OpenPGP - Tradução da man page

Essa publicação tem como objetivo divulgar a tradução do manual OpenPGP para o português (pt_BR). A proposta partiu de um trabalho da disciplina de Redes de Computadores 2 na UFG, cujo intuito era de ajudar de alguma forma a comunidade com algum assunto que envolvesse redes e afins. O OpenPGP é uma ferramenta de criptografia livre que trabalha com criptografia de chaves baseada no PGP.

[ Hits: 22.216 ]

Por: Juliane Barcelos de Oliveira em 13/03/2013


Opções de compatibilidade



Essas opções controlam com o que o GnuPG é compatível. Apenas uma dessas opções podem estar ativas por vez. Note que a configuração padrão disso é quase sempre a correta. Veja a seção INTEROPERABILIDADE COM OUTRO PROGRAMA OPENPGP abaixo antes de usar uma dessas opções.

--gnupg :: Usa o comportamento padrão do GnuPG. Isso é essencialmente o comportamento do OpenPGP (veja --openpgp), mas com algumas soluções alternativas para problemas de compatibilidade comuns em diferentes versões do PGP. Essa é a opção padrão, então não é geralmente necessária, mas isso pode ser útil para sobrescrever uma opção de conformidade diferente no arquivo pgp.conf.

--openpgp :: Redefine todas as opções de pacote, cifra e digest para o comportamento OpenPGP estrito. Use essa opção para redefinir todas as opções anteriores, como --s2k-*, --cipher-algo, --digest-algo e --compress-algo para valores compatíveis do OpenPGP. Todas as soluções PGP alternativas são desabilitadas.

--rfc4880 :: Redefine todas as opções de pacote, cifra e digest para o comportamento estrito do RFC 4880. Note que essa opção é correntemente a mesma coisa que a opção --openpgp.

--rfc2440 :: Redefine todas as opções de pacote, cifra e digest para o comportamento estrito do RFC 2440.

--rfc1991 :: Tenta ser mais compatível com o RFC 1991 (PGP 2.x).

--pgp2 :: Define todas as opções para ser o mais compatível possível com PGP 2.x e alerta se uma ação tomada (e.g. criptografia para uma chave que não seja RSA) que irá criar uma mensagem que o PGP 2.x não será capaz de lidar. Note que "PGP 2.x" aqui significa "MIT PGP 2.6.2". Há outras versões do PGP 2.x disponíveis, mas a liberada pelo MIT é uma boa linha de base comum.

Essa opção implica --rfc1991 --disable-mdc --no-force-v4-certs --escape-from-lines --force-v3-sigs --cipher-algo IDEA --digest-algo MD5 --compress-algo ZIP. E também desabilita --textmode enquanto criptografando.

--pgp6 :: Define todas as opções para serem o mais compatíveis possível com o PGP6. Isso te restringe às cifras IDEA (se o plugin IDEA estiver instalado), 3DES e CASAT5, os algoritmos de hash MD5, SHA1 e RIPEMD160, e os algoritmos de compressão none e ZIP.

Também desabilita --throw-keyids e fazendo assinaturas com sub-chaves de assinatura, como PGP 6 não entende assinaturas feitas por sub-chaves de assinatura.

Essa opção implica --disable-mdc --escape-from-lines --force-v3-sigs.

--pgp7 :: Define todas as opções para serem o mais compatíveis possível com o PGP 7. É idêntico ao --pgp6, exceto que MDCs não estão desabilitados e a lista de cifras permitidas é expandida para AES128, AES192, AES256 e Twofish.

--pgp8 :: Define todas as opções para serem o mais compatíveis possível com o PGP 8. PGP 8 é muito mais próximo do padrão OpenPGP do que as versões anteriores do PGP, então tudo o que é feito é desabilitar --throw-keyids e habilitar --escape-from-lines. Todos os algoritmos são habilitados, exceto SHA224, SHA384 e SHA512 digests.

-n, --dry-run :: Não faz qualquer mudança (não está completamente implementado).

--list-only :: Muda o comportamento de alguns comandos. E como o --dry-run, mas diferente em alguns casos. A semântica desse comando pode ser estendida no futuro. Atualmente ele só ignora a passagem de criptografia real e, portanto, permite uma listagem rápida das chaves de criptografia.

-i, --interactive :: Pergunta antes de sobrescrever qualquer arquivo.

--debug flags :: Define flags de debugging. Todas as flags são or-ed e flags podem ser dadas na sintaxe do C (e.g. 0x0042).

--debug-all :: Define todas as flags de debugging úteis.

--debug-ccid-driver :: Habilita a saída de debug do driver CCID para smartcards. Note que essa opção está disponível em apenas alguns sistemas.

--enable-progress-filter :: Habilita certas saídas de status de progresso. Essa opção permite a interfaces mostrarem um indicador de progresso enquanto pgp está processando arquivos grandes. Há uma leve diminuição de performance utilizando isso.

--status-fd n :: Escreve strings de status especiais no descritor de arquivo n. Veja o arquivo DETAILS na documentação para uma listagem delas.

--status-file file :: O mesmo que --status-fd, exceto que os dados de estado são escritos no arquivo file.

--logger-fd n :: Escreve a saída de log no descritor de arquivo n e não na stderr.

--log-file file, --logger-file file :: O mesmo que --logger-fd, exceto que os dados de estado são escritos no arquivo file. Note que --log-file é implementado apenas para o GnuPG-2.

--attribute-fd n :: Escreve o atributo sub-pacotes no descritor de arquivo n. Isso é mais útil para usar com --status-fd, desde que mensagens de estado são necessárias para separar os vários sub-pacotes do fluxo entregue ao descritor de arquivo.

--attribute-file file :: O mesmo que --atribute-fd, exceto que o atributo dado é escrito para o arquivo file.

--comment string, --no-comments :: Use string como uma string de comentário em assinaturas de texto limpo e mensagens ou chaves ASCII armored (veja --armor). O comportamento padrão é não usar uma string de comentário. --coment pode ser repetido várias vezes para se ter várias strings de comentários. --no-comments remove todos os comentários. É uma boa ideia manter o tamanho de um único comentário menor que 60 caracteres para evitar problemas com programas de e-mail envolvendo tais linhas. Note que linhas comentadas, como todas as linhas de cabeçalho, não são protegidas pela assinatura.

--emit-version, --no-emit-version :: Força a inclusão de uma versão string de saída ASCII blindado. --no-emit-version desabilita essa opção.

--sig-notation name=value, --cert-notation name=value, -N, --set-notation name=value :: Coloca o nome par de valor na assinatura como dado de notação. name tem que consistir de apenas caracteres imprimíveis ou espaços e tem que conter o caracter '@' na forma keyname@domain.example.com (substituindo keyname e o nome de domínio).

Isso ajuda a prevenir que a notação IETF de espaço de nomes reservados seja poluída. O --expert flag sobrescreve a verificação '@'. value precisa ser uma string imprimível; isso será codificado em UFT8, para que você possa chegar que o seu --display-charset está definido corretamente. Se você prefixar o seu nome com um ponto de exclamação (!), o dado de notação receberá um flag crítico (rfc2440:5.2.3.15). --sig-notation define uma notação para assinatura de dados. --cert-notation define uma notação para assinatura de chaves (certificações). --set-notation define ambos.

Existem códigos especiais que podem ser usados em notações de nomes. "%d" irá ser expandido na ID de chave da chave sendo assinada, "%K" na ID de chave longa da chave sendo assinada, "%f" na impressão digital (fingerprint) da chave sendo assinada, "%s" na ID de chave da chave que está fazendo a assinatura, "%S" na ID de chave longa da chave que está fazendo a assinatura, "%g" na impressão digital da chave que está fazendo a assinatura (que pode ser uma sub-chave), "%p" na impressão digital da chave primária da chave que está fazendo a assinatura, "%c" na conta de assinatura do smartcard OpenPGP, e "%%" resulta numa simples "%". "%k", "%K" e "%f" são apenas significantes quando se está fazendo a assinatura de chaves (certificação) e "%c" é apenas significante quando se está utilizando o smartcard OpenPGP.

--sig-policy-url string, --cert-policy-url string, --set-policy-url string :: Usa string como uma Política de URL para assinaturas (rfc2440:5.2.3.19). Se você prefixar isso com um ponto de exclamação (!), o pacote de política de URL receberá um flag crítico. --sig-policy-url define a política de URL para assinaturas de dados. --cert-policy-url define o pacote de política de URL para as assinaturas de chaves (certificações). --set-policy-url define ambos. O mesmo %-expandos usado para dado de notação está disponível também.

--sig-keyserver-url string :: Use string como uma URL keyserver preferencial para assinatura de dados. Se você prefixá-la com um ponto de exclamação (!), o pacote de URL keyserver receberá um flag crítico.

O mesmo %-expandos usado para dado de notação está disponível também.

--set-filename string :: Use string como o nome de arquivo que será armazenado dentro das mensagens. Isso sobrescreve o padrão, que é o nome real do arquivo sendo criptografado.

--for-your-eyes-only, --no-for-your-eyes-only :: Define o flag "para os seus olhos apenas" na mensagem. Isso faz o GnuPG recusar a salvar o arquivo, a não ser que a opção --output seja dada, e o PGP a usar uma "visão segura" com uma afirmada fonte resistente a tempestades para mostrar a mensagem. Essa opção sobrescreve --set-filename. --no-for-you-eyes-only desabilita essa opção.

--use-embedded-filename, --no-use-embedded-filename :: Tenta criar um arquivo com o nome incorporado nos dados. Isso pode ser uma opção perigosa, pois permite sobrescrever arquivo. O padrão é não.

--cipher-algo name :: Usa nome como um algoritmo de criptografia. Rodando o programa com o comando --version é fornecida uma lista de algoritmo suportados. Se não for usado, o algoritmo de criptografia é selecionado das preferências armazenadas com a chave. Geralmente, você não quer usar essa opção, já que isso viola o padrão OpenPGP. --personal-cipher-preferences é a maneira segura de se fazer a mesma coisa.

--digest-algo name :: Usa nome como o algoritmo de digestão de mensagem. Rodando o programa com o comando --version é fornecida uma lista com os algoritmos suportados. Geralmente, você não quer usar essa opção, já que ela viola o padrão OpenPGP. --personal-digest-preferences é a maneira segura de se fazer o mesmo.

--compress-algo name :: Usa o algoritmo de compressão name. "zlib" é a compressão RFC 1950 zlib. "zip" é a compressão RFC 1951 zip que é usada pelo PGP. "bzip2" é um esquema de compressão mais moderno que comprime algumas coisas melhor que zip ou zlib, mas com o custo de mais memória usada durante a compressão e a descompressão. "uncompressed" or "none" desabilita a compressão. Se essa opção não é usada, o comportamento padrão é examinar as preferências do destinatário da chave para ver quais algoritmos o destinatário suporta. Isso tudo mais falhar, zip é usado para a máxima compatibilidade.

zlib pode fornecer resultados de compressão melhores que zip, como a janela de compressão é limitada a 8k. bzip2 pode fornecer resultados de compressão ainda melhores que isso, mas uma quantidade significativa de memória será usada durante a compressão e descompressão. Isso pode ser significante em situações de pouca memória. Note, no entanto, que PGP (todas as versões) apenas suporta compressão zip. Usar qualquer algoritmo que não seja zip ou "none" fará que a mensagem seja indecifrável com PGP. Geralmente, você não quer usar essa opção, já que ela viola o padrão OpenPGP. --personal-compress-preferences é a maneira segura de se fazer a mesma coisa.

--cert-digest-algo name :: Usa nome como o algoritmo de criptografia de mensagem usado quando assinando uma chave. Rodando o programa com o comando --version é fornecida uma lista dos algoritmos suportados. Esteja atento que se você escolher um algoritmo que o GnuPG suporta e outro que as implementações OpenPGP não suportam, alguns usuários não estarão aptos a usar as assinaturas de chaves que você fizer, ou muito possivelmente toda a sua chave.

--disable-cipher-algo name :: Nunca permita o uso de name como o algoritmo de criptografia. O nome dado não será checado, então um algoritmo carregado posteriormente ainda estará desabilitado.

--disable-pubkey-algo name :: Nunca permite o uso de name como o algoritmo de chave pública. O nome dado não será checado, então um algoritmo carregado posteriormente ainda estará desabilitado.

--throw-keyids, --no-throw-keyids :: Não coloque os IDs de chave de destinatário em mensagens criptografadas. Isso ajuda a esconder os que receberem as mensagens e é uma medida preventiva contra a limitada análise de tráfego (usando um pouco de engenharia social, qualquer um que está apto a descriptografar mensagens podem chegar se qualquer um dos destinatários é aquele que ele suspeita). No lado que recebe, isso pode deixar o processo de decriptação mais lento porque todas as chaves secretas disponíveis precisam ser testadas. --no-throw-keyids desabilita essa opção. Essa opção é essencialmente a mesma como é usada --hidden-recipient para todos os destinatários.

--not-dash-escaped :: Essa opção muda o comportamento das assinaturas de texto puro para que elas possam ser usadas para arquivos fragmentados. Você não deveria enviar um arquivo blindado por e-mail, porque todos os espaços e quebras de linha são submetidos ao hash também. Você não pode usar essa opção para dados que tem 5 traços no começo de uma linha, arquivos fragmentados não possuem isso. Uma linha de cabeçalho blindada especial diz ao GnuPG sobre essa opção de assinatura de texto puro.

--escape-from-lines, --no-escape-from-lines :: Porque alguns serviços de e-mail mudam linhas que começam com "From " para ">From " isso é bom para lidar com tais linhas de uma forma especial quando se cria assinaturas de texto puro para prevenir que o sistema de e-mail quebre a assinatura. Note que todas as outras versões do PGP fazem isso dessa maneira. Habilitado por padrão. --no-escape-from-lines desabilita essa opção.

--passphrase-repeat n :: Especifica quantas vezes o gpg irá requisitar que uma nova senha seja repetida. Isso é útil para ajudar a memorizar uma senha. O padrão é uma repetição.

--passphrase-fd n :: Lê a senha da descrição do arquivo n. Apenas a primeira linha será lida da descrição do arquivo n. Se você usar 0 para n, a frase será lida da stdin. Isso pode ser usado ser apenas uma senha é fornecida.

--passphrase-file file :: Lê a senha do arquivo file. Apenas a primeira linha será lida do arquivo file. Isso pode ser usado apenas se uma senha é fornecida. Obviamente, a senha armazenada em um arquivo é de segurança questionada se outros usuários podem ser esse arquivo. Não use essa opção se você puder evitar.

--passphrase string :: Use string como a senha. Isso pode ser usado se apenas uma senha é fornecida. Obviamente isso é de segurança questionável em um sistema multi-usuário. Não use essa opção se você puder evitar.

--command-fd n :: Isso é uma substituição para o obsoleto sistema de memória compartilhada do modo IPC. Se essa opção está habilitada, entrada de usuário em questões não é esperada pelo tty, mas sim da descrição de arquivo dada. Isso pode ser usado com --status-fd. Veja o arquivo "doc/DETAILS" na distribuição de código para detalhes de como usá-lo.

--command-file file :: O mesmo que --command-fd, exceto que os comando são lidos do arquivo file.

--allow-non-selfsigned-uid, --no-allow-non-selfsigned-uid :: Permite a importação e o uso de chaves com IDs de usuário que não são auto-assinadas. Isso não é recomendado, uma ID de usuário não assinada pode ser forjada trivialmente. --no-allow-non=selfsigned-uid desabilita.

--allow-freeform-uid :: Desabilita todas as checagens na forma de IDs de usuário enquanto um novo está sendo gerado. Essa opção deveria ser usada apenas em ambientes muito especiais, já que ela não assegura o formato padrão de-facto dos IDs de usuário.

--ignore-time-conflict :: Normalmente o GnuPG checa se os timestamps associados com as chaves e assinaturas são valores plausíveis. No entanto, algumas assinaturas parecer ser mais velhas que a chave devido a problemas com o relógio. Essa opção faz essas checagens serem apenas alertas. Veja também --ignore-valid-from para assuntos de timestamp em sub-chaves.

--ignore-valid-from :: O GnuPG normalmente não seleciona e usa chaves criadas no futuro. Essa opção permite o uso de tais chaves e aquelas exibindo o comportamento pre-1.0.7. Você não deve usar essa opção a não ser que você tenha algum problema com o relógio. Veja também --ignore-time-conflict para assuntos de timestamp em assinaturas.

--ignore-crc-error :: A blindagem ASCII usada pelo OpenPGP é protegida por uma coma de erros CRC contra erros de transmissão. Ocasionalmente o CRC fica deformado em algum lugar no canal de transmissão, mas o conteúdo (que é protegido pelo protocolo OpenPGP de qualquer jeito) continua intacto. Essa opção permite o GnuPG ignorar erros CRC.

--ignore-mdc-error :: Essa opção muda a falha de proteção de integridade MDC em um alerta. Isso pode ser útil se a mensagem está parcialmente corrompida, mas é necessária para receber a maior quantidade de dados possível da mensagem corrompida. No entanto, esteja atento que a falha de proteção MDC pode também significar que a mensagem foi adulterada intencionalmente por um atacante.

--no-default-keyring :: Não adiciona os chaveiros padrão à lista de chaveiros. Note que o GnuPG não irá operar sem chaveiros, então se você usar essa opção e não prover nenhum chaveiro alternativo via --keyring ou --secret-keyring, então o GnuPG ainda usará os chaveiros padrão público e secretos.

--skip-verify :: Ignora o passo de verificação de assinatura. Isso pode ser usado para fazer a decriptação ficar mais rápida se a verificação de assinatura não é necessária.

--with-key-data :: Imprime a listagem de chaves delimitadas por dois pontos (como em --with-colons) e imprime os dados de chave pública.

--fast-list-mode :: Muda a saída da saída de comandos para funcionar mais rápido; isso é conseguido deixando algumas partes vazias. Algumas aplicações não precisam do ID de usuário e da confiança das informações dadas nas listagens. Usando essa opção eles podem fornecer uma listagem mais rápida. O comportamento exato dessa opção pode mudar em versões futuras. Se você está perdendo informação, não use essa opção.

--no-literal :: Não é parar uso normal. Use o código para ver para o que pode ser útil.

--set-filesize :: Não é para uso normal. Use o código para ver para o que pode ser útil.

--show-session-key :: Mostra a chave de sessão usada em uma mensagem. Veja --override-session-key em contra-partida a essa opção.

Nós pensamos que a custódia de chaves é uma coisa ruim; no entanto o usuário deve ter a liberdade de decidir ir à prisão ou revelar o conteúdo de uma mensagem específica sem comprometer todas as mensagens já criptografadas por uma chave secreta.
NÃO USE ISSO EXCETO SE VOCÊ É REALMENTE FORÇADO A FAZER.

--override-session-key string :: Não usa a chave pública, mas sim a string de chave de sessão. O formato dessa string é o mesmo que a impressa por --show-session-key. Essa opção não é usada normalmente, mas vem a tona caso alguém te force a revelar o conteúdo de uma mensagem criptografada; usando essa opção você pode fazer isso sem revelar a chave secreta.

--ask-sig-expire, --no-ask-sig-expire :: Quando se está fazendo uma assinatura de dados, pergunta por um tempo de expiração. Se essa opção não é especificada, o tempo de expiração definido via --default-sig-expire é usado. --no-ask-sig-expire desabilita essa opção. Note que por padrão --force-v3- sigs também desabilita essa opção. Se você quer expiração de assinatura, você precisa definir --no-force-v3-sigs, assim como habilitar --ask-sig-expire.

--default-sig-expire :: O tempo de expiração padrão para usar na expiração de assinatura. Valores válidos são "0" para não haver expiração, um número seguido de uma letra d (para dias), w (para semanas), m (para meses) ou y (para anos) (por exemplo "2m" para dois meses ou "5y" para cinco anos), ou uma data absoluta na forma AAAA-MM-DD. O padrão é "0".

--ask-cert-expire, --no-ask-cert-expire :: Quando uma assinatura está sendo feita, pergunta por um tempo de expiração. Se essa opção não é especificada, o tempo de expiração definido via --default-cert-expire é usado. --no-ask-cert-expire desabilita essa opção.

--default-cert-expire :: O tempo de expiração padrão é usado pela expiração de assinatura de chave. Valores válidos são "0" para não haver expiração, um número seguido de uma letra d (para dias), w (para semanas), m (para meses) ou y (para anos) (por exemplo "2m" para dois meses ou "5y" para cinco anos), ou uma data absoluta na forma AAAA-MM-DD. O padrão é "0".

--allow-secret-key-import :: Essa é uma opção obsoleta e não é usada em nenhum lugar.

--allow-multiple-messages, --no-allow-multiple-messages :: Permite o processamento de várias mensagens OpenPGP contidas em um único arquivo ou fluxo. Alguns programas que chamam o GPG não estão preparados para o processamento de várias mensagens ao mesmo tempo, então o padrão dessa opção é não.

Note que versões do GPG anteriores à 1.4.7 sempre permitem múltiplas mensagens.
Aviso: Não use essa opção a não ser que você precise de uma solução alternativa temporária.

--enable-special-filenames :: Essa opção habilita um modo em que nomes de arquivo na forma '-&n', onde n é um número decimal não negativo, referem-se ao descritor de arquivo n e não para um arquivo com aquele nome.

--no-expensive-trust-checks :: Apenas uso experimental.

--preserve-permissions :: Não muda as permissões de um chaveiro secreto para usá-lo no modo leitura/escrita apenas. Use essa opção apenas se você sabe exatamente o que está fazendo.

--default-preference-list string :: Define a lista de preferências padrão para string. Essa lista de preferências é usada para novas chaves e se torna o padrão para "setpref" no menu de edição.

--default-keyserver-url name :: Define a URL de keyserver padrão para name. Esse keyserver será usado como a URL de keyserver quando se está escrevendo uma nova auto-assinatura em uma chave, o que inclui uma geração de chave e a mudança de preferências.

--list-config :: Mostra várias parâmetros de configuração interna do GnuPG. Essa opção é destinada a programas externo que chamam o GnuPG para executar tarefas, e não são geralmente úteis. Veja o arquivo "doc/DETAILS" na distribuição de código para detalhes de quais itens de configuração podem ser listados. --list-config é usável apenas com --with-colons ativado.

--gpgconf-list :: Esse comando é similar ao --list-config, mas geralmente é usado apenas internalmente pela ferramenta gpgconf.

--gpgconf-test :: Essa é mais ou menos uma ação idiota. No entanto analisa o arquivo de configuração e retorna com falhas se o arquivo de configuração fosse impedir o gpg de iniciar. Isso pode ser útil para executar uma checagem de sintaxe no arquivo de configuração.

Página anterior     Próxima página

Páginas do artigo
   1. Sinopse / Descrição / Comandos
   2. Como administrar suas chaves
   3. Opções
   4. Opções relacionadas
   5. Opções de compatibilidade
   6. Opções obsoletas
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Fail2ban no Debian - Instalação e Configuração

Solução de backup para servidores Windows, Linux & BSD’s

SmoothWall - Linux para gateway

Instalando Snort e Guardian no Slackware

Utilizando RPM para detecção de intrusos

  
Comentários
[1] Comentário enviado por removido em 13/03/2013 - 15:38h

Show hein :)

[2] Comentário enviado por azraelm em 16/03/2013 - 07:44h

Boa contribuição, ajudou muito com umas dúvidas que eu tinha. ^^


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts