--recipient name,
-r :: Criptografa o nome ID do usuário. Se esta opção ou --hidden-recipient não é especificado, o GnuPG pede pelo id de usuário a menos --default-recipient seja dado.
--hidden-recipient name,
-R :: Criptografa o nome ID do usuário, mas oculta o ID da chave da chave do usuário. Esta opção ajuda a esconder o receptor da mensagem e é uma medida preventiva contra a análise de tráfego. Se esta opção ou --recipient não for especificado, o GnuPG pede o ID do usuário a menos --default-recipient seja dado.
--encrypt-to name :: Mesmo que --recipient, mas este deve ser utilizado no arquivo de opções e podem ser usadas com a sua própria ID de utilizador na forma de um "encrypt-to-self". Essas chaves são usadas apenas quando há outros destinatários dados, quer pelo uso de --recipient ou por uma id de usuário perguntada. Nenhuma verificação de confiança é realizada para estes IDs de usuário e chaves mesmo com deficiência pode ser usadas.
--hidden-encrypt-to name :: Mesma --hidden-recipient mas este é destinado ao uso no arquivo de opções e pode ser usado com o seu próprio user-id como um oculto "encrypt-to-self". Essas teclas são usadas apenas quando há outros destinatários dados quer pelo uso de --recipient ou por uma id de usuário perguntada. Nenhuma verificação de confiança é realizado para estes IDs de usuário e mesmo chaves com deficiência pode ser usado.
--no-encrypt-to :: Desativa o uso de todos --encrypt-to e --hidden-encrypt-to keys.
--group name=value1 :: Quando usado a partir da linha de comando, pode ser necessário indicar o argumento para essa opção para prevenir a shell de tratá-la como múltiplos argumentos. Define-se um determinado grupo, que é semelhante ao pseudônimos em programas de e-mail. A qualquer momento, o nome do grupo que é um receptor (-r ou - recipient), irá ser expandido com os valores especificados. Vários grupos com o mesmo nome são automaticamente mesclados em um único grupo. Os valores são IDs de chaves ou impressões digitais, mas qualquer descrição de chave é aceita. Note que um valor com espaços será tratados como dois valores diferentes. Note também que há apenas um nível de expansão - você não pode fazer um grupo que aponta para outro grupo. Quando usado na linha de comando, pode ser necessário citar o argumento para esta opção para evitar que o shell trate-a como vários argumentos.
--ungroup name :: Remove uma entrada dada da lista --group.
--no-groups :: Remove todas as entradas da lista --group.
--local-user name,
-u :: Usa nome como a chave para a assinatura. Note que essa opção sobrescreve --default-key.
--try-all-secrets :: Não repare no ID de chave como está armazenado na mensagem, mas tente todas as chaves secretas para tentar encontrar a chave correta de decriptação. Essa opção força o comportamento como usado por destinatários anônimos (criado usando --throw-keyids) e pode vir convenientemente no caso em que uma mensagem criptografada contém uma ID de chave falso.
Entrada e saída
--armor,
-a :: Cria uma saída ASCII blindado. O padrão cria o formato binário OpenPGP.
--no-armor :: Assume que a entrada não está no formado ASCII blindado.
--output file,
-o file :: Escreve a saída em um arquivo.
--max-output n :: Essa opção define um limite no número de bytes que irão ser gerados no processamento de um arquivo. Já que o OpenPGP suporta vários níveis de compressão, é possível que o texto simples de uma dada mensagem pode ser significativamente maior que a mensagem OpenPGP original. Enquanto o GnuPG funciona propriamente com tais mensagens, às vezes desejamos definir um tamanho de arquivo máximo que será gerado antes que o processamento seja forçado a parar pelos limites do S.O. O padrão é 0, o que significa "sem limite".
--import-options parameters :: Um espaço ou vírgula delimita a string que fornece a opção para exportação de chaves. Opções podem ser precedidas com um 'no-' para dar o sentido oposto. As opções são:
- import-local-sigs :: Permite a importação de assinatura de chaves marcadas como "locais". Isso não é geralmente útil, a não ser que um esquema de chaves compartilhadas esteja sendo usado. O padrão é não.
- repair-pks-subkey-bug :: Durante a importação, tentativas de reparar o dano causado pelo bug PKS keyserver (pré-versão 0.9.6) que deforma chaves com múltiplas sub-chaves. Note que isso não repara completamente o dano da chave, algum dado crucial da chave pode ser removida pelo keyserver, mas ao menos uma subchave é recuperada. O padrão é não para --import regulares e sim para keyserver --recv-keys.
- merge-only :: Durante a importação, permite a atualização de chaves existentes, mais não permite a importação de novas chaves. O padrão é não.
- import-clean :: Após a importação, compacta (remove todas as assinaturas, exceto a auto assinatura) todas as IDs de usuário da nova chave que não são usáveis.
E então, remove todas as assinaturas da nova chave que não são usáveis. Isso inclui assinaturas que foram emitidas pelas chaves que não estão presentes no chaveiro. Essa opção é a mesma quando rodando o comando --edit-key "limpo" depois da importação. O padrão é não.
- import-minimal :: Importa a menor chave possível. Isso remove todas as assinaturas, exceto a mais recente auto-assinatura em cada ID de usuário. Essa opção é a mesma do comando ---edit-key "minimize" após a importação. O padrão é não.
--export-options parameters :: Um espaço ou vírgula delimita a string que fornece opções para exportação de chaves. Opções podem ser iniciadas com um "no-" para dar o significado oposto. As opções são:
- export-local-sigs :: Permite a exportação de assinatura de chaves marcadas como "locais". Isso não é geralmente útil, a não ser que um esquema de chaves compartilhadas esteja sendo usado. O padrão é não.
- export-attributes :: Inclui o atributo IDs de usuário (photo IDs) durante a exportação. Isso é usuário para exportar chaves que estão sendo usadas por um programa OpenPGP que não aceita o atributo IDs de usuário. O padrão é sim.
- export-sensitive-revkeys :: Inclui informação designada revogada que estava marcada como "sensitiva". O padrão é não.
- export-reset-subkey-passwd :: Quando usar o comando --export-secret-subkeys, essa opção redefine as senhas para todas as sub-chaves exportadas para vazio. Isso é útil quando a sub-chave exportada é usada em máquinas autônomas onde a senha não precisa necessariamente fazer sentido. O padrão é não.
- export-clean :: Compacta (remove todas as assinaturas) IDs de usuário nas chaves sendo exportadas se as IDs não são usáveis. Também não exporta assinaturas que não são usáveis. Isso inclui assinaturas que foram geradas pelas chaves que não estão presentes no chaveiro. Essa opção é a mesma do comando --edit-key "limpo" antes da exportação, exceto que a cópia local da chave não é modificada. O padrão é não.
- export-minimal :: Exporta a menor chave possível. Isso remove todas as assinaturas, exceto a mais recente auto-assinatura em cada ID de usuário. Essa opção é a mesma do comando ---edit-key "minimize" após a importação. Exceto que a cópia local da chave não é modificada. O padrão é não.
--with-colons :: Imprime listagens de chave delimitadas por dois pontos. Note que a saída será codificada em UTF-8 sem levar em conta qualquer configuração --display-charset. Esse formato é útil quando o GnuPG é chamado de scripts e outros programas pois é facilmente analisado pela máquina. Os detalhes desse formato estão documentados no arquivo "
doc/DETAILS", que está incluído na distribuição de código do GnuPG.
--fixed-list-mode :: Não misture ID de usuário primário e chave primária no modo de listagem --with-colon e imprima todos os timestamps como segundos desde 01-01-1970.
--with-fingerprint :: O mesmo que o comando --fingerprint, mudando apenas o formato de saída e pode ser usado junto com outro comando.
Opções específicas do protocolo OpenPGP
-t,
--textmode,
--no-textmode :: Trata arquivos de entrada como texto e os armazena na forma de texto canônico do OpenPGP com o padrão de quebra de linha "CRLF". Isso também define os flags necessários para informar o recipiente que os dados criptografados ou assinados são texto e podem precisar de quebras de linha convertidas para o padrão que o sistema usa. Essa opção é útil para se comunicar entre duas plataformas que utilizam diferentes convenções de quebra de linha (sistemas UNIX para Mac, Mac para Windows, etc). --no-textmode desabilita essa opção e é o padrão.
Se -t (mas não --textmode) é usando junto com armoring e assinatura, isso habilita mensagens clearsigned. Esse "tapa-buracos" é necessário para a compatibilidade entre versões de linhas de comando do PGP; normalmente você iria usar --sign ou --clearsign para selecionar o tipo de assinatura.
--force-v3-sigs,
--no-force-v3-sigs :: OpenPGP afirma que uma implementação deveria gerar assinaturas v4, mas as versões PGP de 5 a 7 apenas reconhecem assinaturas v4 nas chaves materiais. Essa opção força assinaturas v3 para assinaturas em dados. Note que essa opção implica em --ask-sig-expire, --sig-policy-url, --sig-notation e --sig-keyserver-url, uma vez que essas características não podem ser usadas com assinaturas v3. --no-force-v3-sigs desabilita essa opção.
--force-v4-certs,
--no-force-v4-certs :: Sempre use assinaturas de chave v4 até mesmo com chaves v3. Essa opção também muda o algoritmo de hash padrão de chave RSA v3 de MD5 para SHA-1. --no- force-v4-certs desabilita essa opção.
--force-mdc :: Força o uso de criptografia com um código de detecção de modificações. Isso é sempre usado em processadores novos (aqueles com tamanho de bloco maior que 64 bits), ou se todas as chaves do destinatário indica suporte ao MDC em seus flags de características.
--disable-mdc :: Desabilita o uso do código de detecção de modificação. Note que usando essa opção, as mensagens criptografadas podem se tornar vulneráveis a um ataque de modificação de mensagem.
--personal-cipher-preferences string :: Define a lista de preferências de cifras pessoais para string. Use gpg --version para ter acesso à lista de algoritmos disponíveis e use nenhum para não definir preferências. Isso permite ao usuário sobrescrever o algoritmo escolhido pelas preferências de chaves destinatários com segurança, como GPG irá apenas selecionar um algoritmo que será usado por todos os destinatários. A cifra mais bem classificada nessa lista também será usada no comando --symmetric encryption.
--personal-digest-preferences string :: Define a lista de preferências de síntese pessoais para string. Use gpg --version para ter acesso a uma lista de algoritmo disponíveis e use nenhum para não definir preferências. Isso permite ao usuário sobrescrever o algoritmo escolhido pelas preferências de chaves destinatários com segurança, como GPG irá apenas selecionar um algoritmo que será usado por todos os destinatários. O algoritmo de síntese mais bem classificado nessa lista também será usado com assinaturas sem criptografia (e.g. --clearsign ou --sign). O valor padrão é SHA-1.
--personal-compress-preferences string :: Define a lista de preferências de compressão pessoal para string. Use gpg --version para ter acesso a uma lista de algoritmo disponíveis e use nenhum para não definir preferências. Isso permite ao usuário sobrescrever o algoritmo escolhido pelas preferências de chaves destinatários com segurança, como GPG irá apenas selecionar um algoritmo que será usado por todos os destinatários. O algoritmo de síntese mais bem classificado nessa lista também será usado quando não há assinaturas de destinatários para se considerar (ex. --symmetric).
--s2k-cipher-algo name :: Usa o nome como o algoritmo de criptografia usado para proteger as chaves secretas. A cifra padrão é CAST5. Esta codificação é usada também para convencional criptografia se --personal-cipher-preferences e --cipher-algo não é dado.
--s2k-digest-algo name :: Usa nome como o algoritmo digest usado para deformar as senhas. O algoritmo padrão é o SHA-1.
--s2k-mode n :: Seleciona como senhas são deformadas. Se n é 0 uma senha plana (que não é recomendada) será usada, um 1 adiciona um "sal" à senha e um 3 (o padrão) itera o processo inteiro um grande número de vezes (veja --s2k-count). A não ser que --rfc1991 seja usado, esse modo é também usado para criptografia convencional.
--s2k-count n :: Especifica quantas vezes a deformação da senha é repetida. Esse valor pode variar entre 1024 e 65011712 inclusive e o padrão é 65536. Note que nem todos os valores no intervalo 1024-65011712 são legais e se um valor ilegal é selecionado, o GnuPG irá arredondar para o valor maior legal mais próximo. Essa opção tem sentido apenas se --s2k-mode é igual a 3.