O gpg possui várias opções para controlar o comportamento exato e trocar as configurações padrão.
Opções longas podem ser colocadas em um arquivo de opções (default "
/.gnupg/gpg.conf"). Opções curtas não irão funcionar por exemplo, "armor" é uma opção válida para o arquivo de opções, enquanto "a" não é. Não escreva 2 traços, mas simplesmente o nome da opção e qualquer argumento necessário. Linhas com hash ("#") como o primeiro caractere em espaço não branco são ignoradas. Comandos podem ser colocados nesse arquivo também, mas isso não é geralmente útil, pois o comando irá executar
automaticamente a cada execução do gpg.
Por favor, lembre-se de que o option parsing (analisador) para assim que uma não opção é encontrada, você pode explicitamente parar o analisador usando a opção especial --.
Como mudar a configuração
Essas opções são usadas para modificar a configuração e são geralmente encontradas no arquivo de opção.
--default-key nome :: Use um nome para uma chave padrão para assiná-la. Se essa opção não for usada, a chave padrão será a primeira chave encontrada no chaveiro secreto. Note que -u ou --local-user sobrescreve essa opção.
--default-recipient nome :: Use um nome para um recipiente padrão se a opção --recipient não é usada e não pergunta se é um recipiente válido. O nome não deve ser vazio.
--default-recipient-self :: Use uma chave padrão como recipiente se a opção --recipient não for usada e não pergunta se é válido. A chave padrão é a primeira para o chaveiro secreto ou aquela definida com --default-key.
--no-default-recipient :: Reseta --default-recipient e --default-recipient-self.
-v,
--verbose :: Fornece mais informações durante o processamento. Se for usado duas vezes, o conteúdo da saída é listado detalhadamente.
--no-verbose :: Reseta o verbose para o nível 0.
-q,
--quiet :: Tenta ser o mais quieto possível.
--batch,
--no-batch :: Usa o modo batch. Nunca pergunta, não permite comandos interativos. --no-batch desativa essa opção. Note que mesmo com um nome de arquivo passado pela linha de comando, o gpg ainda precisa ler de stdin (em particular se o gpg souber que a entrada é uma assinatura separada e nenhum arquivo de dados foi especificado). Então se você não quer sustentar dados via o stdin, você deve conectar o stdin ao "
/dev/null".
--no-tty :: Certifica-se de que o tty (terminal) nunca é usado para qualquer saída. Essa opção é necessária em alguns casos, pois algumas vezes o GnuPG imprime alguns alertas para o tty mesmo se --batch for usado.
--yes :: Assume "sim" na maioria das perguntas.
--no :: Assume "não" na maioria das perguntas.
--list-options parâmetros :: É uma cadeia delimitada por espaço ou vírgula que mostra opções usadas quando se lista chaves e assinaturas (isto é, as funções --list-keys, --list-sigs, --list-public-keys, --list-secret-keys, e o --edit-key). As opções podem ser prefixadas com um no- (depois de dois traços) para dar o sentido oposto. As opções são:
- show-photos :: Lista --list-keys, --list-sigs, --list-public-keys, e --list-secret-keys para mostrar qualquer foto de ID anexada à chave. O padrão é não. Veja também --photo-viewer. Não funciona com --with-colons: veja --attribute-fd para forma apropriada de obter dados sobre as fotos para scripts e frontends.
- show-policy-urls :: Mostra política de URLs na --list-sigs ou listagem --check-sigs . O padrão é não.
- show-notations, show-std-notations, show-user-notations :: Mostra todas, padrão IETF, ou user-defined signature notations in the notação de assinatura de definição de usuário em --list-sigs ou listagem --check-sigs. O padrão é não.
- show-keyserver-urls :: Mostra qualquer URL de chave de servidor preferencial em listagem --list-sigs ou listagem --check-sigs. O padrão é não.
- show-uid-validity :: Exibe a validade de IDs de usuários calculada durante a listagem das chaves. O padrão é não.
- show-unusable-uids :: Mostrar listagens de chaves de IDs de usuários revogadas e expiradas. O padrão é não.
- show-unusable-subkeys :: Exibe sub-chaves revogadas e expiradas em uma listagem de chaves. O padrão é não.
- show-keyring :: Exibe o nome do chaveiro no cabeçalho da listagem de chaves para indicar em qual chaveiro uma dada chave está. O padrão é não.
- show-sig-expire :: Exibe a data de expiração da assinatura (se existir) durante --list-sigs ou listagem --check-sigs. O padrão é não.
- show-sig-subpackets :: Inclui sub-pacotes de assinatura na lista de chaves. Essa opção pode ter uma lista de argumentos opcional de sub-pacotes na lista. Se nenhum argumento for passado, lista todos os sub-pacotes. O padrão é não. Essa opção só é útil quando utilizando --with-colons com --list-sigs ou --check-sigs.
--verify-options parameters :: É uma string delimitada por espaço ou vírgula que dá opções utilizadas na verificação de assinaturas. Opções pode ser prefixado com um 'não-' para dar o significado oposto. As opções são:
- show-photos :: Exibe --list-keys, --list-sigs, --list-public-keys, e --list-secret-keys para mostrar qualquer foto de ID anexada à chave. O padrão é não. Veja também --photo-viewer. Não funciona com --with-colons: veja --attribute-fd para forma apropriada de obter dados sobre as fotos para scripts e frontends.
- show-policy-urls :: Mostra política de URLs na --list-sigs ou listagem --check-sigs. O padrão é não.
- show-notations, show-std-notations, show-user-notations :: Mostra todas, padrão IETF, ou user-defined signature notations in the notação de assinatura de definição de usuário em --list-sigs ou listagem --check-sigs. O padrão é não.
- show-keyserver-urls :: Mostra qualquer URL de chave de servidor preferencial em listagem --list-sigs ou listagem --check-sigs. O padrão é não.
- show-uid-validity :: Exibe a validade de IDs de usuários calculada durante a listagem das chaves. O padrão é não.
- show-unusable-uids :: Exibe listagens de chaves de IDs de usuários revogadas e expiradas. O padrão é não.
- show-primary-uid-only :: Exibe somente o ID de usuário primário durante a verificação de assinatura. Isto é, todas as linhas AKA bem como fotos de IDs não são mostrados com o status de verificação de assinatura.
- pka-lookups :: Permite pesquisas de PKA para verificar os endereços do remetente. Note que PKA é baseado em DNS, e assim, ao permitir esta opção pode-se divulgar informações sobre quando e quais assinaturas são verificadas ou para quem dados são criptografados. Este é semelhante ao "bug web" descrito para a característica auto-key-retrieve.
- pka-trust-increase :: Aumenta completamente a confiança em uma assinatura se a mesma passar na validação PKA. Essa opção só faz sentido se a opção pka-lookups estiver definida.
--enable-dsa2,
--disable-dsa2 :: Permite truncamento de hash para todas as chaves DSA mesmo as chaves antigas DSA de até 1024 bits. Este também é o padrão com --openpgp. Note que versões mais antigas do GnuPG também requerem que esta flag permita a geração de DSA maior que 1024 bits.
--photo-viewer string :: Esta é a linha de comando que deve ser executada para visualizar uma foto de ID. "% i" será expandido para um nome de arquivo que contendo a foto. "% I" faz o mesmo, exceto que o arquivo não será excluído uma vez que o visualizador exista. Outras flags são "k%" para o ID da chave, "K%" para a ID de chave longa, "f%" para a impressão digital (fingerprint) da chave, "% t" para a extensão do tipo de imagem (por exemplo, "jpg"), "% T"para o tipo de MIME da imagem (por exemplo, "imagem/jpeg"), e "%%" para um sinal de percentagem real. Se nem i% ou %I estiverem presentes, a foto será, então, fornecida ao visualizador no formato padrão.
O visualizador padrão é "stdin 'xloadimage -fork -quiet -title 'KeyID 0x%k' stdin". Note que se o seu programa visualizador de imagens não for seguro, então executá-lo utilizando GnuPG não o torna seguro.
--exec-path string :: Define uma lista de diretórios para pesquisar visualizadores de fotos e ajudantes keyserver. Se não for fornecido, ajudantes keyserver usam o diretório padrão compilado, os visualizadores de fotos usam a variável de ambiente $PATH. Note, que no sistema W32 esse valor é ignorado na busca de ajudantes keyserver.
--keyring file :: Adiciona arquivo a lista de chaveiros corrente. Se o arquivo começa com "~/" os mesmos são substituídos pelo diretório $HOME. Se o nome do arquivo não posuir '/' assume-se que ele está localizado no diretório home do GnuPG ("
~/.gnupg" if --homedir or $GNUPGHOME não é utilizado).
Note que isso adiciona um chaveiro a lista corrente. Se a intenção for de utilizar o chaveiro especificado sozinho, utilize --keyring juntamente com --no-default-keyring.
--secret-keyring file :: Semelhante a --keyring mas para o chaveiro secreto.
--primary-keyring file :: Designa um arquivo como chaveiro público primário. Isto significa que as chaves recentemente importadas (via --import ou keyserver --recv-from) irão para esse chaveiro.
--trustdb-name file :: Usa arquivo ao invés de trustdb padrão. Se o arquivo começa com "~/" os mesmos são substituídos pelo diretório $HOME. Se o nome do arquivo não possuir "/" assume-se que ele está localizado no diretório home do GnuPG ("
~/.gnupg" if --homedir or $GNUPGHOME não é utilizado).
--homedir dir - Define o nome do diretório home. Se esta opção não é utilizada, o diretório home padrão aponta para "
~/.gnupg". Ele somente é reconhecido quando dado na linha de comando. Ele também substitui qualquer diretório home definido através da variável de ambiente "GNUPGHOME" ou (em sistemas W32), por meio da entrada de registo "HKCU\Software\GNU\GnuPG:HomeDir".
--pcsc-driver file :: Utiliza arquivo para acessar o leitor de smartcard. O padrão corrente é "libpcsclite.so.1" para sistemas baseados em glibc, "
/System/Library/Frameworks/PCSC.framework/PCSC" para Mac OS X, "winscard.dll" para Windows e "libpcclite.so" para outros sistemas.
--disable-ccid :: Desativa o suporte integrado para os leitores compatíveis com CCID. Isso permite voltar para um dos outros drivers, mesmo se o driver interno CCID puder lidar com o leitor. Note, que o suporte ao CCID só está disponível se libusb estiver disponível no momento da construção.
--reader-port number_or_string :: Esta opção pode ser utilizada para indicar a porta do terminal de cartões. Um valor de 0 refere-se ao primeiro dispositivo serial; adicione 32.768 para acessar dispositivos USB. O padrão é 32768 (primeiro dispositivo USB). PC/SC ou leitores CCID pode precisar de uma string aqui; execute o programa no modo verbose para obter uma lista de leitores disponíveis. O padrão é, então, o primeiro leitor encontrado.
--display-charset name :: Define o nome do conjunto de caracteres nativo. Isto é usado para converter algumas strings como IDs de usuário para codificação UTF-8 adequada. Note que isso não tem nada a ver com o conjunto de caracteres de dados a sejam criptografados ou assinados; GnuPG não recodifica dados fornecidos pelo usuário. Se essa opção não for usada, o conjunto de caracteres padrão é determinado a partir da localização atual. A nível de detalhamento de 3 mostra o conjunto escolhido. Os valores válidos para nome são:
- iso-8859-1 :: Este é o conjunto Latim 1.
- iso-8859-2 :: O conjunto Latim 2.
- iso-8859-15 :: Este é, atualmente, um apelido para o conjunto Latim 1.
- koi8-r :: O conjunto usual Russo (RFC 1489).
- utf-8 :: Ignore todas as traduções e assuma que o sistema operacional usa a codificação UTF-8 nativa.
--utf8-strings,
--no-utf8-strings :: Assuma que os argumentos de linha de comando são dadas como strings UTF-8. O padrão (-no-utf8-strings) é assumir que os argumentos são codificados no conjunto de caracteres especificado pelo --display-charset. Essas opções afetam todos os argumentos a seguir. Ambas as opções podem ser usadas várias vezes.
--options arquivo :: Lê opções do arquivo e não tenta lê-las a partir das opções padrões do arquivo homedir (veja --homedir). Esta opção é ignorada se usada em um arquivo de opções.
--no-options :: Atalho para --options
/dev/null. Esta opção é detectada antes de uma tentativa de abrir um arquivo de opção. Usar esta opção também evita a criação de um "
~ /.gnupg" homedir.
-z n,
--compress-level n,
--bzip2-compress-level n :: Define o nível de compressão de n para os algoritmos de compressão zip e zlib. O padrão é usar o nível de compressão padrão de zlib (normalmente 6). --bzip2-compress-level define o nível de compressão para o algoritmo de compressão bzip2 (com padrão de 6 também). Esta é uma opção diferente de --compress-level uma vez que bzip2 utiliza uma grande quantidade de memória, para cada nível de compressão adicional. -z define ambos. Um valor de 0 para n desativa a compressão.
--bzip2-decompress-lowmem :: Usa um método diferente para descompressão de arquivos bzip2. Este método alternativo usa um pouco mais de metade da memória, mas também funciona à metade da velocidade. Isso é útil em circunstâncias extremas de pouca memória quando o arquivo foi originalmente comprimido em alto --bzip2-compress-level.
--mangle-dos-filenames,
--no-mangle-dos-filenames :: Uma versão mais antiga do Windows não pode lidar com nomes de arquivos com mais de um ponto. --mangle-dos-filenames faz com que o GnuPG substitua (em vez de adicionar a) a extensão de um arquivo de saída para evitar este problema. Esta opção é desativada por padrão e não tem efeito sobre plataformas não-Windows.
--ask-cert-level,
--no-ask-cert-level :; Ao fazer a assinatura da chave, solicite um nível de certificação. Se essa opção não for especificada, o nível de certificação utilizado é definido através de --default-cert-level. Veja --default-cert-level para obter informações sobre os níveis específicos e como eles são usados. --no-ask-cert-level desativa essa opção. Esta opção está padronizada em não.
--default-cert-level n :: O padrão a ser usado para o nível de verificação ao assinar uma chave.
- 0 significa que não deseja fazer nenhuma reivindicação em particular em relação a forma como se verifica a chave.
- 1 significa que você acredita que a chave é de propriedade da pessoa que alega a possuir, mas você não pôde, ou não verificou a chave de nenhuma maneira. Isso é útil para uma verificação de "persona", onde você assina a chave de um usuário pseudônimo.
- 2 significa que você fez uma verificação normal da chave. Por exemplo, isso pode significar que você verificou a impressão digital da chave e verificou o ID do usuário na chave em relação ao documento de identidade.
- 3 significa que você fez a verificação exaustiva da chave. Por exemplo, isto poderia significar que verificou a impressão digital da chave com o proprietário da chave, em pessoa, e que você checou, em um documento de difícil falsificação com uma foto de ID (tal como um passaporte) que o nome do proprietário da chave corresponde ao nome de usuário do ID na chave e, finalmente, que verificou (por troca de e-mail) que o endereço de e-mail da chave pertence ao proprietário da chave.
Note-se que os exemplos dados para os níveis 2 e 3 são apenas isso: exemplos. No final, cabe a você decidir o que "casual" e "exaustiva" significa para você.
Esta opção está padronizada para 0 (nenhum pedido particular).
--min-cert-level :: Durante a construção de um banco de dados de confiança, trate quaisquer assinaturas com um nível de certificação abaixo deste como inválida. O padrão é 2, que desconsidera assinaturas de nível 1. Note que assinaturas de nível 0 "nenhuma reclamação particulares" são sempre aceitas.
--trusted-key long key ID :: Suponha que a chave especificada (que deve ser dada como um ID da chave de 8 byte completa) é tão confiável como uma de suas próprias chaves secretas. Esta opção é útil se você não quer manter suas chaves secretas (ou um deles) online mas ainda quer ser capaz de verificar a validade de um destinatário dado ou a chave do assinante.
--trust-model pgp|classic|direct|always|auto :: Defina qual modelo de confiança o GnuPG deve seguir. Os modelos são:
- pgp :: Este é o Web of Trust combinado com assinaturas de confiança como usados em PGP 5.x e posterior. Este é o modelo de confiança padrão ao se criar um novo banco de dados de confiança.
- classic :: Este é o padrão da Web of Trust, usado no PGP 2.x e anteriores.
- direct :: A validade da chave é definida diretamente pelo usuário e não calculada através da Web of Trust.
- always :: Ignora a validação da chave e assume que as chaves utilizadas são sempre totalmente confiáveis. Você geralmente não vai usar isto a menos que você está usando algum esquema de validação externa. Esta opção também suprime a tag "[incerto]" impressa com verificações da assinatura quando não há nenhuma evidência de que o ID de utilizador está ligado à tecla.
- auto :: Seleciona o modelo de confiança dependendo do que quer que seja que o banco de dados interna de confiança diz. Este é o modelo padrão, se esse banco de dados já existe.
--auto-key-locate parameters,
--no-auto-key-locate :: GnuPG pode automaticamente localizar e recuperar chaves caso necessário usando essa opção. Isso acontece quando a criptografia para um endereço de e-mail (no campo "user@example.com"), e não há chaves user@example.com no chaveiro local. Esta opção utiliza qualquer número dos seguintes mecanismos, na ordem em que serão testados:
- cert :: Localiza uma chave usando DNS CERT, conforme especificado no RFC 4398.
- pka :: Localiza uma chave usando DNS PKA.
- ldap :: Usando DNS Service Discovery, verificar o domínio em questão para quaisquer servidores de chaves LDAP para uso. Se isso não funcionar, tente localizar a chave usando o método de verificação PGP Universal "ldap://keys.(thedomain)".
- keyserver :: Localiza uma chave usando qualquer servidor de chaves que for definido utilizando a opção --keyserver.
- keyserver-URL :: Além disso, um servidor de chaves URL usado na opção --keyserver pode ser utilizado aqui para consultar aquele keyserver particular.
- local :: Localiza a chave usando os chaveiros locais. Este mecanismo permite selecionar a ordem como pesquisa de chaves local é feita. Dessa forma, utilizar '--auto-key-locate local' é idêntico a utilizar --no-auto-key-locate.
- nodefault :: Esta flag desativa a pesquisa local padrão de chave, feita antes que qualquer um dos mecanismos definidos pelo --auto-key-locate serem testados. A posição deste mecanismo na lista não importa. Não é necessário se o comando local também for utilizado.
--keyid-format short|0xshort|long|0xlong :: Seleciona como exibir IDs de chave. "Short" é o ID da chave tradicional de 8 caracteres. "Long" é a mais preciso (mas menos conveniente) ID da chave de 16 caracteres. Adicione um "0x" no início do ID de chave assim como em 0x99242560.
--keyserver name :: Usa o nome como seu servidor de chaves. Este é o servidor com que --recv-keys, --send-keys, e --search-keys irão se comunicar para receber as chaves de, enviar chaves, e procure por elas. O formato do nome é uma URI: "
scheme:[//]keyservername[:port]" O esquema é o tipo de servidor de chaves: "hkp" para o HTTP (ou compatíveis) servidores de chaves, "ldap" para os servidores de chaves LDAP, ou "mailto" para o servidor de chaves e-mail Graff. Note que a sua instalação do GnuPG podem ter outros tipos de keyserver disponíveis também. Sistemas de servidor de chaves são case-insensitive. Após o nome do servidor de chaves, as opções de configuração keyserver podem ser fornecidas. Estes são os mesmos que o global --keyserver-options abaixo, mas aplicam-se apenas a este servidor particular.
A maioria dos servidores de chaves sincroniza entre si, de modo que é, geralmente, não é necessário para enviar chaves para mais de um servidor. O servidor de chaves hkp://keys.gnupg.net usa DNS round robin para lhe dar um servidor de chaves diferente a cada vez que você usá-lo.
--keyserver-options name=value1 :: Esta é uma string delimitada por espaço ou vírgula que dá opções para o servidor de chaves. As opções podem ser prefixados com um "não" para dar o significado oposto. Opções válidas de importação-exportação podem ser usadas aqui também para aplicar à importação de (--recv-key) ou exportação (--send-key) uma chave de um servidor de chaves. Embora nem todas as opções estão disponíveis para todos os tipos de servidor de chaves, algumas opções mais comuns são:
- include-revoked :: Ao procurar por uma chave com --search-keys, as buscas incluem chaves que são marcadas no servidor de chaves como revogadas. Note que nem todos os servidores de chaves diferenciam as chaves entre revogadas e não revogados, e para tais servidores de chaves esta opção não tem significado. Note também que a maioria dos servidores de chaves não tem verificação criptográfica de suas revogações de chaves, e assim desativar essa opção pode resultar em perda de chaves que estão marcadas incorretamente como revogadas.
- include-disabled :: Ao procurar por uma chave com o comando --search-keys, incluir chaves que são marcadas no servidor de chaves como desabilitadas. Note que esta opção não é utilizada com servidores de chaves HKP.
- auto-key-retrieve :: Esta opção permite a recuperação automática de chaves de um servidor de chaves ao verificar assinaturas feitas por chaves que não estão no chaveiro local. Note que esta opção torna comportamentos como "bug web" possíveis. Operadores de servidores de chaves podem ver as chaves que você solicitar, assim, enviando-lhe uma mensagem assinada por uma chave nova (que você naturalmente não terá em seu chaveiro local), o operador pode dizer tanto o seu endereço IP e o tempo que você levou para verificar a assinatura.
- honor-keyserver-url :: Ao usar --refresh-keys, se a chave em questão tem uma URL de servidor de chaves preferida, então usar esse servidor de chaves preferido para atualizar a chave. Além disso, se auto-key-retrieve estiver definido, e com a assinatura sendo verificado tem uma URL de servidor de chaves preferida, em seguida, usar esse servidor de chaves preferido para ir buscar a chave. O padrão é sim.
- honor-pka-record :: Se auto-key-retrieve estiver definido, e a assinatura sendo verificada tiver um registro PKA, então, usar a informação PKA para buscar a chave. O padrão é sim.
- include-subkeys :: Ao receber uma chave, incluir subchaves como alvos potenciais. Note que esta opção não é utilizada com servidores de chaves HKP, pois eles não suportam a obtenção de chaves por id de subchave.
- use-temp-files :: Na maioria das plataformas semelhantes ao Unix, o GnuPG comunica com o programa de ajuda do servidor de chaves através de canais, que é o método mais eficiente. Esta opção força o GnuPG a usar arquivos temporários para se comunicar. Em algumas plataformas (como o Win32 e RISC OS), esta opção está sempre ativada.
- keep-temp-files :: Se estiver usando do "use-temp-files", não excluir os arquivos temporários após usá-los. Esta opção é útil para aprender sobre o protocolo de comunicação do servidor de chaves lendo os arquivos temporários.
- verbose :: Diz que o programa de ajuda do servidor de chaves deve ser mais detalhado. Esta opção pode ser repetida várias vezes para aumentar o nível de detalhe.
- timeout :: Diz ao programa de ajuda do servidor de chaves por quanto tempo (em segundos) tentar executar uma ação do servidor de chaves antes de desistir. Note que a realização de várias ações ao mesmo tempo utiliza este valor de tempo limite por ação. Por exemplo, durante a recuperação de várias chaves via --recv-keys, o tempo de espera é aplicada separadamente a cada recuperação de chaves, e não para o comando --recv-keys em conjunto. O padrão é 30 segundos.
- http-proxy=value :: Configura o proxy para usar HTTP e servidores de chaves HKP. Isso substitui a variável de ambiente "http_proxy", se houver.
- max-cert-size :: Ao recuperar uma chave via DNS CERT, apenas aceitar chaves até este tamanho. O padrão é 16384 bytes.
- debug :: Ligue a saída de depuração do programa de ajuda servidor de chaves. Note que os detalhes da saída de depuração depende de em que programa de ajuda de servidor de chaves está sendo usado, e por sua vez, em todas as bibliotecas que o programa de ajuda do servidor de chaves usa internamente (libcurl, openldap, etc).
- check-cert :: Ativa verificação de certificado se o servidor de chaves apresentar um (para hkps ou LDAPS). O padrão é estar ativado.
- ca-cert-file :: Fornece um arquivo de certificado para substituir o padrão do sistema. Esta opção só é necessária se check-cert estiver habilitado e o servidor de chaves estiver usando um certificado que não está presente em uma lista de certificados padrão do sistema. Observe que, dependendo da biblioteca SSL com que o ajudante do servidor de chaves é construído, isso pode, na verdade, ser um diretório ou um arquivo.
--completes-needed n :: Número de usuários completamente confiáveis para introduzir uma nova chave de assinante (o padrão é 1).
--marginals-needed n :: Número de usuários de marginalmente confiáveis para introduzir uma nova chave de assinante (o padrão é 3).
--max-cert-depth n :: Profundidade máxima de uma cadeia de certificação (o padrão é 5).
--simple-sk-checksum :: As chaves secretas têm sua integridade protegida usando uma soma de verificação SHA-1. Este método é parte da especificação do OpenPGP próxima melhorada, mas o GnuPG já o usa como uma contramedida contra certos ataques. Aplicativos antigos não entendem este novo formato, por isso esta opção pode ser utilizada para voltar ao comportamento antigo. Usando esta opção tem um risco de segurança. Observe que usar esta opção só tem efeito quando a chave secreta é criptografado - a maneira mais simples de fazer isso é mudar a senha na chave (mesmo mudando-o para o mesmo valor é aceitável).
--no-sig-cache :: Não armazena em cache o estado de verificação de assinaturas chave. Cache dá um desempenho muito melhor em listas de chaves importantes. No entanto, se você suspeita que sua chave pública não está a salvo contra modificações de gravação, você pode usar esta opção para desabilitar o cache. Ele provavelmente não faz sentido desativado, porque todo o tipo de dano pode ser feito se alguém tiver acesso de gravação para o sua chave pública.
--no-sig-create-check :: O GnuPG normalmente verifica cada assinatura imediatamente após a sua criação de proteger contra bugs e falhas de hardware que podem afetar os bits da chave secreta. Esta verificação extra precisa de algum tempo (cerca de 115% para as chaves DSA), e por isso esta opção pode ser usada para desativá-lo. No entanto, devido ao fato de que a criação de assinatura precisa de interação manual, esta penalidade de desempenho não importa na maioria dos ambientes.
--auto-check-trustdbi,
--no-auto-check-trustdb :: O GnuPG sentir que sua informação sobre a Web of Trust tem de ser atualizado, ele executa automaticamente o comando --check-trustdb internamente. Isto pode ser um processo demorado. --no-auto-check-trustdb desativa essa opção.
--use-agent,
--no-use-agent :: Tente usar o GnuPG-Agent. Com esta opção, o GnuPG primeiro tenta se conectar ao agente antes antes de pedir uma senha. --no-use-agent desativa essa opção.
--gpg-agent-info :: Substitui o valor da variável de ambiente "GPG_AGENT_INFO". Isso só é usado quando --use-agent foi dado. Dado que esta opção não é mais utilizada por gpg2, deve ser evitada, se possível.
--lock-once :: Bloqueia o banco de dados na primeira vez que um bloqueio é solicitado e não libera o bloqueio até que o processo termine.
--lock-multiple :: Libera os bloqueios cada vez que um bloqueio não é mais necessário. Use isso para substituir um anterior --lock-once de um arquivo de configuração.
--lock-never :: Desativar o bloqueio inteiramente. Esta opção só deve ser usado em ambientes muito especiais, onde pode ter certeza que apenas um processo está acessando os arquivos. A disquete de arranque com um sistema de criptografia autônomo provavelmente vai usar isso. Uso indevido dessa opção pode levar a dados e corrupção de chave.
--exit-on-status-write-error :: Esta opção irá causar erros de gravação sobre o estado FD para rescindir imediatamente o processo. Isso deve ser, de fato, o padrão, mas isso nunca funcionou desta forma e, portanto, precisamos de uma opção para habilitar isso, para que a mudança não vá quebrar aplicações que finalizem o estado de um canal FD muito cedo. Esta opção junto com --enable-progress-filter pode ser usada para cancelar operações gpg de longa duração.
--limit-card-insert-tries n :: Com n maior do que 0, o número de instruções que pede para inserir um smartcard fica limitado a N-1. Assim, com um valor de 1 gpg não pedirá para inserir um cartão se nenhum tiver sido inserido no arranque. Esta opção é útil no arquivo de configuração no caso de uma aplicação não sabe sobre o apoio do smartcard e espera infinitamente para a inserção de um cartão.
--no-random-seed-file :: GnuPG usa um arquivo para armazenar a sua "piscina" interna aleatório sobre invocações. Isso deixa a geração aleatória mais rápida; as operações de escrita no entanto, por vezes, não são desejadas. Esta opção pode ser utilizada para conseguir com que o custo de geração aleatória seja mais lento.
--no-greeting :: Suprime a mensagem de direitos autorais inicial.
--no-secmem-warning :: Suprime o aviso sobre "uso inseguro de memória".
--no-permission-warning :: Suprime o aviso sobre o arquivo inseguro e permissões do diretório home (--homedir). Note que a permissão verifica que as performances do GnuPG não se destinam a ser autoritárias, mas eles simplesmente alertam sobre certos problemas de permissão comuns. Não suponha que a falta de um aviso significa que o seu sistema esteja seguro.
Note que o aviso de não segurança de permissões do --homedir não pode ser suprimida no arquivo gpg.conf, pois isso permitira que um atacante pudesse colocar um arquivo gpg.conf inseguro no lugar, e usar esse arquivo para suprimir avisos sobre si. Os avisos permissões da --homedir só podem ser suprimidos na linha de comando.
--no-mdc-warning :: Suprime o aviso sobre a falta de proteção de integridade MDC.
--require-secmem,
--no-require-secmem :: Recusar-se a executar se GnuPG não pode conseguir memória segura. O padrão é não. (Ou seja, correr, mas dar uma advertência)
--require-cross-certification,
--no-require-cross-certification :: Ao verificar uma assinatura feita a partir de uma subchave, garante que a certificação cruzada "back signature" na subchave esteja presente e seja válida. Isso protege contra um ataque sutil contra subchaves que podem assinar. O padrão é --require-cross-certification para GPG.
--expert,
--no-expert :: Permite que o usuário faça coisas absurdas ou "tolas" como a assinatura de uma chave expirada ou revogada, ou certas coisas potencialmente incompatíveis como gerar tipos de chaves incomuns. Isto também desativa as mensagens de advertência sobre certas ações potencialmente incompatíveis. Como o nome indica, esta opção é para apenas especialistas. Se você não compreender plenamente as implicações do que ele permite que você faça, deixe isso desligado. --no-expert desativa essa opção.