Auf dieser Seite werden Optionen, Kommandos und Zusatzinformationen dokumentiert, die für die normale Verwendung von GnuPG und Anwendung der Verfahren und Kommandos, die bereits in der Anleitung beschrieben wurden, nicht unbedingt notwendig sind, aber für spezielle Zwecke und Problemstellungen nützlich sind, zur Vergrößerung des Know-Hows beitragen oder weitere Anwendungsmöglichkeiten aufzeigen.

• Anzeigen
• Schlüsselmanagement
• Pflege der Vertrauens-Datenbank
• Besondere Kommandos zur Verschlüsselung und Signierung
• OpenPGP Smartcard
• Kommandos bei Problemem
• Verschiedenes

In der Anzeige des öffentlichen Schlüssels mit gpg --list-keys oder --list-sigs können folgende Abkürzungen enthalten sein:

pub Hauptsignierschlüssel
sub Unterschlüssel zur Verschlüsselung (und Signierung)
sig Zertifikate
sig L lokale Zertifikate
sig N Zertifikat ist mit Anmerkung versehen
sig P Zertifikat ist mit Beglaubigungsrichtlinie nach "URL" (Policy-URL) versehen
sig X Zertifikat ist verfallen
sig R Schlüssel ist mit einem "designated revoker" versehen
sig R Zertifikat ist nicht-zurückziehbar
sig 3 Zertifikat mit check-level 3
sig 2 Zertifikat mit check-level 2
sig 1 Zertifikat mit check-level 1
sig Zertifikat mit check-level 0
uid zertifizierte User-ID
rev zurückgezogener Schlüssel oder zurückgezogenes Zertifikat
D DSA Schlüssel
g Elgamal Schlüssel
R RSA Schlüssel

In der Anzeige des privaten Schlüssels mit gpg --list-secret-keys Key-ID können folgende Abkürzungen enthalten sein:

sec Hauptsignierschlüssel
ssb Unterschlüssel

In der Anzeige nach Überprüfung von Zertifikaten mit gpg --check-sigs Key-ID können folgende Abkürzungen enthalten sein:

sig ! korrekte Signatur
sig - falsche Signatur
sig % Fehler

Sollen Daten oder Schlüssel nicht nur signiert, bzw. zertifiziert werden, sondern die Signaturen und Zertifikate zusätzlich Anmerkungen erhalten, müssen folgende Optionen in der gpg.conf gesetzt werden. Die Optionen setzen die Verwendung von Signaturen und Zertifikaten im v4 Format mit der Option no-force-v3-sigs voraus, bei Kommunikation mit PGP 7.0.3 Anwendern zusätzlich --textmode. Die Signaturen sind von Anwendern von PGP < 7.0.3 nicht zu verifizieren.

Für Schlüsselzertifikate
cert-notation name=Anmerkung

Für Datensignaturen
sig-notation name=Anmerkung

Gemeinsam für Schlüsselzertifikate und Datensignaturen
set-notation name=Anmerkung

Die Variable name muss dabei eine eindeutige Kennung und ein @ enthalten. Abgleitet von der E-Mail Adresse der User-ID username@host.domain.tld wird für den Wert von name deshalb folgende Syntax verwendet: kennung_username@host.domain.tld

Beispiel: cert-notation D6E995A0_kairaven@arcor.de=Zertifikat nach persönlicher Überprüfung ausgestellt

Der vollständige Befehl:

gpg --cert-notation D6E995A0_kairaven@arcor.de="das ist meine Anmerkung zum Zertifikat" --sign-key Schlüssel-ID

Sollen andere GnuPG Anwender informiert werden, nach welchen Bedingungen und Regeln man Schlüssel zertifiziert und Daten signiert, kann den Signaturen und Zertifikaten eine Adresse beigefügt werden, über die man Zertifikat- und Signaturrichtlinien einsehen kann. Dazu müssen folgende Optionen in der gpg.conf gesetzt werden:

Für Zertifikatrichlinien
cert-policy-url adresse

Für Signaturrichtlinien
sig-policy-url adresse

Für eine gemeinsame Zertifikat- und Signaturrichtlinie
set-policy-url adresse

Beispiel: cert-policy-url http://meine.web.site/keyid_certpolicy.html

sig-keyserver-url Schlüsselserveradresse/URL

Beispiele:

sig-keyserver-url x-hkp://minsky.surfnet.nl
sig-keyserver-url http://hp.kairaven.de/files/kraven.asc

Variablen, die für Anmerkungen und Adressen verwendet werden können:

%s - kurze Key-ID des Hauptsignierschlüssels, mit dem zertifiziert/signiert wird
%S - lange Key-ID des Hauptsignierschlüssels, mit dem zertifiziert/signiert wird
%g - Fingerprint des Schlüssels, mit dem zertifiziert wird
%p - Fingerprint des Hauptsignierschlüssels, mit dem zertifiziert wird
%k - kurze Key-ID des öffentlichen Schlüssels, der zertifiziert wird
%K - lange Key-ID des öffentlichen Schlüssels, der zertifiziert wird
%f  - Fingerprint des öffentlichen Schlüssels, der zertifiziert wird

Schlüssel, bei denen mit einer GnuPG Version < 1.4.3 ein Unterschlüssel zur Signierung / Zertifizierung erstellt wurde, sollten zur Abwendung eines Angriffs und korrekten Verifizierung von Signaturen nachträglich "cross-zertifiziert" werden. Bei dem Vorgang wird mit dem Signierunterschlüssel der Hauptsignierschlüssel gegenzertifiziert:

gpg --edit-key Schlüsselkennung
cross-certify

Als Anwender, der Signaturen von Untersignierschlüsseln überprüft, sollte man in die gpg.conf die Option require-cross-certification einfügen. Nähere Informationen findet man auf der Seite Signing Subkey Cross-Certification.

Mit dem Präfix -no-parameter zu einem Parameter der --[export|import]-options wird der Parameter deaktiviert.
Mehrere Parameter können, getrennt durch ein Leerzeichen, hinter die einmalige Nennung der Option aneinander gereiht werden.

lokale Zertifikate einbeziehen
--export-options include-local-sigs

Standard: Inaktiv

nicht verwertbare Zertifikate und User-IDs (z. B. abgelaufen, zurückgezogen, doppelt, veraltet) beim Export ausschließen
--export-options export-clean

Standard: Inaktiv, gütltige Eigenzertifikate bleiben in jedem Fall erhalten

nicht verwertbare User-IDs sowie alle fremden Zertifikate beim Export ausschließen
--export-options export-minimal

Attribut User-IDs (wie Foto-ID) einbeziehen
--export-options include-attributes

Standard: Aktiv

Informationen zum "designated revoker" einbeziehen
--export-options include-sensitive-revkeys

Standard: Inaktiv

Import lokaler Zertifikate
--import-options allow-local-sigs

Standard: Inaktiv

PKS Schlüsselserverfehler beheben, der bei mehrfachen Unterschlüsseln auftritt
--import-options repair-pks-subkey-bug

Standard: Inaktiv

nicht verwertbare Zertifikate und User-IDs (z. B. abgelaufen, zurückgezogen, doppelt, veraltet) beim Import ausschließen
--import-options import-clean

Standard: Inaktiv, gütltige Eigenzertifikate bleiben in jedem Fall erhalten

alle fremden Zertifikate beim Import ausschließen
--import-options import-minimal

Mit dem Präfix -no-parameter zu einem Parameter der --keyserver-options wird der Parameter deaktiviert.
Mehrere Parameter können, getrennt durch ein Leerzeichen, hinter die einmalige Nennung der Option aneinander gereiht werden.

zurückgezogene Schlüssel werden bei Schlüsselsuchen einbezogen
--keyserver-options include-revoked

Standard: Aktiv

deaktivierte Schlüssel werden bei Schlüsselsuchen einbezogen
--keyserver-options include-disabled

wird mit HKP Servern nicht verwendet

Schlüssel per Unterschlüssel Key-ID suchen
--keyserver-options include-subkeys

wird mit HKP Servern nicht verwendet

temporäre Dateien statt Pipes bei Schlüsselserverkommunikation benutzen
--keyserver-options use-temp-files

temporäre Dateien nicht löschen
--keyserver-options keep-temp-files

HTTP-Proxy bei HKP Schlüsselservern benutzen
--keyserver-options http-proxy[=Proxyadresse:Port]

ohne Angabe der Proxyadresse wird die http_proxy Umgebungsvariable ausgewertet

Anonyme Schlüsselsuche bei HKP Schlüsselservern
--keyserver-options http-proxy=http://127.0.0.1:8118/ broken-http-proxy

Setzt die Installation des Filterproxys Privoxy und des Anonproxys Tor voraus. Siehe Sicher und anonym im Internet mit Proxys.

n Sekunden Timeout bis zum Verbindungsabbruch zum Schlüsselserver festlegen
--keyserver-options timeout n

Automatischer Schlüsseldownload bei fehlenden Schlüsseln, deren Signatur überprüft wird
--keyserver-options auto-key-retrieve

Berücksichtigung der Schlüsselserver-Präferenz des Schlüsselinhabers für den automatischen Schlüsseldownload und die Aktualisierung von Schlüsseln per Schlüsselserver
--keyserver-options honor-keyserver-url

Ausführliche Ausgaben zur Kommunikation mit Schlüsselservern
--keyserver-options verbose [verbose verbose]

Einen oder mehrere Schlüssel mit aktuellen User-IDs und Zertifikaten aktualisieren.
gpg [--keyserver Adresse] --refresh-keys Key-ID [Key-ID2 Key-IDn]

Owner Trust für Backup sichern
gpg --export-ownertrust > otrust.asc

Owner Trust importieren
gpg --import-ownertrust otrust.asc

Trust Datenbank aktualisieren
(mit manueller Zuordnung von Trustgraden zu Schlüsseln ohne Owner Trust)
gpg --update-trustdb

Trust Datenbank aktualisieren
(unbeaufsichtigt mit Umgehung von Schlüsseln ohne Owner Trust)
gpg --check-trustdb

gpg -cer Key-ID datei.ext
Langform: gpg --symmetric --encrypt --recipient Key-ID datei.ext

Das Kommando verschlüsselt zugleich mit dem öffentlichen Schlüssel der angeggebenen Key-ID und symmetrisch mit einer Passphrase.

gpg -cer Key-ID -s datei.ext
Langform: gpg --symmetric --encrypt --recipient Key-ID --sign datei.ext

Das Kommando verschlüsselt zugleich mit dem öffentlichen Schlüssel der angegeben Key-ID, symmetrisch mit einer Passphrase und die Daten werden signiert.

Um eine auf diese Weise verschlüsselte Datei direkt symmetrisch ohne privaten Schlüssel zu entschlüsseln:

gpg -o datei.ext --decrypt datei.ext.asc

Um eine auf diese Weise verschlüsselte Datei mit beiden Methoden zu entschlüsseln:

gpg datei.ext.asc

Zur Entschlüsselung wird zunächst die Passphrase des privaten Schlüssels erfragt, wenn das entsprechende Schlüsselpaar vorhanden ist. Erst wenn dreimalig die Passphrase des privaten Schlüssels nicht eingegeben wurde, erfolgt die Abfrage der Passphrase zur symmetrischen Entschlüsselung.

gpg --throw-keyids --no-comments --no-emit-version -ae --hidden-recipient Key-ID datei.ext

Das Kommando unterdrückt alle Angaben zu Key-IDs, User-IDs, Kommentaren und verwendeten GnuPG Version.

gpg --for-your-eyes-only -aer Key-ID datei.ext

Bei der Entschlüsselung wird bei PGP der Secure Viewer verwendet, bei GnuPG wird die entschlüsselte Datei nur mit der Option --output dateiname gespeichert.

gpg -o datei.ext --passphrase-fd 0 --decrypt datei.ext.asc < paassphrase.txt

gpg -ao datei.ext.asc --passphrase-fd 0 -st datei.ext < passphrase.txt

Für Informationen zur Nutzung einer OpenPGP Smartcard siehe:

• gnupg.org
  How to use the Fellowship Smartcard - The GnuPG Smartcard HOWTO
• g10 Code
  The OpenPGP Card

Achtung: Die "Probleme" könnten auch darauf hindeuten, dass Schlüssel oder verschlüsselten Daten manipuliert wurden.

Durch falsche Konfiguration der Zeiteinstellungen können Signaturen auftreten, deren Zeitstempel nicht zum Zeitstempel des zugehörigen Schlüssels passen, z. B. erscheint die Signatur älter zu sein, als das Erstellungsdatum des Schlüssels. Um in diesem Fall nur eine Warnung zu generieren:

--ignore-time-conflict

Zur Verschlüsselung auch Unterschlüssel zulassen, deren Erstellungsdatum in der Zukunft liegt:

--ignore-valid-from

ASCII-Hüllen um Nachrichten können bei der Übertragung beschädigt werden, was auch die CRC Prüfsumme der ASCII-Hülle verändert und GnuPG veranlasst, eine Entschlüsselung abzubrechen. Um CRC Fehler zu ignorieren:

--ignore-crc-errors

Mit dem MDC wird eine Nachricht vor Manipulation geschützt. Weist der Schutz Fehler auf, bricht GnuPG mit einer Fehlermeldung ab. Um nur eine Warnung auszugeben:

--ignore-mdc-errors

gpg --print-md ALGO Datei(en) > name.md
ALGO = MD5|SHA1|RIPEMD160|SHA256[|SHA384|SHA512]

gpg --print-mds Datei(en) > name.mds

photo-viewer Programm String

Stringvariablen:

%i - temporäre Bilddatei
%I - temporäre Bilddatei, die nach Anzeige nicht gelöscht wird
%k - Key-ID
%K - lange Key-ID
%f - Fingerprint
%t - Extension des Bildtyps (z. B. "jpg")
%T - MIME Typ des Bildes (z.B. "image/jpeg")
%% - Prozentzeichen

Die Größe des entschlüsselten Ciphertextes ist aufgrund der eingesetzten Kompression des Klartextes um ein Vielfaches größer. Mit dieser Option wird die maximale Outputgröße an entschlüsseltem Klartext in Bytes festgelegt, die GnuPG erzeugen darf:

max-output bytes