OpenPGP - Tradução da man page

Essa publicação tem como objetivo divulgar a tradução do manual OpenPGP para o português (pt_BR). A proposta partiu de um trabalho da disciplina de Redes de Computadores 2 na UFG, cujo intuito era de ajudar de alguma forma a comunidade com algum assunto que envolvesse redes e afins. O OpenPGP é uma ferramenta de criptografia livre que trabalha com criptografia de chaves baseada no PGP.

[ Hits: 22.200 ]

Por: Juliane Barcelos de Oliveira em 13/03/2013


Sinopse / Descrição / Comandos



Nome:

gpg - OpenPGP ferramenta de criptografia e assinatura

Sinopse:

gpg [--homedir dir] [--options file] [options] comando [args]

Descrição:

O gpg é a parte OpenPGP do GNU Privacy Guard (GnuPG). É uma ferramenta que fornece criptografia digital e serviços de assinaturas usando o padrão OpenPGP. O gpg possui recursos para um completo gerenciamento de chaves e todos os recursos que você pode esperar de uma implementação decente do OpenPGP.

Essa é uma versão autônoma do gpg. Para o uso em desktop você deve considerar usar o gpg2.

Valor de retorno:

O programa retorna 0 se tudo ocorrer bem, 1 se ao menos uma assinatura for mal sucedida, e outro código de erro para um erro fatal.

Alertas:

Utilize uma *boa* senha para sua conta de usuário e uma *boa* frase secreta para proteger sua chave secreta. Essa é a parte mais frágil de todo sistema. Programas para fazer ataques de dicionário são muito simples de escrever então você deve proteger seu diretório "~/.gnupg/" muito bem.

Mantenha em mente que, se esse programa é usado sobre uma rede (telnet), é *muito* fácil de espiar sua frase secreta!

Se você irá verificar assinaturas avulsas, tenha certeza de que o programa sabe disso; dê nomes para ambos os arquivos pela linha de comando ou use '-' para Stdin específica.

Interoperabilidade

O GnuPG tenta ser uma implementação muito flexível do padrão OpenPGP. Em particular, o GnuPG implementa várias das partes opcionais do padrão, como os algoritmos de compressão SHA-512 hash, o zlib e o bzip2. É importante estar ciente de que nem todos os programas OpenPGP implementam esses algoritmos opcionais e forçar seu uso via opções --cipher-algo, --digest-algo, --cert-digest-algo, ou --compress-algo no GnuPG, é possível criar uma mensagem OpenPGP perfeitamente válida, mas não pode ser lida pelo destinatário pretendido.

Existem dezenas de variações de programas disponíveis do OpenPGP, e cada um suporta um conjunto desses algoritmos opcionais. Por exemplo, até recentemente, nenhuma (não hackeada) versão do PGP contêm o algoritmo de criptografia Blowfish. Uma mensagem usando Blowfish simplesmente não pode ser lida por um usuário PGP. Por padrão, GnuPG usa o padrão de sistema de preferências OpenPGP que irá sempre fazer a coisa certa e criar mensagens que são usadas por todos os destinatários, independentemente de qual programa OpenPGP eles usam. Somente substitua esse padrão seguro se você realmente souber o que você está fazendo.

Se absolutamente você tiver que substituir o padrão seguro, ou se as preferências em uma determinada chave são inválidas por algum motivo, é melhor você usar as opções --pgp6, --pgp7, ou --pgp8. Essas opções são seguras assim como não forçam nenhum algoritmo particular em violação ao OpenPGP, mas sim, reduz os algoritmos disponíveis a uma lista "PGP-safe".

Comandos

Comandos não são distintos das opções exceto pelo fato de que somente um comando é permitido.

O gpg deve rodar sem nenhum comando, em cada caso ele vai realizar uma ação sensata dependendo do tipo de arquivo dado como entrada (uma mensagem criptografada é descriptografada, uma assinatura é verificada, um arquivo contendo chaves é listado).

Por favor, lembre-se de que a opção assim como o analisador de comando para assim que uma não opção é encontrada, você deve explicitamente parar a análise usando a opção especial --.

Comandos não específicos para a função:

--version :: Imprime a versão do programa e informações de licenciamento. Note que você não pode abreviar este comando.

--help, -h :: Imprime uma mensagem resumindo as opções mais úteis da linha de comando. Note que você não pode abreviar este comando.

--warranty :: Imprime informação de garantia.

--dump-options :: Imprime uma lista de todas as opções e comandos disponíveis. Note que você não pode abreviar este comando.

Comandos para selecionar o tipo de operação:

--sign, -s :: Faça uma assinatura. Esse comando pode ser combinado com --encrypt (para uma mensagem assinada e criptografada), --symmetric (para uma mensagem assinada e simetricamente criptografada), ou --encrypt e --symmetric juntos (para uma mensagem assinada que pode ser descriptografada por meio de uma chave secreta ou uma frase secreta). A chave a ser usada para assinar é escolhida como padrão ou pode ser definida com a opção --local-user e --default-key.

--clearsign :: Faça uma assinatura em texto puro. O conteúdo em uma assinatura de texto é legível sem nenhum software especial. O software OpenPGP é necessário somente para verificar a assinatura. Assinaturas em texto puro podem modificar o espaço em branco de fim da linha para independência de plataforma e não se destinam a serem reversíveis. A chave a ser usada para assinatura é escolhida por definição ou pode ser definida com a opção --local-user e --default-key.

--detach-sign, -b :: Faça uma assinatura separada.

--encrypt, -e :: Criptografar dados. Essa opção pode ser combinada com --sign (para uma mensagem assinada e criptografada), --symmetric (para uma mensagem que pode ser descriptografada por meio de uma chave secreta ou uma frase secreta), ou --sign e --symmetric juntos (para uma mensagem assinada que pode ser descriptografada por meio de uma chave secreta ou uma frase secreta).

--symmetric, -c - Criptografar dados com um criptograma simétrico usando uma frase secreta. O criptograma simétrico padrão usado é o CAST5, mas pode ser escolhido com a opção --cipher-algo. Essa opção pode ser combinada com --sign (para uma mensagem assinada e simetricamente criptografada), --encrypt (para uma mensagem que pode ser descriptografada por meio de uma chave secreta ou uma frase secreta), ou --sign e --encrypt juntos (para uma mensagem assinada que pode ser descriptografada por meio de uma chave secreta ou uma frase secreta).

--store :: Somente armazena (cria um simples pacote de dados RFC1991 literal).

--decrypt, -d :: Descriptografa o arquivo passado pela linha de comando (ou stdin se nenhum arquivo é especificado) e escreve em stdout (ou no arquivo especificado com --output). Se o arquivo descriptografado é assinado, a assinatura também é verificada. Esse comando se difere da operação padrão, como ele nunca escreve no nome do arquivo que é incluído no arquivo e rejeita os arquivos que não começam com uma mensagem criptografada.

--verify :: Assume que o primeiro argumento é um arquivo assinado ou uma assinatura separada e verifica isso sem gerar uma saída. Sem argumentos, o pacote de assinaturas é lido do stdin. Se somente um arquivo assinado é dado, pode ser uma assinatura completa ou uma assinatura separada, em cada caso o material assinado é esperado num arquivo sem as extensões ".sig" ou ".asc". Com mais de 1 argumento, o primeiro deverá ser uma assinatura separada e os outros arquivos são materiais assinados. Para ler os materiais assinados pelo stdin, use '-'' como o segundo nome do arquivo. Por motivos de segurança uma assinatura separada não poderá ler um material assinado pelo stdin sem denotá-lo da maneira acima.

--multifile :: Isto modifica alguns outros comandos para aceitar múltiplos arquivos para processamento na linha de comando ou realizar leitura pelo stdin com cada nome de arquivo em uma linha separada. Isso permite que vários arquivos sejam processados de uma só vez. --multifile pode atualmente ser usado junto com --verify, --encrypt, e --decrypt. Note que --multifile --verify não podem ser usados com assinaturas separadas.

--verify-files :: Idêntico a --multifile --verify.

--encrypt-files :: Idêntico a --multifile --encrypt.

--decrypt-files :: Idêntico a --multifile --decrypt.

--list-keys, -k, --list-public-keys :: Lista todas as chaves existentes no chaveiro público, ou apenas as chaves dadas pela linha de comando. -k é um pouco diferente de --list-keys pelo fato de ser permitido somente com um argumento e receber o segundo argumento como o chaveiro para a pesquisa. Isso é para compatibilidade na linha de comando com o PGP 2 e foi removido no gpg2.

Evite usar a saída desse comando em scripts ou outros programas já que é provável que mude como GnuPG muda. Veja --with-colons para um comando de uma máquina analisadora de listagem de chaves que é apropriada para o uso de scripts e outros programas.

--list-secret-keys, -K :: Lista todas as chaves do chaveiro secreto, ou apenas as chaves dadas pela linha de comando. Um # depois das letras sec significa que a chave secreta não é útil (por exemplo, se for criada por --export-secret-subkeys).

--list-sigs :: O mesmo de --list-keys, mas as assinaturas são listadas também.

Para cada assinatura listada, existem diversas flags entre o campo "sig" e o id da chave. Essas flags fornecem informações adicionais sobre cada assinatura. Da esquerda para a direita, existem números de 1-3 para níveis de verificações de certificados (veja --ask-cert-level), "L" para uma assinatura local ou uma assinatura que não é exportável (veja --lsign-key), "R" para uma assinatura não recuperável (veja o --edit-key comando "nrsign"), "P" para uma assinatura que possui uma URL policy (veja --cert-policy-url), "N" para uma assinatura que possua uma notação (veja --cert-notation), "X" para uma assinatura expirada (veja --ask-cert-expire), e os números de 1-9 ou "T" para 10 em diante para indicar níveis confiáveis de assinaturas (veja o --edit-key comando "tsign").

--check-sigs :: O mesmo de --list-sigs, mas as assinaturas são verificadas. Note que por questão de desempenho o status de revogação de uma chave assinada não é mostrado.

O status da verificação é indicado por uma flag seguida diretamente pelo campo "sig" (ou seja, antes das flags descritas acima por --list-sigs). Um "!" indica que a assinatura foi verificada com sucesso, um "-" denota uma assinatura ruim e um "%" é usado se acontecer algum erro enquanto a assinatura é verificada (por exemplo, um algoritmo não suportado).

--fingerprint :: Lista todas as chaves (ou aquelas especificadas) juntamente com suas fingerprints (impressões digitais). É a mesma saída de --list-keys, mas com a saída adicional de uma linha com a fingerprint. Pode ser combinado com --list-sigs ou --check-sigs. Se esse comando é executado duas vezes, as fingerprints de todas as chaves secundárias também são listadas.

--list-packets :: Lista somente a sequencia de pacotes. É útil para depuração.

--card-edit :: Apresenta um menu para trabalhar com um smartcard. O sub comando "help" fornece uma visão geral sobre todos os comandos disponíveis. Para uma descrição detalhada, por favor veja o Card HOWTO em http://www.gnupg.org/documentation/howtos.html#GnuPG-cardHOWTO.

--card-status :: Mostra o conteúdo do smart card.

--change-pin :: Apresenta um menu que permite trocar o PIN de um smartcard. Essa funcionalidade também está disponível como o sub comando "passwd" com o comando --card-edit.

--delete-key nome :: Remove uma chave do chaveiro público. No modo batch, --yes é requerido ou a chave deve ser especificada pela fingerprint. Este é um modo de segurança contra a remoção de múltiplas chaves.

--delete-secret-key nome :: Remove uma chave do chaveiro secreto e do público. No modo batch a chave deve ser especificada pela fingerprint.

--delete-secret-and-public-key nome :: O mesmo de --delete-key, mas se existir uma chave secreta, ela vai ser removida primeiro. No modo batch a chave deve ser especificada pela fingerprint.

--export :: Exporta todas as chaves de todos os chaveiros (chaveiros padrões e aqueles registrados pela opção --keyring), ou se ao menos um nome é dado, exporta esses cujos nomes são dados. O novo chaveiro é escrito no stdout ou em um arquivo dado pela opção --output. Use juntamente com --armor para enviar essas chaves.

--send-keys key IDs :: Similar ao comando --export, mas envia as chaves para um servidor de chaves. As fingerprints podem ser usadas no lugar dos key IDs. A opção --keyserver deve ser usada para se dar o nome desse servidor de chaves. Não envie seu chaveiro completo para o servidor de chaves --- selecione apenas aquelas chaves que são novas ou modificadas por você. Se nenhuma key IDs for fornecida, o gpg não fará nada.

--export-secret-keys, --export-secret-subkeys :: O mesmo de --export, mas exporta as chaves secretas. Não é normalmente útil e há risco de segurança. A segunda forma do comando tem uma propriedade especial de tornar a parte secreta da chave primária inútil; essa é uma extensão GNU para OpenPGP e não se deve esperar outras implementações para importar com êxito tal chave. Veja a opção --simple-sk-checksum se você quiser importar uma chave exportada com alguma implementação mais antiga do OpenPGP.

--import, --fast-import :: Importa/funde chaves. Isso adiciona as chaves dadas no chaveiro. A versão mais rápida é atualmente só um sinônimo.

Existem algumas outras opções que controlam como esses comandos funcionam. O mais notável aqui é a opção --import-options merge-only que não insere novas chaves, mas somente faz a fusão de novas assinaturas, user-IDs e subchaves.

--recv-keys key IDs :: Importa as chaves com as IDs das chaves fornecidas de um servidor de chaves. A opção --keyserver deve ser usada para fornecer o nome desse servidor de chaves.

--refresh-keys :: Solicita uma atualização de um servidor de chaves para chaves que já existe no chaveiro local. Isto é útil para enviar uma chave com suas assinaturas mais recentes, IDs de usuários, etc. Fazer essa chamada sem argumentos irá atualizar todo o chaveiro. A opção --keyserver deve ser usada para fornecer o nome do servidor de chaves para todas as chaves que não possuem definidos seus servidores de chaves preferidos (veja --keyserver-options honor-keyserver-url).

--search-keys nomes :: Busca o servidor de chaves para os nomes dados. Múltiplos nomes fornecidos serão agrupados juntos para criar uma cadeia de pesquisa para o servidor de chaves. A opção --keyserver deve ser usada para fornecer o nome desse servidor. Servidores de chaves que suportam diferentes métodos de busca permitem o uso de uma sintaxe especificada logo abaixo em "Como especificar um ID de usuário". Note que diferentes tipos de servidores de chaves suportam diferentes métodos de pesquisas. Atualmente, somente o LDAP suporta todos eles.

--fetch-keys URIs :: Recupera chaves localizadas nos URIs especificados. Note que diferentes instalações do GnuPG podem suportar diferentes protocolos (HTTP, FTP, LDAP, etc.).

--update-trustdb :: Fazer uma manutenção confiável no banco de dados. Esse comando itera sobre todas as chaves e construções do Web of Trust. Este é um comando interativo porque ele pode ter que perguntar sobre a "ownertrust" para as chaves. O usuário deve informar uma estimação de quanto ele confia no dono da chave mostrada para certificar corretamente (assinar) outras chaves. O GnuPG pergunta pelo ownertrust somente se ele não tiver assinado a uma chave. Usando o menu --edit-key, o valor atribuído pode ser alterado a qualquer hora.

--check-trustdb :: Fazer uma manutenção confiável no banco de dados sem interação do usuário. De tempo em tempo o banco de dados confiável deve ser atualizado para que chaves ou assinaturas expiradas e as mudanças resultantes no Web of Trust possam ser rastreadas. Normalmente, o GnuPG irá calcular quando for necessário e fazer isso automaticamente a menos que o --no-auto-check-trustdb esteja definido. Esse comando pode ser usado para forçar um banco de dados confiável realizar uma checagem a qualquer hora. O processamento é idêntico ao --update-trustdb, mas esse comando pula chaves que não possuem o valor "ownertrust" definidos.

Para o uso com trabalhos cronometrados, esse comando pode ser usado junto com --batch quando a verificação do banco de dados confiável é feita somente se essa verificação for necessária. Para forçar uma execução mesmo no modo batch adicione a opção --yes.

--export-ownertrust :: Manda os valores ownertrust para stdout. É útil para propósito de backups já que esses valores são os únicos que não podem ser recriados de um banco de dados confiável corrompido. Exemplo:

gpg --export-ownertrust > otrust.txt

--import-ownertrust :: Atualiza o banco de dados confiável com os valores de ownertrust guardados em arquivos (ou stdin se não forem dados); valores já existentes serão sobrescritos. Em caso de um banco de dados severamente danificado e se você possuir um backup recente dos valores ownertrust (por exemplo, no arquivo 'otrust.txt'), você deve recriar o banco de dados confiável usando estes comandos:

cd ~/.gnupg
$ rm trustdb.gpg
$ gpg --import-ownertrust < otrust.txt


--rebuild-keydb-caches :: Quando for atualizado da versão 1.0.6 para a 1.0.7 esse comando deve ser usado para criar caches de assinaturas em um chaveiro. Pode ser conveniente em outras situações também.

--print-md algoritmo, --print-mds :: Imprime uma breve mensagem do algoritmo ALGO para todos os arquivos ou stdin. Em uma segunda forma (ou apenas com "*" como 'algo') é mostrado um breve resumo para todos os algoritmos disponíveis.

--gen-random 0|1|2 :: Emite um contador bits aleatórios no nível de qualidade passado. Se o contador não é dado ou é zero, uma sequência infinita de bits aleatórios será emitida. POR FAVOR, não use esse comando a menos que você saiba o que você está fazendo; ele pode remover uma entropia preciosa do sistema!

--gen-prime mode bits :: Use a força, Luke :-). O formato de saída ainda está sujeito a alterações.

Obs.: "Use a força, Luke". No original "Use the Source, Luke". Referência ao filme Star Wars. Porém, em inglês, Source pode ser usado para a fonte. Ou seja, a expressão, neste contexto, significa "Leia os fontes!"

--enarmor, --dearmor :: Comprime ou descomprime uma entrada arbitrária de/a partir de uma blindagem do OpenPGP ASCII. Essa é uma extensão GnuPG para OpenPGP e geralmente não é muito útil.

    Próxima página

Páginas do artigo
   1. Sinopse / Descrição / Comandos
   2. Como administrar suas chaves
   3. Opções
   4. Opções relacionadas
   5. Opções de compatibilidade
   6. Opções obsoletas
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Instalando e integrando o amavis e o viruscan no sendmail

PSAD: Port Scan Attack Detector

Proteção utilizando fail2ban contra ataques do tipo

Como saber se houve uma invasão

Os 5 princípios básicos de segurança para empresas

  
Comentários
[1] Comentário enviado por removido em 13/03/2013 - 15:38h

Show hein :)

[2] Comentário enviado por azraelm em 16/03/2013 - 07:44h

Boa contribuição, ajudou muito com umas dúvidas que eu tinha. ^^


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts