d'une base de
données de confiance corrompue.
- --import-ownertrust [fichiers]
-
Mettre à jour la base de données de confiance avec les valeurs de confiance
dans le propriétaire indiquées dans les fichiers (ou stdin si aucun
n'est spécifié) ; les valeurs existantes seront écrasées.
- --rebuild-keydb-caches
-
Lors de la mise à jour de la version 1.0.6 vers la version 1.0.7, cette
commande devrait être utilisée pour créer des caches de signatures dans le
trousseau de clés. Elle pourrait également être utile dans d'autres situations.
- --print-md algo [fichiers]
-
- --print-mds [fichiers]
-
Afficher le condensé de message de l'algorithme algo pour tous les
fichiers donnés ou stdin. Avec la seconde forme (ou la valeur déconseillée
« * » pour algo), les condensés utilisant tous les algorithmes
disponibles seront affichés.
- --gen-random 0|1|2 [nombre]
-
Émettre nombre octets aléatoires du niveau de qualité spécifié. Si
nombre n'est pas fourni ou est nul, une séquence infinie d'octets
aléatoire sera générée. S'IL VOUS PLAÎT, n'utilisez pas cette commande à
moins de savoir ce que vous faites ; cela peut enlever une précieuse
entropie du système !
- --gen-prime mode bits [qbits]
-
Utilise la Force, Luke :-). Le format de sortie est encore sujet à
modification.
- --version
-
Afficher des informations de version en plus d'une liste des algorithmes
pris en charge.
- --warranty
-
Afficher des informations sur la garantie.
- -h, --help
-
Afficher des informations d'utilisation. C'est une liste très longue même
si elle n'énumère pas toutes les options.
OPTIONS
Des options longues peuvent être placées dans un fichier d'options
(« ~/.gnupg/gpg.conf » par défaut). Les noms d'options courts ne
fonctionneront pas : par exemple, « armor » est une option valide dans
le fichier d'options, mais « a » ne l'est pas. N'écrivez pas les 2
tirets, mais uniquement le nom de l'option et les arguments requis
éventuels. Les lignes ayant un dièse (« # ») comme premier caractère non
d'espacement sont ignorées. Des commandes peuvent également être placées
dans ce fichier, mais cela n'a aucun sens.
gpg reconnaît les options suivantes :
- -a, --armor
-
Créer une sortie dans le format protégé en ASCII.
- -o, --output fichier
-
Écrire la sortie dans fichier.
- -u, --local-user nom
-
Utiliser le nom pour signer. Cette option est ignorée silencieusement
pour les commandes de listes et peut ainsi être utilisée dans un fichier
d'options.
- --default-key nom
-
Utiliser nom comme ID d'utilisateur par défaut pour les signatures.
Si cette option n'est pas utilisée, l'ID d'utilisateur par défaut est le
premier ID d'utilisateur trouvé dans le trousseau de clés secrètes.
- -r, --recipient nom
-
-
Chiffrer pour l'ID d'utilisateur nom. Si cette option n'est pas
spécifiée, GnuPG demande un ID utilisateur à moins que --default-recipient
ne soit utilisé.
- --default-recipient nom
-
Utiliser nom comme destinataire par défaut si l'option --recipient
n'est pas utilisée et ne pas demander s'il est valide. nom ne peut
pas être vide.
- --default-recipient-self
-
Utiliser la clé par défaut comme destinataire par défaut si l'option
--recipient n'est pas utilisée et ne pas demander si elle est valide. La
clé par défaut est la première du trousseau de clés secrètes ou celle
indiquée avec --default-key.
- --no-default-recipient
-
Annuler l'effet de --default-recipient et --default-recipient-self.
- --encrypt-to nom
-
Comme --recipient mais destiné à être utilisé dans le fichier
d'options ; peut être utilisé avec votre propre ID d'utilisateur pour un
« chiffrement-pour-vous-même ». Ces clés ne sont utilisées que lorsqu'il
y a d'autres destinataires indiqués soit avec --recipient, soit après la
saisie d'un identificateur d'utilisateur. Aucune vérification de confiance
n'est effectuée pour ces ID d'utilisateurs et même des clés désactivées
peuvent être utilisées.
- --no-encrypt-to
-
Ignorer les options --encrypt-to.
- -v, --verbose
-
Fournir plus d'informations durant le traitement. Si c'est répété, les
données d'entrée sont également listées en détail.
- -q, --quiet
-
Essayer d'être aussi silencieux que possible.
- -z n, --compress n
-
Fixer le niveau de compression à n. Une valeur de 0 pour n
désactive la compression. Le comportement par défaut est d'utiliser le
niveau de compression par défaut de la zlib (normalement 6).
- -t, --textmode
-
Utiliser le mode texte canonique. Si -t (mais pas --textmode) est utilisé
avec la protection ASCII et la signature, cela permet des messages signés
en clair. Cette astuce est nécessaire pour la compatibilité
PGP ; normalement, vous devriez utiliser --sign ou --clearsign pour
sélectionner le type de signature.
- -n, --dry-run
-
N'effectuer aucune modification (n'est pas complètement implémenté).
- -i, --interactive
-
Demander une confirmation avant d'écraser des fichiers.
- --batch
-
Utiliser le mode non interactif. Ne jamais rien demander, interdire les
commandes interactives.
- --no-tty
-
S'assurer que le TTY (terminal) n'est jamais utilisé pour une quelconque
sortie. Cette option est nécessaire dans certains cas car GnuPG affiche
parfois des avertissements sur le TTY si --batch est utilisé.
- --no-batch
-
Désactiver le mode non interactif. Cela peut être utile si --batch est
activé depuis un fichier d'options.
- --yes
-
Répondre « oui » à la plupart des questions.
- --no
-
Répondre « non » à la plupart des questions.
- --default-cert-check-level n
-
Le niveau de validité par défaut à utiliser lors de la signature d'une clé.
-
0 signifie que vous n'avez pris aucune mesure particulière pour vérifier la
clé.
-
1 signifie que vous croyez que le propriétaire présumé de la clé est bien
celui qu'il prétend être, mais que vous n'avez pas ou pas pu vérifier la
clé. C'est utile pour une vérification de « personnalité », où vous
signez la clé d'un utilisateur pseudonyme.
-
2 signifie que vous avez effectué une vérification superficielle de la clé.
Par exemple, cela pourrait signifier que vous avez vérifié l'empreinte de
la clé et comparé l'identificateur d'utilisateur de la clé avec un ID
photo.
-
3 signifie que vous avez effectué une vérification minutieuse de la clé.
Par exemple, cela pourrait signifier que vous avez vérifié l'empreinte de
la clé avec son propriétaire en chair et en os et que vous avez vérifié, au
moyen d'un document difficile à falsifier disposant d'un ID photo (comme un
passeport) que le nom du propriétaire de la clé correspond à celui de l'ID
d'utilisateur de la clé, et finalement que vous avez contrôlé (par échange
de courriers électroniques) que l'adresse électronique présente sur la clé
appartient bien au propriétaire.
-
Notez que les explications ci-dessus pour les niveaux 2 et 3 ne sont que
des exemples. En fin de compte, c'est à vous qu'il revient de décider ce
que « superficiel » et « minutieux » signifient.
-
Cette option vaut 0 par défaut.
- --trusted-key identificateur de clé long
-
Supposer qu'on peut autant faire confiance à la clé spécifiée (qui doit
être fournie sous la forme d'un ID de clé complet sur 8 octets) qu'à ses
propres clés secrètes. Cette option est utile si vous ne voulez pas que
(l'une de) vos clés secrètes demeurent en ligne, mais que vous voulez
toujours pouvoir vérifier la validité de la clé d'un destinataire ou d'un
signataire donné.
- --always-trust
-
Ne pas valider les clés et supposer que celles qui sont utilisées sont
toujours totalement fiables. Vous ne devriez pas utiliser ceci à moins que
vous ayez installé un système de validation externe. Cette option supprime
également la marque « [uncertain] » (incertain) affichée lors des
vérifications de signatures quand il n'y a aucune preuve que l'ID
d'utilisateur est bien lié à la clé.
- --keyserver nom
-
Utiliser nom comme serveur de clés. C'est le serveur avec qui
--recv-keys, --send-keys et --search-keys communiquent pour recevoir,
envoyer ou rechercher des clés. Le format du nom est une
URI : « procédé:[//]nom-serveur-clés[:port] ». Le système est le type
du serveur de clés : « hkp » pour les serveurs de clés Horowitz (ou
compatibles), « ldap » pour le serveur de clés LDAP de NAI ou
« mailto » pour le serveur de clés par email Horowitz. Notez que votre
installation particulière de GnuPG peut également supporter d'autres types
de serveurs de clés. Les procédés utilisés par les systèmes de serveurs de
clés ne sont pas sensibles à la casse.
-
La plupart des serveurs de clés se synchronisent entre eux, de sorte qu'il
n'est généralement pas nécessaire d'envoyer des clés à plus d'un serveur.
La commande « host -l pgp.net | grep wwwkeys » vous donne une liste
de serveurs de clés HKP. Quand vous utilisez l'un des serveurs de clés web,
du fait du système de répartition de charge utilisant un mécanisme de tour
de rôle DNS, il se peut que vous obteniez un serveur de clés différent à
chaque fois.
- --keyserver-options paramètres
-
C'est une chaîne délimitée par des espaces ou des virgules qui fournit des
options au serveur de clés. Les options peuvent être préfixées avec « no-» pour spécifier la signification opposée. Les options valides
d'importation ou d'exportation peuvent également être utilisées ici pour
s'appliquer à l'importation (--recv-key) ou à l'exportation (--send-key)
d'une clé depuis/vers un serveur de clés. Bien que toutes les options ne
soient pas disponibles pour tous les types de serveurs de clés, certaines
options courantes sont :
-
- include-revoked
-
Lors de la recherche d'une clé, inclure les clés qui sont marquées sur le
serveur comme étant révoquées. Notez que cette option est toujours
spécifiée quand vous utilisez le serveur de clés HKP de NAI, car celui-ci
ne fait pas la différence entre les clés révoquées et celles qui ne le sont
pas. Lors de l'utilisation du serveur de clés LDAP, cela s'applique à la
fois à la recherche (--search-keys) et à la réception (--recv-keys).
- include-disabled
-
Lors de la réception ou la recherche d'une clé, inclure celles qui sont
marquées par le serveur de clés comme étant désactivées. Notez que cette
option n'est pas utilisée avec les serveurs de clés HKP, car ceux-ci ne
prennent pas en charge les clés désactivées.
- include-subkeys
-
Lors de la réception d'une clé, inclure les sous-clés dans la recherche.
Notez que cette option n'est pas utilisée avec les serveurs de clés HKP,
car ceux-ci ne permettent pas la récupération de clés par ID de sous-clé.
- use-temp-files
-
Sur la plupart des plates-formes de type Unix, GnuPG communique avec le
programme assistant du serveur de clés par l'intermédiaire de tubes,
c.-à-d. la méthode la plus efficace. Cette option force GnuPG à utiliser
des fichiers temporaires pour communiquer. Sur certaines plates-formes
(comme Win32 et RISC OS), cette option est toujours activée.
- keep-temp-files
-
Si « use-temp-files » est utilisé, ne pas effacer les fichiers
temporaires après utilisation. Cette option est utile pour apprendre le
protocole de communication du serveur de clés en lisant les fichiers
temporaires.
- verbose
-
Indiquer au programme assistant du serveur de clés d'être plus bavard.
Cette option peut être répétée pour accroître le niveau de volubilité.
- honor-http-proxy
-
Pour les serveurs de clés qui utilisent HTTP (comme HKP), essayer d'accéder
au serveur de clés via le proxy spécifié par la variable
d'environnement « http_proxy ».
- auto-key-retrieve
-
Cette option active la récupération automatique de clés depuis un serveur
de clés lors de la vérification de signatures créées par des clés ne se
trouvant pas dans le trousseau local.
- --import-options paramètres
-
C'est une chaîne délimitée par des espaces ou des virgules qui fournit des
options pour l'importation de clés. Les options peuvent être préfixées avec
« no- » pour donner la signification opposée. Il s'agit de :
-
- allow-local-sigs
-
Permettre l'importation de signatures de clés marquées comme étant
« locales ». Ce n'est généralement pas utile à moins qu'un procédé de
partage de trousseaux ne soit utilisé. Pas autorisé par défaut.
- repair-hkp-subkey-bug
-
Durant l'importation, essayer de réparer le bogue de mélange de sous-clés
(NdT: ?) du serveur de clés HKP. Notez que ceci ne peut complètement
réparer la clé endommagée car certaines données cruciales sont supprimées
par le serveur de clés, mais cela vous fournit au moins une sous-clé. Vaut
non par défaut pour le --import normal et oui pour le --recv-keys depuis un
serveur de clés.
- --export-options paramètres
-
C'est une chaîne délimitée par des espaces ou des virgules qui fournit des
options pour l'exportation de clés. Les options peuvent être préfixées avec
« no- » pour donner la signification opposée. Il s'agit de :
-
- include-non-rfc
-
Inclure les clés non conformes à la RFC dans l'exportation. Oui par défaut.
- include-local-sigs
-
Permettre l'exportation de signatures de clés marquées comme étant
« locales ». Ce n'est généralement pas utile à moins qu'un procédé de
partage de trousseaux ne soit utilisé. Pas autorisé par défaut.
- include-attributes
-
Inclure les ID d'utilisateur attributs (ID photo) lors de l'exportation.
C'est utile pour exporter des clés si elles vont être utilisées par un
programme OpenPGP qui n'accepte pas les ID d'utilisateur attributs. Oui par
défaut.
- include-sensitive-revkeys
-
Inclure des informations sur l'autorisation de révocation qui a été marquée
comme étant « sensible ». Non incluses par défaut.
- --show-photos
-
Faire en sorte que --list-keys, --list-sigs, --list-public-keys,
--list-secret-keys et la vérification d'une signature affichent également
l'ID photo attaché à la clé, s'il y en a un. Voyez également
--photo-viewer.
- --no-show-photos
-
Annule l'effet de --show-photos.
- --photo-viewer chaîne
-
C'est la ligne de commandes qui devrait être exécutée pour visualiser un ID
photo. « %i » sera développé dans le nom de fichier contenant la photo.
« %I » fait la même chose, sauf que le fichier n'est pas effacé une
fois la visualisation terminée. Les autres drapeaux sont « %k »
pour l'ID de clé, « %K » pour l'ID de clé long, « %f » pour l'empreinte
de la clé, « %t » pour l'extension du type d'image (p.ex. « jpg »),
« %T » pour le type MIME de l'image (p.ex. « image/jpeg ») et « %% »
pour un signe pourcent. Si ni %i ni %I n'est présent, alors la photo sera
fournie au visualisateur via l'entrée standard.
-
Le visualisateur par défaut est « xloadimage -fork -quiet -title 'IDclé
0x%k' stdin »
- --exec-path chaîne
-
Spécifie une liste de répertoires où rechercher les visualisateurs de
photos et les assistants de serveurs de clés. Si elle n'est pas fournie,
les assistants des serveurs de clés utilisent le répertoire par défaut
intégré à la compilation et les visualisateurs de photos utilisent la
variable d'environnement $PATH.
- --show-keyring
-
Indique à --list-keys, --list-public-keys et --list-secret-keys d'afficher
le nom du trousseau dans lequel une clé donnée réside. Ce n'est utile que
lorsque vous listez une clé ou un groupe de clés spécifique. Cela n'a pas
d'effet lors du listage de toutes les clés.
- --keyring fichier
-
Ajouter fichier à la liste des trousseaux. Si fichier commence
par un tilde et un slash, ils sont remplacés par le répertoire HOME. Si le
nom de fichier ne contient pas de slash, il est supposé être localisé dans
le répertoire personnel (« ~/.gnupg » si --homedir n'est pas utilisé). Le
nom du fichier peut être préfixé par un « procédé » :
-
« gnupg-ring: » est utilisé par défaut.
-
Il peut être logique de l'utiliser avec --no-default-keyring.
- --secret-keyring fichier
-
Comme --keyring mais pour les trousseaux de clés secrètes.
- --homedir répertoire
-
Fixer le nom du répertoire personnel à répertoire ; si cette option
n'est pas spécifiée, il s'agit de « ~/.gnupg » par défaut. L'utiliser
dans un fichier d'options n'a aucun sens. De plus, cette option a priorité
sur la variable d'environnement « GNUPGHOME ».
- --charset nom
-
Fixer le nom du jeu de caractères natif. C'est utilisé pour convertir
certaines chaînes de caractères dans le codage UTF-8 adéquat. Si cette
option n'est pas utilisée, le jeu de caractères par défaut est déterminé à
partir de la localisation courante. Un niveau de volubilité de 3 montre
celle qui est utilisée. Les valeurs valides pour nom sont :
-
- iso-8859-1
-
Le jeu de caractères Latin 1.
- iso-8859-2
-
Le jeu de caractères Latin 2.
- iso-8859-15
-
C'est actuellement un alias pour le jeu de caractères Latin 1.
- koi8-r
-
Le jeu de caractères russe habituel (RFC 1489).
- utf-8
-
Éviter toutes les traductions et supposer que le système d'exploitation
utilise le codage UTF-8 nativement.
- --utf8-strings
-
- --no-utf8-strings
-
Supposer que les arguments sont déjà fournis sous forme de chaînes de
caractères UTF8. Le comportement par défaut (--no-utf8-strings) est de
supposer que les arguments sont codés dans le jeu de caractères spécifié
par --charset. Ces options affectent tous les arguments suivants. Ces deux
options peuvent être utilisées à plusieurs reprises.
- --options fichier
-
Lire les options depuis le fichier et ne pas essayer de les lire
depuis le fichier d'options par défaut situé dans le répertoire personnel
(voyez --homedir). Cette option est ignorée si elle est utilisée dans un
fichier d'options.
- --no-options
-
Raccourci pour « --options /dev/null ». Cette option est détectée avant
une tentative d'ouverture d'un fichier d'options. L'utilisation de cette
option empêchera également la création d'un répertoire personnel
« ~./gnupg ».
- --load-extension nom
-
Charger un module d'extension. Si nom ne contient pas de slash
(« / »), il est recherché dans le répertoire configuré lors de la
construction de GnuPG (généralement « /usr/local/lib/gnupg »). Les
extensions ne sont généralement plus utiles, et l'utilisation de cette
option est déconseillée.
- --debug drapeaux
-
Spécifier les drapeaux de débogage. Tous les drapeaux sont coordonnés par
un « ou » et les drapeaux peuvent être indiqués en utilisant la
syntaxe C (p.ex. 0x0042).
- --debug-all
-
Spécifier tous les drapeaux de débogage utiles.
- --status-fd n
-
Écrire des chaînes de statut spéciales dans le descripteur de fichier
n. Voyez le fichier DETAILS dans la documentation pour obtenir leur
liste.
- --logger-fd n
-
Écrire la sortie de journalisation dans le descripteur de fichier n
et pas sur stderr.
- --attribute-fd n
-
Écrire les sous-paquets d'attributs dans le descripteur de fichier n.
C'est le plus utile avec --status-fd, car les messages de statut sont
nécessaires pour extraire les différents sous-paquets du flux alimentant le
descripteur de fichier.
- --sk-comments
-
Inclure les paquets de commentaires sur la clé secrète lors de
l'exportation de clés secrètes. C'est une extension GnuPG au standard
OpenPGP qui est désactivée par défaut. Remarquez que cela n'a rien à voir
avec les commentaires dans les signatures en clair ou dans les en-têtes
protégés en ASCII.
- --no-sk-comments
-
Annule l'effet de --sk-comments.
- --no-comment
-
Voir --sk-comments. Cette option est obsolète et pourrait être supprimée
prochainement.
- --comment chaîne
-
Utiliser la chaîne comme commentaire apparaissant dans les signatures
en clair. Le comportement par défaut est de ne pas écrire de chaîne de
commentaire.
- --default-comment
-
Écrire la chaîne de commentaire standard dans les signatures en clair.
Utilisez ceci pour remplacer un --comment provenant d'un fichier de
configuration. Cette option est maintenant obsolète car il n'y a plus de
commentaire par défaut.
- --no-version
-
Omettre la chaîne de version dans les signatures en clair.
- --emit-version
-
Écrire la chaîne de version dans les signatures en clair. Utilisez ceci
pour remplacer un --no-version précédent provenant d'un fichier de
configuration.
- -N, --notation-data nom=valeur
-
Placer la paire nom-valeur dans la signature en tant que données de
notation. nom ne peut être composé que de caractères alphanumériques,
de chiffres ou de caractères de soulignement ; le premier caractère ne
peut pas être un chiffre. valeur peut être n'importe quelle chaîne
imprimable ; elle sera codée en UTF8 et vous devriez par conséquent
vérifier que votre --charset est défini correctement. Si vous préfixez
nom par un point d'exclamation, les données de notation seront
marquées comme étant critiques (RFC 2440 section 5.2.3.15).
- --show-notation
-
Afficher les notations de signature de clé dans les listings de --list-sigs
ou --check-sigs.
- --no-show-notation
-
Ne pas afficher les notations de signature de clé dans les listings de
--list-sigs ou --check-sigs.
- --set-policy-url chaîne
-
Utiliser chaîne comme URL du document de politique de signature (RFC
2440 section 5.2.3.19). Si vous le préfixez par un point d'exclamation, le
paquet concerné sera marqué comme étant critique.
- --show-policy-url
-
Montrer les URL de politique éventuelles définies dans les listings de
--list-sigs ou --check-sigs.
- --no-show-policy-url
-
Ne pas montrer les URL de politique éventuelles définies dans les listings
de --list-sigs ou --check-sigs.
- --set-filename chaîne
-
Utiliser chaîne comme nom du fichier stocké dans les messages.
- --for-your-eyes-only
-
Spécifier le drapeau « rien que pour vos yeux » dans le message. Cela
indique à GnuPG de refuser de sauver le fichier à moins que l'option
--output ne soit spécifiée, et à PGP d'utiliser le « visualisateur
sécurisé » en utilisant une police de caractères résistant à Tempest pour
afficher le message. Cette option a priorité sur --set-filename.
- --no-for-your-eyes-only
-
Annule l'effet de --for-your-eyes-only.
- --use-embedded-filename
-
Essayer de créer un fichier dont le nom est contenu dans les données. Cela
peut être dangereux car il est possible d'écraser des fichiers.
- --completes-needed n
-
Le nombre d'utilisateurs en qui on a entièrement confiance nécessaires pour
introduire un nouveau signataire de clé (1 par défaut).
- --marginals-needed n
-
Le nombre d'utilisateurs en qui on a marginalement confiance nécessaires
pour introduire un nouveau signataire de clé (3 par défaut).
- --max-cert-depth n
-
La longueur maximale d'une chaîne de certification (5 par défaut).
- --cipher-algo nom
-
Utiliser nom comme algorithme de chiffrement. L'exécution du
programme avec la commande --version produit une liste des algorithmes pris
en charge. Si cette option n'est pas utilisée, l'algorithme de chiffrement
est sélectionné à partir des préférences stockées avec la clé.
- --digest-algo nom
-
Utiliser nom comme algorithme de hachage. L'exécution du programme
avec la commande --version produit une liste des algorithmes pris en
charge.
- --cert-digest-algo nom
-
Utiliser nom comme algorithme de hachage à utiliser lors de la
signature d'une clé. L'exécution du programme avec la commande --version
produit une liste des algorithmes pris en charge. Gardez à l'esprit que si
vous choisissez un algorithme pris en charge par GnuPG mais pas par
d'autres implémentations de OpenPGP, alors il est fort probable que
certains utilisateurs ne pourront pas utiliser les signatures de clés que
vous avez créées, voire même votre clé entière.
- --s2k-cipher-algo nom
-
Utiliser nom comme algorithme de chiffrement à utiliser pour protéger
les clés secrètes. Le chiffrement par défaut est CAST5. Il est également
utilisé pour le chiffrement conventionnel si --cipher-algo n'est pas
fourni.
- --s2k-digest-algo nom
-
Utiliser nom comme algorithme de hachage à utiliser pour coder les
phrases de passe. L'algorithme par défaut est RIPEMD-160. Il est également
utilisé pour le chiffrement conventionnel si --digest-algo n'est pas
fourni.
- --s2k-mode n
-
Sélectionner la façon dont les phrases de passe sont codées. Si n
vaut 0, une phrase de passe non modifiée (pas recommandé !) sera utilisée,
un 1 (par défaut) ajoute un sel (salt) à la phrase de passe et un 3 répète
plusieurs fois le processus. À moins que --rfc1991 ne soit utilisé, ce
mode est également employé pour le chiffrement conventionnel.
- --simple-sk-checksum
-
L'intégrité des clés secrètes est protégée par une somme de contrôle SHA-1.
Cette méthode fera partie d'une spécification améliorée de OpenPGP mais
GnuPG l'utilise déjà pour résister à certaines attaques. Les anciennes
applications ne comprennent pas ce nouveau format ; cette option peut être
utilisée pour revenir à l'ancien comportement. L'utilisation de cette
option ajoute un risque de sécurité. Notez que cette option n'a d'effet que
lors du chiffrement de la clé secrète ; la manière la plus simple
d'arriver à cela est de modifier la phrase de passe de la clé (on peut même
fournir la même valeur).
- --compress-algo n
-
Utiliser l'algorithme de compression n. Vaut 2 par défaut qui est la
compression requise par la RFC 1950. Vous pouvez utiliser 1 pour employer
la vieille version de la zlib (RFC 1951) qui est utilisée par PGP. 0
désactive la compression. L'algorithme par défaut peut donner de meilleurs
résultats car la taille de fenêtre n'est pas limitée à 8 Ko. Si ce n'est
pas utilisé, le comportement de OpenPGP est utilisé, c.-à-d. que
l'algorithme de compression est sélectionné à partir des préférences ;
notez que cela ne peut pas être fait si vous ne chiffrez pas de données.
- --disable-cipher-algo nom
-
Ne jamais permettre l'utilisation de nom comme algorithme de
chiffrement. Le nom fourni ne sera pas contrôlé de sorte qu'un algorithme
chargé ultérieurement sera toujours désactivé.
- --disable-pubkey-algo nom
-
Ne jamais permettre l'utilisation de nom comme algorithme à clé
publique. Le nom fourni ne sera pas contrôlé de sorte qu'un algorithme
chargé ultérieurement sera toujours désactivé.
- --no-sig-cache
-
Ne pas mettre en cache l'état de vérification des signatures de clés. La
mise en mémoire cache offre des performances bien meilleures dans le
listage des clés. Néanmoins, si vous suspectez que votre trousseau de clés
publiques n'est pas protégé contre les modifications en écriture, vous
pouvez utiliser cette option pour désactiver la mise en cache. Il est
probablement vain de la désactiver car toutes sortes de dégâts peuvent être
commis si quelqu'un dispose d'un accès en écriture à votre trousseau de
clés publiques.
- --no-sig-create-check
-
GnuPG vérifie normalement chaque signature juste après sa création pour se
prémunir des bogues et des défauts de fonctionnement matériels qui
pourraient divulguer des bits de la clé secrète. Cette vérification
supplémentaire demande un certain temps (à peu près 115 % pour les clés
DSA) et cette option peut être utilisée pour la désactiver. Néanmoins,
étant donné que la création d'une signature nécessite une interaction
manuelle, cette pénalité de performance n'a pas d'importance dans la
plupart des configurations.
- --auto-check-trustdb
-
Si GnuPG a l'impression que ses informations concernant la toile de
confiance doivent être mises à jour, il exécute automatiquement la commande
--check-trustdb en interne. Cela peut demander beaucoup de temps.
- --no-auto-check-trustdb
-
Annule l'effet de --auto-check-trustdb.
- --throw-keyid
-
Ne pas placer l'ID de clé dans les paquets chiffrés. Cette option cache le
récepteur du message et est une riposte contre l'analyse du trafic. Elle
peut ralentir le processus de déchiffrement car toutes les clés secrètes
disponibles sont testées.
- --not-dash-escaped
-
Cette option modifie le comportement des signatures en clair afin qu'elles
puissent être utilisées pour les fichiers patch. Vous ne devriez pas
envoyer un tel fichier protégé en ASCII par email car tous les espaces et
terminaisons de lignes sont également hachés. Vous ne pouvez pas utiliser
cette option pour les données comportant 5 tirets au début d'une ligne, ce
qui n'est pas le cas des fichiers patch. Une ligne spéciale de l'en-tête
protégé en ASCII informe GnuPG de cette option de signature du texte en
clair.
- --escape-from-lines
-
Puisque certains programmes de mail remplacent les lignes débutant en
« From » par « <From », il est préférable de traiter spécialement de
telles lignes lors de la création de signatures en clair. Toutes les autres
versions de PGP font de même. Cette option n'est pas activée par défaut car
elle violerait la RFC 2440.
- --passphrase-fd n
-
Lire la phrase de passe depuis le descripteur de fichier n. Si
n vaut 0, la phrase de passe sera lue depuis stdin. Cela ne peut être
utilisé que si une seule phrase de passe est fournie. N'utilisez pas cette
option si vous pouvez l'éviter.
- --command-fd n
-
C'est un remplacement du mode obsolète de mémoire partagée IPC. Si cette
option est activée, les réponses de l'utilisateur aux questions ne sont pas
attendues depuis le terminal mais depuis le descripteur de fichier donné.
Elle devrait être utilisée avec --status-fd. Voyez le fichier doc/DETAILS
dans la distribution des sources pour des détails d'utilisation.
- --use-agent
-
Essayer d'utiliser l'agent GnuPG. Ne perdez pas de vue que celui-ci est
toujours en cours de développement. Avec cette option, GnuPG essaie d'abord
de se connecter à l'agent avant de demander une phrase de passe.
- --gpg-agent-info
-
Surcharger la valeur de la variable d'environnement GPG_AGENT_INFO.
N'est utilisé que lorsque --use-agent a été spécifié.
- --rfc1991
-
Essayer d'être plus conforme à la RFC 1991 (PGP 2.x).
- --pgp2
-
Régler toutes les options pour être aussi compatible que possible avec PGP
2.x, et avertir de toute action (p.ex. le chiffrement avec une clé non RSA)
créant un message que PGP 2.x ne serait pas en mesure de traiter. Notez que
« PGP 2.x » signifie ici « MIT PGP 2.6.2 ». Il y a d'autres versions
de PGP 2.x disponibles, mais celle du MIT est un bon point de départ
(NdT : good common baseline).
-
Cette option implique « --rfc1991 --no-openpgp --disable-mdc
--no-force-v4-certs --no-comment --escape-from-lines --force-v3-sigs
--no-ask-sig-expire --no-ask-cert-expire --cipher-algo IDEA
--digest-algo MD5 --compress-algo 1 ». Elle désactive également --textmode
lors du chiffrement.
- --no-pgp2
-
Annule l'effet de --pgp2.
- --pgp6
-
Régler toutes les options pour être aussi compatible que possible avec PGP
6. Cela vous limite aux chiffrements IDEA (si l'extension IDEA est
installée), 3DES et CAST5, aux condensés MD5, SHA1 et RIPEMD160 et aux
algorithmes de compression none et ZIP. Cela empêche également la création
de signatures avec des sous-clés car PGP 6 ne comprend pas les signatures
créées par des sous-clés (de signature).
-
Cette option implique « --disable-mdc --no-comment --escape-from-lines
--force-v3-sigs --no-ask-sig-expire --compress-algo 1 ».
- --no-pgp6
-
Annule l'effet de --pgp6.
- --pgp7
-
Régler toutes les options pour être aussi compatible avec PGP 7 que
possible. C'est identique à --pgp6 sauf que les codes de détection de
modifications (MDC, modification detection codes) ne sont pas désactivés et
que s'ajoutent à la liste des chiffrements autorisés AES128, AES192, AES256
et TWOFISH.
- --no-pgp7
-
Annule l'effet de --pgp7.
- --openpgp
-
Choisir des options de paquets, de chiffrement et de hachage conformes au
comportement de OpenPGP. Utilisez cette option pour réinitialiser toutes
les options précédentes comme --rfc1991, --force-v3-sigs, --s2k-*,
--cipher-algo, --digest-algo et --compress-algo à des valeurs compatibles
avec OpenPGP. Tous les contournements PGP sont également désactivés.
- --force-v3-sigs
-
OpenPGP établit qu'une implémentation devrait générer des signatures v4
mais PGP versions 5 et ultérieures ne reconnaissent les signatures v4 qu'en
ce qui concerne les clés. Cette option impose des signatures v3 pour les
données. Notez que cette option surcharge --ask-sig-expire, car les
signatures v3 ne peuvent avoir de date d'expiration.
- --no-force-v3-sigs
-
Annule l'effet de --force-v3-sigs.
- --force-v4-certs
-
Toujours utiliser les signatures de clés v4 même sur les clés v3. Cette
option change également l'algorithme de hachage par défaut pour les clés
RSA v3 qui passe de MD5 à SHA-1.
- --no-force-v4-certs
-
Annule l'effet de --force-v4-certs.
- --force-mdc
-
Forcer l'utilisation de chiffrements possédant un code de détection de
modifications. C'est toujours utilisé avec les nouveaux chiffrements (ceux
ayant une taille de bloc supérieure à 64 bits) ou si la clé du récepteur
indique sa préférence pour un des ces chiffrements.
- --disable-mdc
-
Désactiver l'utilisation du code de détection de modifications. Notez qu'en
utilisant cette option, le message chiffré devient vulnérable à une attaque
de modification de message.
- --allow-non-selfsigned-uid
-
Permettre l'importation et l'utilisation de clés dont les ID utilisateurs
ne sont pas auto-signés. Ce n'est pas recommandé, car un ID d'utilisateur
non auto-signé est trivial à falsifier.
- --no-allow-non-selfsigned-uid
-
Annule l'effet de --allow-non-selfsigned-uid.
- --allow-freeform-uid
-
Désactiver toute forme de vérification du format de l'ID d'utilisateur
quand on en génère un nouveau. Cette option ne devrait être utilisée que
dans des environnements très spéciaux car elle n'impose pas le format
standard de facto des ID d'utilisateurs.
- --ignore-time-conflict
-
GnuPG vérifie normalement que les horodates associées aux clés et aux
signatures sont plausibles. Néanmoins, une signature semble parfois être
plus ancienne que la clé à cause de problèmes d'horloge. Cette option
remplace ces vérifications par un simple avertissement.
- --ignore-valid-from
-
GnuPG ne sélectionne et n'utilise normalement pas de sous-clés créées dans
le futur. Cette option permet l'utilisation de telles clés et présente donc
le comportement des versions antérieures à la v1.0.7. Vous ne devriez pas
utiliser cette option sauf en cas de problème d'horloge.
- --ignore-crc-error
-
La protection ASCII utilisée par OpenPGP fait l'objet d'une somme de
contrôle CRC contre les erreurs de transmission. Le CRC est parfois codé
quelque part sur le canal de transmission mais le contenu réel (qui est de
toute façon protégé par le protocole OpenPGP) est toujours correct. Cette
option permet à gpg d'ignorer les erreurs de CRC.
- --ignore-mdc-error
-
Cette option transforme un échec de protection d'intégrité MDC en un
avertissement. Cela peut être utile si un message est partiellement
corrompu, mais qu'il est nécessaire d'en extraire un maximum de données.
Néanmoins, gardez à l'esprit qu'un échec de protection MDC peut aussi
signifier que le message a été altéré intentionnellement par un attaquant.
- --lock-once
-
Verrouiller les bases de données la première fois qu'un verrou est requis,
mais ne pas le libérer avant la terminaison du processus.
- --lock-multiple
-
Libérer les verrous à chaque fois qu'ils ne sont plus nécessaires. Utilisez
ceci pour surcharger un --lock-once précédent provenant d'un fichier de
configuration.
- --lock-never
-
Désactiver entièrement le verrouillage. Cette option ne devrait être
utilisée que dans des environnements très spéciaux, où l'on peut s'assurer
qu'un seul processus accède à ces fichiers. Une disquette amorçable
comportant un système de chiffrement autonome utilisera probablement ceci.
Une mauvaise utilisation de cette option peut conduire à une corruption de
données ou de clés.
- --no-random-seed-file
-
GnuPG utilise un fichier pour stocker sa réserve interne de données
aléatoires par-delà les invocations. Cela accélère la génération de données
aléatoires. Néanmoins, les opérations d'écriture ne sont parfois pas
souhaitables ; dans ce cas, cette option peut être utilisée au prix d'une
génération aléatoire moins rapide.
- --no-verbose
-
Réinitialiser le niveau de volubilité à 0.
- --no-greeting
-
Supprimer le message initial relatif aux droits d'auteur mais ne pas entrer
dans le mode non interactif.
- --no-secmem-warning
-
Supprimer l'avertissement concernant une « utilisation non sûre de la
mémoire ».
- --no-permission-warning
-
Supprimer l'avertissement relatif aux permissions de fichiers dangereuses.
- --no-mdc-warning
-
Supprimer l'avertissement relatif à la protection d'intégrité MDC.
- --no-armor
-
Supposer que les données d'entrée ne sont pas dans le format protégé en
ASCII.
- --no-default-keyring
-
Ne pas ajouter les trousseaux par défaut à la liste de trousseaux.
- --skip-verify
-
Sauter l'étape de vérification de signature. Cela peut être utilisé pour
accélérer le déchiffrement si la vérification de signature n'est pas
nécessaire.
- --with-colons
-
Afficher les listes de clés délimitées par des deux-points. Notez que la
sortie sera codée en UTF-8 quel que soit le réglage --charset éventuel
utilisé.
- --with-key-data
-
Afficher les listes de clés délimitées par des deux-points (comme
--with-colons) et afficher les données sur la clé publique.
- --with-fingerprint
-
Comme --fingerprint mais ne modifier que le format de la sortie ; peut
être utilisé avec une autre commande.
- --fast-list-mode
-
Modifie la sortie des commandes retournant des listes pour qu'elles
fonctionnent plus rapidement, en laissant vides certaines parties.
Certaines applications n'ont pas besoin de l'ID d'utilisateur et des
informations de confiance données dans les listes. En utilisant cette
option, elles obtiennent un listage plus rapide. Le comportement exact de
cette option pourrait changer à l'avenir.
- --fixed-list-mode
-
Ne pas fusionner l'ID d'utilisateur et la clé primaire dans le mode de
listage --with-colon et afficher toutes les horodates sous forme du nombre
de secondes écoulées depuis le 01/01/1970.
- --list-only
-
Modifie le comportement de certaines commandes. Généralement similaire à
--dry-run. La sémantique de cette commande pourrait être étendue dans le
futur. Actuellement, elle n'effectue pas la passe de déchiffrement réel et
permet de ce fait un listage rapide des clés de chiffrement.
- --no-literal
-
N'est pas destiné à une utilisation normale. Utilisez les sources pour voir
dans quels cas cela pourrait être utile.
- --set-filesize
-
N'est pas destiné à une utilisation normale. Utilisez les sources pour voir
dans quels cas cela pourrait être utile.
- --emulate-md-encode-bug
-
Les versions de GnuPG antérieures à 1.0.2 étaient affectées d'un bogue
relatif à la façon dont une signature était codée. Cette option active un
contournement en re-vérifiant les signatures incorrectes avec le codage
utilisé dans les anciennes versions. Cela ne peut se produire que pour les
signatures ElGamal qui ne sont pas très répandues.
- --show-session-key
-
Afficher la clé de session utilisée par un message. Voyez
--override-session-key pour l'option associée.
-
Nous pensons que le dépôt de clé est une Mauvaise Chose ; néanmoins,
l'utilisateur devrait avoir la liberté de décider d'aller en prison ou de
révéler le contenu d'un message spécifique sans compromettre tous les
messages qui ont été chiffrés jusqu'à ce jour avec une clé secrète.
N'UTILISEZ PAS CETTE OPTION SAUF EN CAS D'ABSOLUE NÉCESSITÉ.
- --override-session-key chaîne
-
Ne pas utiliser la clé publique mais la clé de session chaîne. Le
format de cette chaîne est le même que celui affiché par
--show-session-key. Cette option n'est normalement pas utilisée mais est
pratique au cas où quelqu'un vous force à révéler le contenu d'un message
chiffré ; en utilisant cette option, vous pouvez faire cela sans
compromettre la clé secrète.
- --ask-sig-expire
-
Lors de la création d'une signature de données, demander une date
d'expiration. Si cette option n'est pas spécifiée, la date d'expiration est
« never » (jamais).
- --no-ask-sig-expire
-
Annule l'effet de -sig-expire.
- --ask-cert-expire
-
Lors de la création d'une signature de clé, demander une date d'expiration.
Si cette option n'est pas spécifiée, la date d'expiration est « never »
(jamais).
- --no-ask-cert-expire
-
Annule l'effet de --ask-cert-expire.
- --expert
-
Permettre à l'utilisateur d'effectuer certaines choses insensées ou
« idiotes » comme signer une clé expirée ou révoquée, ou certaines choses
potentiellement incompatibles comme la génération de types de clés
obsolètes. Cela désactive également certains messages d'avertissement
relatifs à des actions potentiellement incompatibles. Comme le nom
l'indique, cette option n'est destinée qu'aux experts. Si vous ne comprenez
pas entièrement les implications de ce que cela vous permet de faire, ne
l'utilisez pas.
- --no-expert
-
Annule l'effet de --expert.
- --merge-only
-
Ne pas insérer de nouvelles clés dans les trousseaux lors d'une
importation.
- --allow-secret-key-import
-
C'est une option obsolète qui n'est plus utilisée.
- --try-all-secrets
-
Ne pas considérer l'ID de clé stocké dans le message mais essayer toutes
les clés secrètes à tour de rôle pour trouver la bonne clé de
déchiffrement. Cette option force le comportement qui est utilisé par des
destinataires anonymes (créés en utilisant --throw-keyid) et pourrait être
pratique au cas où un message chiffré contient un ID de clé bogué.
- --enable-special-filenames
-
Cette option active un mode dans lequel les noms de fichiers de la forme
-&n, où n est un nombre décimal non négatif, référencent le
descripteur de fichier n et pas un fichier portant ce nom.
- --no-expensive-trust-checks
-
Utilisation expérimentale uniquement.
- --group nom=valeur1 [valeur2 valeur3 ...]
-
Définit un groupe nommé, qui est similaire aux alias dans les programmes de
courrier électronique. À chaque fois que le nom du groupe est un
destinataire (-r ou --recipient), il sera remplacé par les valeurs
spécifiées.
Les valeurs sont des ID de clés ou des empreintes, mais n'importe
quelle description de clé est acceptée. Notez qu'une valeur contenant des
espaces sera traitée comme deux valeurs différentes. Remarquez également
qu'il n'y a qu'un seul niveau de développement : vous ne pouvez pas
construire de groupe pointant vers un autre groupe.
- --preserve-permissions
-
Ne pas restituer les permissions d'un trousseau de clés secrètes à la
lecture/écriture par le propriétaire uniquement. N'utilisez cette option
que si vous savez réellement ce que vous faites.
- --personal-cipher-preferences chaîne
-
Fixer la liste des préférences de chiffrement personnelles à
chaîne ; cette liste devrait être une chaîne similaire à celle
affichée par la commande « pref » du menu d'édition. Cela permet à
l'utilisateur de spécifier ses propres algorithmes préférés lorsque des
algorithmes sont choisis à partir des préférences affichées par les clés du
destinataire.
- --personal-digest-preferences chaîne
-
Fixer la liste de préférences de hachage personnelles à
chaîne ; cette liste devrait être une chaîne similaire à celle
affichée par la commande « pref » du menu d'édition. Cela permet à
l'utilisateur de spécifier ses propres algorithmes préférés lorsque des
algorithmes sont choisis à partir des préférences affichées par les clés du
destinataire.
- --personal-compress-preferences chaîne
-
Fixer la liste de préférences de compression personnelles à
chaîne ; cette liste devrait être une chaîne similaire à celle
affichée par la commande « pref » du menu d'édition. Cela permet à
l'utilisateur de spécifier ses propres algorithmes préférés lorsque des
algorithmes sont choisis à partir des préférences affichées par les clés du
destinataire.
- --default-preference-list chaîne
-
Fixer la liste de préférences par défaut à chaîne ; cette liste
devrait être une chaîne similaire à celle affichée par la commande
« pref » du menu d'édition. Cela affecte à la fois la génération de clés
et la commande « updpref » du menu d'édition.
Comment spécifier un identificateur d'utilisateur
Il y a différentes façons de spécifier un ID d'utilisateur à
GnuPG ; voici quelques exemples :
-
- 234567C4
-
- 0F34E556E
-
- 01347A56A
-
- 0xAB123456
-
Ici, l'ID de clé est donné dans la forme courte habituelle.
- 234AABBCC34567C4
-
- 0F323456784E56EAB
-
- 01AB3FED1347A5612
-
- 0x234AABBCC34567C4
-
Ici, l'ID de clé est donné dans la forme longue utilisée par OpenPGP (vous
pouvez obtenir l'ID de clé long en utilisant l'option --with-colons).
- 1234343434343434C434343434343434
-
- 123434343434343C3434343434343734349A3434
-
- 0E12343434343434343434EAB3484343434343434
-
- 0xE12343434343434343434EAB3484343434343434
-
La meilleure façon de spécifier un ID de clé est d'utiliser l'empreinte de
la clé. Cela évite les ambiguïtés en cas d'ID de clés dupliqués (très rares
pour les ID de clés longs).
- =Heinrich Heine <heinrichh@uni-duesseldorf.de>
-
En utilisant une chaîne correspondant exactement. C'est indiqué par le
signe égal.
- <heinrichh@uni-duesseldorf.de>
-
En utilisant l'adresse électronique à reconnaître exactement. Le « < »
indique ce mode d'adresse électronique.
- +Heinrich Heine duesseldorf
-
Tous les mots doivent correspondre exactement (casse pas importante) mais
peuvent apparaître dans n'importe quel ordre dans l'ID. Les mots sont des
séquences quelconques de lettres, chiffres, caractères de soulignement et
caractères ayant le bit 7 positionné.
- Heine
-
- *Heine
-
Reconnaissance de sous-chaîne insensible à la casse. C'est le mode par
défaut mais des applications peuvent indiquer ceci explicitement en plaçant
un astérisque en tête.
Notez que vous pouvez concaténer un point d'exclamation aux ID ou
empreintes de clés. Ce drapeau indique à GnuPG d'utiliser précisément la
clé primaire ou secondaire donnée et de ne pas essayer de deviner laquelle
utiliser.
VALEUR DE RETOUR
Le programme renvoie 0 si tout s'est bien déroulé, 1 si au moins une
signature était incorrecte et d'autres codes d'erreur en cas d'erreur
fatale.
EXEMPLES
- gpg -se -r Bob fichier
-
Signer et chiffrer pour l'utilisateur Bob
- gpg --clearsign fichier
-
Créer une signature en clair
- gpg -sb fichier
-
Créer une signature détachée
- gpg --list-keys ID_utilisateur
-
Afficher des clés
- gpg --fingerprint ID_utilisateur
-
Afficher une empreinte
- gpg --verify fichierpgp
-
- gpg --verify fichier-sig [fichiers]
-
Vérifier la signature du fichier mais ne pas générer de données. La seconde
forme est utilisée pour les signatures détachées, où fichier-sig est
une signature détachée (soit protégée en ASCII, soit binaire) et
[fichiers] représente les données signées ; s'il n'est pas fourni,
le nom du fichier contenant les données signées est construit en enlevant
l'extension (« .asc » ou « .sig ») du fichier-sig, ou en le
demandant à l'utilisateur.
ENVIRONNEMENT
- HOME
-
Emplacement du répertoire personnel par défaut.
- GNUPGHOME
-
Répertoire à utiliser au lieu de « ~/.gnupg ».
- GPG_AGENT_INFO
-
Utilisé pour localiser l'agent gpg ; honoré uniquement quand --use-agent
est spécifié. La valeur est constituée de 3 champs délimités par des
deux-points : le premier est le chemin menant à la socket de domaine Unix,
le deuxième est le PID de l'agent gpg et le dernier est la version du
protocole (qui devrait être 1). Quand on démarre l'agent gpg comme décrit
dans sa documentation, cette variable est fixée à la valeur correcte.
L'option --gpg-agent-info peut être utilisée pour la remplacer.
- http_proxy
-
Honoré uniquement quand l'option de serveur de clés honor-http-proxy est
définie.
FILES
- ~/.gnupg/secring.gpg
-
Le trousseaux de clés secrètes
- ~/.gnupg/secring.gpg.lock
-
et le fichier verrou.
- ~/.gnupg/pubring.gpg
-
Le trousseaux de clés secrètes
- ~/.gnupg/pubring.gpg.lock
-
et le fichier verrou.
- ~/.gnupg/trustdb.gpg
-
La base de données de confiance
- ~/.gnupg/trustdb.gpg.lock
-
et le fichier verrou.
- ~/.gnupg/random_seed
-
Utilisé pour conserver la réserve interne de données aléatoires.
- ~/.gnupg/gpg.conf
-
Fichier de configuration par défaut.
- ~/.gnupg/options
-
Fichier de configuration dans l'ancien style ; utilisé uniquement quand
gpg.config n'est pas trouvé.
- /usr[/local]/share/gnupg/options.skel
-
Fichier d'options squelette.
- /usr[/local]/lib/gnupg/
-
Emplacement par défaut des extensions.
AVERTISSEMENTS
Utilisez un *bon* mot de passe pour votre compte utilisateur et une *bonne*
phrase de passe pour protéger votre clé secrète. Cette phrase de passe est
le maillon le plus faible du système tout entier. Des programmes effectuant
des attaques avec dictionnaires sur votre trousseau de clés secrètes sont
très faciles à écrire et vous devriez donc très bien protéger votre
répertoire « ~/.gnupg/ ».
Gardez à l'esprit que si ce programme est utilisé au dessus d'un réseau
(avec telnet p.ex.), il est alors *très* facile d'espionner votre phrase de
passe !
Si vous voulez vérifier des signatures détachées, assurez-vous que le
programme peut les gérer, soit en lui donnant les deux noms de fichiers sur
la ligne de commandes, soit en utilisant « - » pour spécifier
stdin.
BOGUES
Sur beaucoup de systèmes, ce programme devrait être installé dans le mode
setuid-root. C'est nécessaire pour verrouiller des pages mémoire. Le
verrouillage des pages mémoire interdit au système d'exploitation d'écrire
des pages de mémoire sur disque. Si vous n'obtenez aucun message
d'avertissement relatif à une utilisation non sûre de la mémoire, votre
système d'exploitation supporte le verrouillage même si vous n'êtes pas
root. Le programme abandonne les privilèges root dès que la mémoire
verrouillée est allouée.
TRADUCTION
Frédéric Delanoy <delanoy_f at yahoo.com>, 2003.
Index
- NOM
-
- SYNOPSIS
-
- DESCRIPTION
-
- COMMANDES
-
- OPTIONS
-
- Comment spécifier un identificateur d'utilisateur
-
- VALEUR DE RETOUR
-
- EXEMPLES
-
- ENVIRONNEMENT
-
- FILES
-
- AVERTISSEMENTS
-
- BOGUES
-
- TRADUCTION
-
This document was created by
man2html,
using the manual pages.
Time: 20:41:56 GMT, July 10, 2005