* gpg.sgml: Document backsign, --require-backsigs, and
[gnupg.git] / doc / gpg.sgml
index ee8a304..39b4427 100644 (file)
@@ -565,6 +565,14 @@ that is no longer usable (e.g. revoked, or expired).
 If invoked with no arguments, both `sigs' and `uids' are cleaned.
 </para></listitem></varlistentry>
 
+<varlistentry>
+<term>backsign</term>
+<listitem></para>
+Add back signatures to signing subkeys that may not currently have
+back signatures.  Back signatures protect against a subtle attack
+against signing subkeys.  See --require-backsigs.
+</para></listitem></varlistentry>
+
     <varlistentry>
     <term>save</term>
     <listitem><para>
@@ -2713,6 +2721,17 @@ handing out the secret key.
 </para></listitem></varlistentry>
 
 <varlistentry>
+<term>--require-backsigs</term>
+<term>--no-require-backsigs</term>
+<listitem><para>
+When verifying a signature made from a subkey, ensure that the "back
+signature" on the subkey is present and valid.  This protects against
+a subtle attack against subkeys that can sign.  Currently defaults to
+--no-require-backsigs, but will be changed to --require-backsigs in
+the future.
+</para></listitem></varlistentry>
+
+<varlistentry>
 <term>--ask-sig-expire</term>
 <term>--no-ask-sig-expire</term>
 <listitem><para>