Allow generation of DSA2 keys without --enable-dsa2.
[gnupg.git] / doc / gpg.texi
index f5cc84e..5540ba2 100644 (file)
@@ -1,5 +1,5 @@
-@c Copyright (C) 1998, 1999, 2000, 2001, 2002, 2003, 2004, 2005
-@c               2006 Free Software Foundation, Inc.
+@c Copyright (C) 1998, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2006, 2007,
+@c               2008, 2009 Free Software Foundation, Inc.
 @c This is part of the GnuPG manual.
 @c For copying conditions, see the file gnupg.texi.
 
 @c This is part of the GnuPG manual.
 @c For copying conditions, see the file gnupg.texi.
 
@@ -113,7 +113,7 @@ Developer information:
 @node GPG Commands
 @section Commands
 
 @node GPG Commands
 @section Commands
 
-Commands are not distinguished from options execpt for the fact that
+Commands are not distinguished from options except for the fact that
 only one command is allowed.
 
 @command{@gpgname} may be run with no commands, in which case it will
 only one command is allowed.
 
 @command{@gpgname} may be run with no commands, in which case it will
@@ -149,7 +149,7 @@ cannot abbreviate this command.
 @itemx -h
 @opindex help
 Print a usage message summarizing the most useful command line options.
 @itemx -h
 @opindex help
 Print a usage message summarizing the most useful command line options.
-Not that you cannot abbreviate this command.
+Note that you cannot abbreviate this command.
 
 @item --warranty
 @opindex warranty
 
 @item --warranty
 @opindex warranty
@@ -175,18 +175,23 @@ abbreviate this command.
 @itemx -s
 @opindex sign
 Make a signature. This command may be combined with @option{--encrypt}
 @itemx -s
 @opindex sign
 Make a signature. This command may be combined with @option{--encrypt}
-(for a signed and encrypted message), @option{--symmetric} (for a signed
-and symmetrically encrypted message), or @option{--encrypt} and
+(for a signed and encrypted message), @option{--symmetric} (for a
+signed and symmetrically encrypted message), or @option{--encrypt} and
 @option{--symmetric} together (for a signed message that may be
 @option{--symmetric} together (for a signed message that may be
-decrypted via a secret key or a passphrase).
+decrypted via a secret key or a passphrase).  The key to be used for
+signing is chosen by default or can be set with the
+@option{--local-user} and @option{--default-key} options.
 
 @item --clearsign
 @opindex clearsign
 
 @item --clearsign
 @opindex clearsign
-Make a clear text signature. The content in a clear text signature is
-readable without any special software. OpenPGP software is only
-needed to verify the signature. Clear text signatures may modify
-end-of-line whitespace for platform independence and are not intended
-to be reversible.
+Make a clear text signature.  The content in a clear text signature is
+readable without any special software. OpenPGP software is only needed
+to verify the signature.  Clear text signatures may modify end-of-line
+whitespace for platform independence and are not intended to be
+reversible.  The key to be used for signing is chosen by default or
+can be set with the @option{--local-user} and @option{--default-key}
+options.
+
 
 @item --detach-sign
 @itemx -b
 
 @item --detach-sign
 @itemx -b
@@ -221,8 +226,8 @@ Store only (make a simple RFC1991 literal data packet).
 @item --decrypt
 @itemx -d
 @opindex decrypt
 @item --decrypt
 @itemx -d
 @opindex decrypt
-Decrypt the file given on the command line (or @code{stdin} if no file
-is specified) and write it to stdout (or the file specified with
+Decrypt the file given on the command line (or STDIN if no file
+is specified) and write it to STDOUT (or the file specified with
 @option{--output}). If the decrypted file is signed, the signature is also
 verified. This command differs from the default operation, as it never
 writes to the filename which is included in the file and it rejects
 @option{--output}). If the decrypted file is signed, the signature is also
 verified. This command differs from the default operation, as it never
 writes to the filename which is included in the file and it rejects
@@ -232,19 +237,19 @@ files which don't begin with an encrypted message.
 @opindex verify
 Assume that the first argument is a signed file or a detached signature
 and verify it without generating any output. With no arguments, the
 @opindex verify
 Assume that the first argument is a signed file or a detached signature
 and verify it without generating any output. With no arguments, the
-signature packet is read from stdin. If only a sigfile is given, it may
+signature packet is read from STDIN. If only a sigfile is given, it may
 be a complete signature or a detached signature, in which case the
 signed stuff is expected in a file without the ".sig" or ".asc"
 extension.  With more than 1 argument, the first should be a detached
 signature and the remaining files are the signed stuff. To read the
 be a complete signature or a detached signature, in which case the
 signed stuff is expected in a file without the ".sig" or ".asc"
 extension.  With more than 1 argument, the first should be a detached
 signature and the remaining files are the signed stuff. To read the
-signed stuff from stdin, use @samp{-} as the second filename.  For
+signed stuff from STDIN, use @samp{-} as the second filename.  For
 security reasons a detached signature cannot read the signed material
 security reasons a detached signature cannot read the signed material
-from stdin without denoting it in the above way.
+from STDIN without denoting it in the above way.
 
 @item --multifile
 @opindex multifile
 This modifies certain other commands to accept multiple files for
 
 @item --multifile
 @opindex multifile
 This modifies certain other commands to accept multiple files for
-processing on the command line or read from stdin with each filename on
+processing on the command line or read from STDIN with each filename on
 a separate line. This allows for many files to be processed at
 once. @option{--multifile} may currently be used along with
 @option{--verify}, @option{--encrypt}, and @option{--decrypt}. Note that
 a separate line. This allows for many files to be processed at
 once. @option{--multifile} may currently be used along with
 @option{--verify}, @option{--encrypt}, and @option{--decrypt}. Note that
@@ -291,6 +296,10 @@ secret key is not usable (for example, if it was created via
 @item --list-sigs
 @opindex list-sigs
 Same as @option{--list-keys}, but the signatures are listed too.
 @item --list-sigs
 @opindex list-sigs
 Same as @option{--list-keys}, but the signatures are listed too.
+@ifclear gpgone
+This command has the same effect as 
+using @option{--list-keys} with @option{--with-sig-list}.
+@end ifclear
 
 For each signature listed, there are several flags in between the "sig"
 tag and keyid. These flags give additional information about each
 
 For each signature listed, there are several flags in between the "sig"
 tag and keyid. These flags give additional information about each
@@ -307,7 +316,31 @@ command "tsign").
 
 @item --check-sigs
 @opindex check-sigs
 
 @item --check-sigs
 @opindex check-sigs
-Same as @option{--list-sigs}, but the signatures are verified.
+Same as @option{--list-sigs}, but the signatures are verified.  Note
+that for performance reasons the revocation status of a signing key is
+not shown.
+@ifclear gpgone
+This command has the same effect as 
+using @option{--list-keys} with @option{--with-sig-check}.
+@end ifclear
+
+The status of the verification is indicated by a flag directly following
+the "sig" tag (and thus before the flags described above for
+@option{--list-sigs}).  A "!" indicates that the signature has been
+successfully verified, a "-" denotes a bad signature and a "%" is used
+if an error occured while checking the signature (e.g. a non supported
+algorithm).
+
+@ifclear gpgone
+@item --locate-keys
+@opindex locate-keys
+Locate the keys given as arguments.  This command basically uses the
+same algorithm as used when locating keys for encryption or signing and
+may thus be used to see what keys @command{@gpgname} might use.  In
+particular external methods as defined by @option{--auto-key-locate} may
+be used to locate a key.  Only public keys are listed.
+@end ifclear
+
 
 @item --fingerprint
 @opindex fingerprint
 
 @item --fingerprint
 @opindex fingerprint
@@ -361,7 +394,7 @@ removed first. In batch mode the key must be specified by fingerprint.
 @opindex export
 Either export all keys from all keyrings (default keyrings and those
 registered via option @option{--keyring}), or if at least one name is given,
 @opindex export
 Either export all keys from all keyrings (default keyrings and those
 registered via option @option{--keyring}), or if at least one name is given,
-those of the given name. The new keyring is written to stdout or to the
+those of the given name. The new keyring is written to STDOUT or to the
 file given with option @option{--output}. Use together with
 @option{--armor} to mail those keys.
 
 file given with option @option{--output}. Use together with
 @option{--armor} to mail those keys.
 
@@ -392,7 +425,7 @@ Import/merge keys. This adds the given keys to the
 keyring. The fast version is currently just a synonym.
 
 There are a few other options which control how this command works.
 keyring. The fast version is currently just a synonym.
 
 There are a few other options which control how this command works.
-Most notable here is the @option{--keyserver-options merge-only} option
+Most notable here is the @option{--import-options merge-only} option
 which does not insert new keys but does only the merging of new
 signatures, user-IDs and subkeys.
 
 which does not insert new keys but does only the merging of new
 signatures, user-IDs and subkeys.
 
@@ -454,14 +487,14 @@ a check is needed. To force a run even in batch mode add the option
 
 @item --export-ownertrust
 @opindex export-ownertrust
 
 @item --export-ownertrust
 @opindex export-ownertrust
-Send the ownertrust values to stdout. This is useful for backup purposes
+Send the ownertrust values to STDOUT. This is useful for backup purposes
 as these values are the only ones which can't be re-created from a
 corrupted trust DB.
 
 @item --import-ownertrust
 @opindex import-ownertrust
 Update the trustdb with the ownertrust values stored in @code{files} (or
 as these values are the only ones which can't be re-created from a
 corrupted trust DB.
 
 @item --import-ownertrust
 @opindex import-ownertrust
 Update the trustdb with the ownertrust values stored in @code{files} (or
-stdin if not given); existing values will be overwritten.
+STDIN if not given); existing values will be overwritten.
 
 @item --rebuild-keydb-caches
 @opindex rebuild-keydb-caches
 
 @item --rebuild-keydb-caches
 @opindex rebuild-keydb-caches
@@ -472,7 +505,7 @@ situations too.
 @item --print-md @code{algo}
 @itemx --print-mds
 @opindex print-md
 @item --print-md @code{algo}
 @itemx --print-mds
 @opindex print-md
-Print message digest of algorithm ALGO for all given files or stdin.
+Print message digest of algorithm ALGO for all given files or STDIN.
 With the second form (or a deprecated "*" as algo) digests for all
 available algorithms are printed.
 
 With the second form (or a deprecated "*" as algo) digests for all
 available algorithms are printed.
 
@@ -721,13 +754,24 @@ preferred keyserver and signature notations (if any) are shown.
 Set the list of user ID preferences to @code{string} for all (or just
 the selected) user IDs. Calling setpref with no arguments sets the
 preference list to the default (either built-in or set via
 Set the list of user ID preferences to @code{string} for all (or just
 the selected) user IDs. Calling setpref with no arguments sets the
 preference list to the default (either built-in or set via
-@option{--default-preference-list}), and calling setpref with "none" as
-the argument sets an empty preference list. Use @command{@gpgname
+@option{--default-preference-list}), and calling setpref with "none"
+as the argument sets an empty preference list. Use @command{@gpgname
 --version} to get a list of available algorithms. Note that while you
 can change the preferences on an attribute user ID (aka "photo ID"),
 GnuPG does not select keys via attribute user IDs so these preferences
 will not be used by GnuPG.
 
 --version} to get a list of available algorithms. Note that while you
 can change the preferences on an attribute user ID (aka "photo ID"),
 GnuPG does not select keys via attribute user IDs so these preferences
 will not be used by GnuPG.
 
+When setting preferences, you should list the algorithms in the order
+which you'd like to see them used by someone else when encrypting a
+message to your key.  If you don't include 3DES, it will be
+automatically added at the end.  Note that there are many factors that
+go into choosing an algorithm (for example, your key may not be the
+only recipient), and so the remote OpenPGP application being used to
+send to you may or may not follow your exact chosen order for a given
+message.  It will, however, only choose an algorithm that is present
+on the preference list of every recipient key.  See also the
+INTEROPERABILITY WITH OTHER OPENPGP PROGRAMS section below.
+
 @item keyserver
 @opindex keyedit:keyserver
 Set a preferred keyserver for the specified user ID(s). This allows
 @item keyserver
 @opindex keyedit:keyserver
 Set a preferred keyserver for the specified user ID(s). This allows
@@ -868,7 +912,7 @@ encountered, you can explicitly stop parsing by using the special option
 @node GPG Configuration Options
 @subsection How to change the configuration
 
 @node GPG Configuration Options
 @subsection How to change the configuration
 
-These options are used to change the configuraton and are usually found
+These options are used to change the configuration and are usually found
 in the option file.
 
 @table @gnupgtabopt
 in the option file.
 
 @table @gnupgtabopt
@@ -908,6 +952,33 @@ Reset verbose level to 0.
 @opindex quiet
 Try to be as quiet as possible.
 
 @opindex quiet
 Try to be as quiet as possible.
 
+@item --batch
+@itemx --no-batch
+@opindex batch
+@opindex no-batch
+Use batch mode.  Never ask, do not allow interactive commands.
+@option{--no-batch} disables this option.  Note that even with a
+filename given on the command line, gpg might still need to read from
+STDIN (in particular if gpg figures that the input is a
+detached signature and no data file has been specified).  Thus if you
+do not want to feed data via STDIN, you should connect STDIN to
+@file{/dev/null}.
+
+@item --no-tty
+@opindex no-tty
+Make sure that the TTY (terminal) is never used for any output.
+This option is needed in some cases because GnuPG sometimes prints
+warnings to the TTY even if @option{--batch} is used.
+
+@item --yes
+@opindex yes
+Assume "yes" on most questions.
+
+@item --no
+@opindex no
+Assume "no" on most questions.
+
+
 @item --list-options @code{parameters}
 @opindex list-options
 This is a space or comma delimited string that gives options used when
 @item --list-options @code{parameters}
 @opindex list-options
 This is a space or comma delimited string that gives options used when
@@ -1003,6 +1074,11 @@ the signature. Defaults to no.
 Show revoked and expired user IDs during signature verification.
 Defaults to no.
 
 Show revoked and expired user IDs during signature verification.
 Defaults to no.
 
+@item show-primary-uid-only
+Show only the primary user ID during signature verification.  That is
+all the AKA lines as well as photo Ids are not shown with the signature
+verification status.
+
 @item pka-lookups
 Enable PKA lookups to verify sender addresses. Note that PKA is based
 on DNS, and so enabling this option may disclose information on when
 @item pka-lookups
 Enable PKA lookups to verify sender addresses. Note that PKA is based
 on DNS, and so enabling this option may disclose information on when
@@ -1017,10 +1093,10 @@ validation. This option is only meaningful if pka-lookups is set.
 
 @item --enable-dsa2
 @itemx --disable-dsa2
 
 @item --enable-dsa2
 @itemx --disable-dsa2
-Enables new-style DSA keys which (unlike the old style) may be larger
-than 1024 bit and use hashes other than SHA-1 and RIPEMD/160. Note
-that very few programs currently support these keys and signatures
-from them.
+Enable hash truncation for all DSA keys even for old DSA Keys up to
+1024 bit.  This is also the default with @option{--openpgp}.  Note
+that older versions of GnuPG also required this flag to allow the
+generation of DSA larger than 1024 bit.
 
 @item --photo-viewer @code{string}
 This is the command line that should be run to view a photo ID. "%i"
 
 @item --photo-viewer @code{string}
 This is the command line that should be run to view a photo ID. "%i"
@@ -1033,7 +1109,7 @@ and "%%" for an actual percent sign. If neither %i or %I are present,
 then the photo will be supplied to the viewer on standard input.
 
 The default viewer is "xloadimage -fork -quiet -title 'KeyID 0x%k'
 then the photo will be supplied to the viewer on standard input.
 
 The default viewer is "xloadimage -fork -quiet -title 'KeyID 0x%k'
-stdin". Note that if your image viewer program is not secure, then
+STDIN". Note that if your image viewer program is not secure, then
 executing it from GnuPG does not make it secure.
 
 @item --exec-path @code{string}
 executing it from GnuPG does not make it secure.
 
 @item --exec-path @code{string}
@@ -1076,18 +1152,23 @@ not used).
 @include opt-homedir.texi
 
 
 @include opt-homedir.texi
 
 
+@ifset gpgone
 @item --pcsc-driver @code{file}
 Use @code{file} to access the smartcard reader. The current default is
 `libpcsclite.so.1' for GLIBC based systems,
 `/System/Library/Frameworks/PCSC.framework/PCSC' for MAC OS X,
 `winscard.dll' for Windows and `libpcsclite.so' for other systems.
 @item --pcsc-driver @code{file}
 Use @code{file} to access the smartcard reader. The current default is
 `libpcsclite.so.1' for GLIBC based systems,
 `/System/Library/Frameworks/PCSC.framework/PCSC' for MAC OS X,
 `winscard.dll' for Windows and `libpcsclite.so' for other systems.
+@end ifset
 
 
+@ifset gpgone
 @item --disable-ccid
 Disable the integrated support for CCID compliant readers. This
 allows to fall back to one of the other drivers even if the internal
 CCID driver can handle the reader. Note, that CCID support is only
 available if libusb was available at build time.
 @item --disable-ccid
 Disable the integrated support for CCID compliant readers. This
 allows to fall back to one of the other drivers even if the internal
 CCID driver can handle the reader. Note, that CCID support is only
 available if libusb was available at build time.
+@end ifset
 
 
+@ifset gpgone
 @item --reader-port @code{number_or_string}
 This option may be used to specify the port of the card terminal. A
 value of 0 refers to the first serial device; add 32768 to access USB
 @item --reader-port @code{number_or_string}
 This option may be used to specify the port of the card terminal. A
 value of 0 refers to the first serial device; add 32768 to access USB
@@ -1095,12 +1176,13 @@ devices. The default is 32768 (first USB device). PC/SC or CCID
 readers might need a string here; run the program in verbose mode to get
 a list of available readers. The default is then the first reader
 found.
 readers might need a string here; run the program in verbose mode to get
 a list of available readers. The default is then the first reader
 found.
+@end ifset
 
 @item --display-charset @code{name}
 Set the name of the native character set. This is used to convert
 some informational strings like user IDs to the proper UTF-8 encoding.
 Note that this has nothing to do with the character set of data to be
 
 @item --display-charset @code{name}
 Set the name of the native character set. This is used to convert
 some informational strings like user IDs to the proper UTF-8 encoding.
 Note that this has nothing to do with the character set of data to be
-encrypted or signed; GnuPG does not recode user supplied data. If
+encrypted or signed; GnuPG does not recode user-supplied data. If
 this option is not used, the default character set is determined from
 the current locale. A verbosity level of 3 shows the chosen set.
 Valid values for @code{name} are:
 this option is not used, the default character set is determined from
 the current locale. A verbosity level of 3 shows the chosen set.
 Valid values for @code{name} are:
@@ -1264,29 +1346,41 @@ exists.
 GnuPG can automatically locate and retrieve keys as needed using this
 option. This happens when encrypting to an email address (in the
 "user@@example.com" form), and there are no user@@example.com keys on
 GnuPG can automatically locate and retrieve keys as needed using this
 option. This happens when encrypting to an email address (in the
 "user@@example.com" form), and there are no user@@example.com keys on
-the local keyring. This option takes any number of the following
-arguments, in the order they are to be tried:
+the local keyring.  This option takes any number of the following
+mechanisms, in the order they are to be tried:
 
 @table @asis
 
 @item cert
 
 @table @asis
 
 @item cert
-locate a key using DNS CERT, as specified in 2538bis (currently in
-draft): http://www.josefsson.org/rfc2538bis/
+Locate a key using DNS CERT, as specified in rfc4398.
 
 @item pka
 
 @item pka
-locate a key using DNS PKA.
+Locate a key using DNS PKA.
 
 @item ldap
 
 @item ldap
-locate a key using the PGP Universal method of checking
-"ldap://keys.(thedomain)".
+Locate a key using the PGP Universal method of checking
+@samp{ldap://keys.(thedomain)}.
 
 @item keyserver
 
 @item keyserver
-locate a key using whatever keyserver is defined using the
+Locate a key using whatever keyserver is defined using the
 @option{--keyserver} option.
 
 @option{--keyserver} option.
 
-@item (keyserver URL)
-In addition, a keyserver URL as used in the @option{--keyserver} option may be
-used here to query that particular keyserver.
+@item keyserver-URL
+In addition, a keyserver URL as used in the @option{--keyserver} option
+may be used here to query that particular keyserver.
+
+@item local
+Locate the key using the local keyrings.  This mechanism allows to
+select the order a local key lookup is done.  Thus using
+@samp{--auto-key-locate local} is identical to
+@option{--no-auto-key-locate}.
+
+@item nodefault
+This flag disables the standard local key lookup, done before any of the
+mechanisms defined by the @option{--auto-key-locate} are tried.  The
+position of this mechanism in the list does not matter.  It is not
+required if @code{local} is also used.
+
 @end table
 
 @item --keyid-format @code{short|0xshort|long|0xlong}
 @end table
 
 @item --keyid-format @code{short|0xshort|long|0xlong}
@@ -1311,7 +1405,7 @@ from below, but apply only to this particular keyserver.
 
 Most keyservers synchronize with each other, so there is generally no
 need to send keys to more than one server. The keyserver
 
 Most keyservers synchronize with each other, so there is generally no
 need to send keys to more than one server. The keyserver
-@code{hkp://subkeys.pgp.net} uses round robin DNS to give a different
+@code{hkp://keys.gnupg.net} uses round robin DNS to give a different
 keyserver each time you use it.
 
 @item --keyserver-options @code{name=value1 }
 keyserver each time you use it.
 
 @item --keyserver-options @code{name=value1 }
@@ -1396,6 +1490,12 @@ Set the proxy to use for HTTP and HKP keyservers.  This overrides the
 @item max-cert-size
 When retrieving a key via DNS CERT, only accept keys up to this size.
 Defaults to 16384 bytes.
 @item max-cert-size
 When retrieving a key via DNS CERT, only accept keys up to this size.
 Defaults to 16384 bytes.
+
+@item debug
+Turn on debug output in the keyserver helper program.  Note that the
+details of debug output depends on which keyserver helper program is
+being used, and in turn, on any libraries that the keyserver helper
+program uses internally (libcurl, openldap, etc).
 @end table
 
 @item --completes-needed @code{n}
 @end table
 
 @item --completes-needed @code{n}
@@ -1768,6 +1868,10 @@ source distribution.
 @opindex fixed-list-mode
 Do not merge primary user ID and primary key in @option{--with-colon}
 listing mode and print all timestamps as seconds since 1970-01-01.
 @opindex fixed-list-mode
 Do not merge primary user ID and primary key in @option{--with-colon}
 listing mode and print all timestamps as seconds since 1970-01-01.
+@ifclear gpgone
+Since GnuPG 2.0.10, this mode is always used and thus this option is
+obsolete; it does not harm to use it though.
+@end ifclear
 
 @item --with-fingerprint
 @opindex with-fingerprint
 
 @item --with-fingerprint
 @opindex with-fingerprint
@@ -1804,16 +1908,15 @@ normally you would use @option{--sign} or @option{--clearsign} to select
 the type of the signature.
 @end ifset
 
 the type of the signature.
 @end ifset
 
-
-
 @item --force-v3-sigs
 @itemx --no-force-v3-sigs
 OpenPGP states that an implementation should generate v4 signatures
 but PGP versions 5 through 7 only recognize v4 signatures on key
 material. This option forces v3 signatures for signatures on data.
 @item --force-v3-sigs
 @itemx --no-force-v3-sigs
 OpenPGP states that an implementation should generate v4 signatures
 but PGP versions 5 through 7 only recognize v4 signatures on key
 material. This option forces v3 signatures for signatures on data.
-Note that this option overrides @option{--ask-sig-expire}, as v3 signatures
-cannot have expiration dates. @option{--no-force-v3-sigs} disables this
-option.
+Note that this option implies @option{--ask-sig-expire},
+@option{--sig-policy-url}, @option{--sig-notation}, and
+@option{--sig-keyserver-url}, as these features cannot be used with v3
+signatures.  @option{--no-force-v3-sigs} disables this option.
 
 @item --force-v4-certs
 @itemx --no-force-v4-certs
 
 @item --force-v4-certs
 @itemx --no-force-v4-certs
@@ -1833,31 +1936,31 @@ using this option, the encrypted message becomes vulnerable to a
 message modification attack.
 
 @item --personal-cipher-preferences @code{string}
 message modification attack.
 
 @item --personal-cipher-preferences @code{string}
-Set the list of personal cipher preferences to @code{string}, this list
-should be a string similar to the one printed by the command "pref" in
-the edit menu. This allows the user to factor in their own preferred
-algorithms when algorithms are chosen via recipient key preferences.
-The most highly ranked cipher in this list is also used for the
-@option{--symmetric} encryption command.
+Set the list of personal cipher preferences to @code{string}.  Use
+@command{@gpgname --version} to get a list of available algorithms,
+and use @code{none} to set no preference at all.  This allows the user
+to factor in their own preferred algorithms when algorithms are chosen
+via recipient key preferences.  The most highly ranked cipher in this
+list is also used for the @option{--symmetric} encryption command.
 
 @item --personal-digest-preferences @code{string}
 
 @item --personal-digest-preferences @code{string}
-Set the list of personal digest preferences to @code{string}, this list
-should be a string similar to the one printed by the command "pref" in
-the edit menu. This allows the user to factor in their own preferred
-algorithms when algorithms are chosen via recipient key preferences.
-The most highly ranked digest algorithm in this list is algo used when
-signing without encryption (e.g. @option{--clearsign} or
-@option{--sign}). The default value is SHA-1.
+Set the list of personal digest preferences to @code{string}.  Use
+@command{@gpgname --version} to get a list of available algorithms,
+and use @code{none} to set no preference at all.  This allows the user
+to factor in their own preferred algorithms when algorithms are chosen
+via recipient key preferences.  The most highly ranked digest
+algorithm in this list is also used when signing without encryption
+(e.g. @option{--clearsign} or @option{--sign}). The default value is
+SHA-1.
 
 @item --personal-compress-preferences @code{string}
 
 @item --personal-compress-preferences @code{string}
-Set the list of personal compression preferences to @code{string}, this
-list should be a string similar to the one printed by the command
-"pref" in the edit menu. This allows the user to factor in their own
-preferred algorithms when algorithms are chosen via recipient key
-preferences. The most highly ranked algorithm in this list is also
-used when there are no recipient keys to consider (e.g. @option{--symmetric}).
-
-
+Set the list of personal compression preferences to @code{string}.
+Use @command{@gpgname --version} to get a list of available
+algorithms, and use @code{none} to set no preference at all.  This
+allows the user to factor in their own preferred algorithms when
+algorithms are chosen via recipient key preferences.  The most highly
+ranked compression algorithm in this list is also used when there are
+no recipient keys to consider (e.g. @option{--symmetric}).
 
 @item --s2k-cipher-algo @code{name}
 Use @code{name} as the cipher algorithm used to protect secret keys.
 
 @item --s2k-cipher-algo @code{name}
 Use @code{name} as the cipher algorithm used to protect secret keys.
@@ -1912,15 +2015,20 @@ override a different compliance option in the gpg.conf file.
 @opindex openpgp
 Reset all packet, cipher and digest options to strict OpenPGP
 behavior. Use this option to reset all previous options like
 @opindex openpgp
 Reset all packet, cipher and digest options to strict OpenPGP
 behavior. Use this option to reset all previous options like
-@option{--rfc1991}, @option{--force-v3-sigs}, @option{--s2k-*},
-@option{--cipher-algo}, @option{--digest-algo} and
+@option{--s2k-*}, @option{--cipher-algo}, @option{--digest-algo} and
 @option{--compress-algo} to OpenPGP compliant values. All PGP
 workarounds are disabled.
 
 @option{--compress-algo} to OpenPGP compliant values. All PGP
 workarounds are disabled.
 
+@item --rfc4880
+@opindex rfc4880
+Reset all packet, cipher and digest options to strict RFC-4880
+behavior. Note that this is currently the same thing as
+@option{--openpgp}.
+
 @item --rfc2440
 @opindex rfc2440
 Reset all packet, cipher and digest options to strict RFC-2440
 @item --rfc2440
 @opindex rfc2440
 Reset all packet, cipher and digest options to strict RFC-2440
-behavior. Note that this is currently the same thing as @option{--openpgp}.
+behavior.
 
 @item --rfc1991
 @opindex rfc1991
 
 @item --rfc1991
 @opindex rfc1991
@@ -1934,11 +2042,10 @@ a message that PGP 2.x will not be able to handle. Note that `PGP
 2.x' here means `MIT PGP 2.6.2'. There are other versions of PGP 2.x
 available, but the MIT release is a good common baseline.
 
 2.x' here means `MIT PGP 2.6.2'. There are other versions of PGP 2.x
 available, but the MIT release is a good common baseline.
 
-This option implies @option{--rfc1991 --disable-mdc --no-force-v4-certs
---no-sk-comment --escape-from-lines --force-v3-sigs --no-ask-sig-expire
---no-ask-cert-expire --cipher-algo IDEA --digest-algo MD5
---compress-algo 1}. It also disables @option{--textmode} when
-encrypting.
+This option implies @option{--rfc1991 --disable-mdc
+--no-force-v4-certs --no-sk-comment --escape-from-lines
+--force-v3-sigs --cipher-algo IDEA --digest-algo MD5 --compress-algo
+ZIP}. It also disables @option{--textmode} when encrypting.
 
 @item --pgp6
 @opindex pgp6
 
 @item --pgp6
 @opindex pgp6
@@ -1950,7 +2057,7 @@ compression algorithms none and ZIP. This also disables
 does not understand signatures made by signing subkeys.
 
 This option implies @option{--disable-mdc --no-sk-comment
 does not understand signatures made by signing subkeys.
 
 This option implies @option{--disable-mdc --no-sk-comment
---escape-from-lines --force-v3-sigs --no-ask-sig-expire}.
+--escape-from-lines --force-v3-sigs}.
 
 @item --pgp7
 @opindex pgp7
 
 @item --pgp7
 @opindex pgp7
@@ -1974,7 +2081,7 @@ SHA224, SHA384, and SHA512 digests.
 @c ********  ESOTERIC OPTIONS  ***************
 @c *******************************************
 @node GPG Esoteric Options
 @c ********  ESOTERIC OPTIONS  ***************
 @c *******************************************
 @node GPG Esoteric Options
-@subsection Doing things one usually don't want to do.
+@subsection Doing things one usually doesn't want to do.
 
 @table @gnupgtabopt
 
 
 @table @gnupgtabopt
 
@@ -2022,11 +2129,13 @@ Same as @option{--status-fd}, except the status data is written to file
 @code{file}.
 
 @item --logger-fd @code{n}
 @code{file}.
 
 @item --logger-fd @code{n}
-Write log output to file descriptor @code{n} and not to stderr.
+Write log output to file descriptor @code{n} and not to STDERR.
 
 
-@item --logger-file @code{file}
+@item --log-file @code{file}
+@itemx --logger-file @code{file}
 Same as @option{--logger-fd}, except the logger data is written to file
 Same as @option{--logger-fd}, except the logger data is written to file
-@code{file}.
+@code{file}.  Note that @option{--log-file} is only implemented for
+GnuPG-2.
 
 @item --attribute-fd @code{n}
 Write attribute subpackets to the file descriptor @code{n}. This is most
 
 @item --attribute-fd @code{n}
 Write attribute subpackets to the file descriptor @code{n}. This is most
@@ -2108,10 +2217,10 @@ file being encrypted.
 
 @item --for-your-eyes-only
 @itemx --no-for-your-eyes-only
 
 @item --for-your-eyes-only
 @itemx --no-for-your-eyes-only
-Set the `for your eyes only' flag in the message. This causes GnuPG
-to refuse to save the file unless the @option{--output} option is given, and
-PGP to use the "secure viewer" with a Tempest-resistant font to
-display the message. This option overrides @option{--set-filename}.
+Set the `for your eyes only' flag in the message. This causes GnuPG to
+refuse to save the file unless the @option{--output} option is given,
+and PGP to use a "secure viewer" with a claimed Tempest-resistant font
+to display the message. This option overrides @option{--set-filename}.
 @option{--no-for-your-eyes-only} disables this option.
 
 @item --use-embedded-filename
 @option{--no-for-your-eyes-only} disables this option.
 
 @item --use-embedded-filename
@@ -2177,12 +2286,15 @@ will still get disabled.
 
 @item --throw-keyids
 @itemx --no-throw-keyids
 
 @item --throw-keyids
 @itemx --no-throw-keyids
-Do not put the recipient key IDs into encrypted messages. This helps
-to hide the receivers of the message and is a limited countermeasure
-against traffic analysis. On the receiving side, it may slow down the
-decryption process because all available secret keys must be tried.
-@option{--no-throw-keyids} disables this option. This option is essentially
-the same as using @option{--hidden-recipient} for all recipients.
+Do not put the recipient key IDs into encrypted messages. This helps to
+hide the receivers of the message and is a limited countermeasure
+against traffic analysis.@footnote{Using a little social engineering
+anyone who is able to decrypt the message can check whether one of the
+other recipients is the one he suspects.}  On the receiving side, it may
+slow down the decryption process because all available secret keys must
+be tried.  @option{--no-throw-keyids} disables this option. This option
+is essentially the same as using @option{--hidden-recipient} for all
+recipients.
 
 @item --not-dash-escaped
 This option changes the behavior of cleartext signatures
 
 @item --not-dash-escaped
 This option changes the behavior of cleartext signatures
@@ -2209,7 +2321,7 @@ passphrase.  Defaults to 1 repetition.
 @item --passphrase-fd @code{n}
 Read the passphrase from file descriptor @code{n}. Only the first line
 will be read from file descriptor @code{n}. If you use 0 for @code{n},
 @item --passphrase-fd @code{n}
 Read the passphrase from file descriptor @code{n}. Only the first line
 will be read from file descriptor @code{n}. If you use 0 for @code{n},
-the passphrase will be read from stdin. This can only be used if only
+the passphrase will be read from STDIN. This can only be used if only
 one passphrase is supplied.
 @ifclear gpgone
 Note that this passphrase is only used if the option @option{--batch}
 one passphrase is supplied.
 @ifclear gpgone
 Note that this passphrase is only used if the option @option{--batch}
@@ -2369,11 +2481,17 @@ absolute date in the form YYYY-MM-DD. Defaults to "0".
 @item --allow-secret-key-import
 This is an obsolete option and is not used anywhere.
 
 @item --allow-secret-key-import
 This is an obsolete option and is not used anywhere.
 
-@item --allow-multisig-verification
-Allow verification of concatenated signed messages. This will run a
-signature verification for each data+signature block. There are some
-security issues with this option and thus it is off by default. Note
-that versions of GPG prior to version 1.4.3 implicitly allowed this.
+@item --allow-multiple-messages
+@item --no-allow-multiple-messages
+Allow processing of multiple OpenPGP messages contained in a single file
+or stream.  Some programs that call GPG are not prepared to deal with
+multiple messages being processed together, so this option defaults to
+no.  Note that versions of GPG prior to 1.4.7 always allowed multiple
+messages.  
+
+Warning: Do not use this option unless you need it as a temporary
+workaround!
+
 
 @item --enable-special-filenames
 This options enables a mode in which filenames of the form
 
 @item --enable-special-filenames
 This options enables a mode in which filenames of the form
@@ -2410,13 +2528,13 @@ listed. @option{--list-config} is only usable with
 
 @item --gpgconf-list
 @opindex gpgconf-list
 
 @item --gpgconf-list
 @opindex gpgconf-list
-This command is simliar to @option{--list-config} but in general only
+This command is similar to @option{--list-config} but in general only
 internally used by the @command{gpgconf} tool.
 
 @item --gpgconf-test
 @opindex gpgconf-test
 This is more or less dummy action.  However it parses the configuration
 internally used by the @command{gpgconf} tool.
 
 @item --gpgconf-test
 @opindex gpgconf-test
 This is more or less dummy action.  However it parses the configuration
-file and returns with failure if the configuraion file would prevent
+file and returns with failure if the configuration file would prevent
 @command{gpg} from startup.  Thus it may be used to run a syntax check
 on the configuration file.
 
 @command{gpg} from startup.  Thus it may be used to run a syntax check
 on the configuration file.
 
@@ -2451,10 +2569,12 @@ Display the keyring name at the head of key listings to show which
 keyring a given key resides on. This option is deprecated: use
 @option{--list-options [no-]show-keyring} instead.
 
 keyring a given key resides on. This option is deprecated: use
 @option{--list-options [no-]show-keyring} instead.
 
+@ifset gpgone
 @item --ctapi-driver @code{file}
 Use @code{file} to access the smartcard reader. The current default
 is `libtowitoko.so'. Note that the use of this interface is
 deprecated; it may be removed in future releases.
 @item --ctapi-driver @code{file}
 Use @code{file} to access the smartcard reader. The current default
 is `libtowitoko.so'. Note that the use of this interface is
 deprecated; it may be removed in future releases.
+@end ifset
 
 @item --always-trust
 Identical to @option{--trust-model always}. This option is deprecated.
 
 @item --always-trust
 Identical to @option{--trust-model always}. This option is deprecated.
@@ -2512,7 +2632,7 @@ For existing users the a small
 helper script is provided to create these files (@pxref{addgnupghome}).
 @end ifclear
 
 helper script is provided to create these files (@pxref{addgnupghome}).
 @end ifclear
 
-For internal purposes @command{@gpgname} creates and maintaines a few other
+For internal purposes @command{@gpgname} creates and maintains a few other
 files; They all live in in the current home directory (@pxref{option
 --homedir}).  Only the @command{@gpgname} may modify these files.
 
 files; They all live in in the current home directory (@pxref{option
 --homedir}).  Only the @command{@gpgname} may modify these files.
 
@@ -2569,10 +2689,25 @@ protocol version which should be set to 1. When starting the gpg-agent
 as described in its documentation, this variable is set to the correct
 value. The option @option{--gpg-agent-info} can be used to override it.
 
 as described in its documentation, this variable is set to the correct
 value. The option @option{--gpg-agent-info} can be used to override it.
 
+@item PINENTRY_USER_DATA
+This value is passed via gpg-agent to pinentry.  It is useful to convey
+extra information to a custom pinentry
+
 @item COLUMNS
 @itemx LINES
 Used to size some displays to the full size of the screen.
 
 @item COLUMNS
 @itemx LINES
 Used to size some displays to the full size of the screen.
 
+
+@item LANGUAGE
+Apart from its use by GNU, it is used in the W32 version to override the
+language selection done through the Registry.  If used and set to a a
+valid and available language name (@var{langid}), the file with the
+translation is loaded from
+@code{@var{gpgdir}/gnupg.nls/@var{langid}.mo}.  Here @var{gpgdir} is the
+directory out of which the gpg binary has been laoded.  If it can't be
+loaded the Registry is tried and as last resort the native Windows
+locale system is used.  
+
 @end table
 
 
 @end table
 
 
@@ -2596,6 +2731,9 @@ make a clear text signature
 @item gpg -sb @code{file}
 make a detached signature
 
 @item gpg -sb @code{file}
 make a detached signature
 
+@item gpg -u 0x12345678 -sb @code{file}
+make a detached signature with the key 0x12345678
+
 @item gpg --list-keys @code{user_ID}
 show keys
 
 @item gpg --list-keys @code{user_ID}
 show keys
 
@@ -2624,7 +2762,7 @@ user for the filename.
 @include specify-user-id.texi
 @end ifset
 
 @include specify-user-id.texi
 @end ifset
 
-@mansect return vaue
+@mansect return value
 @chapheading RETURN VALUE
 
 The program returns 0 if everything was fine, 1 if at least
 @chapheading RETURN VALUE
 
 The program returns 0 if everything was fine, 1 if at least
@@ -2644,7 +2782,7 @@ is *very* easy to spy out your passphrase!
 
 If you are going to verify detached signatures, make sure that the
 program knows about it; either give both filenames on the command line
 
 If you are going to verify detached signatures, make sure that the
 program knows about it; either give both filenames on the command line
-or use @samp{-} to specify stdin.
+or use @samp{-} to specify STDIN.
 
 @mansect interoperability
 @chapheading INTEROPERABILITY WITH OTHER OPENPGP PROGRAMS
 
 @mansect interoperability
 @chapheading INTEROPERABILITY WITH OTHER OPENPGP PROGRAMS
@@ -2654,10 +2792,11 @@ standard. In particular, GnuPG implements many of the optional parts
 of the standard, such as the SHA-512 hash, and the ZLIB and BZIP2
 compression algorithms. It is important to be aware that not all
 OpenPGP programs implement these optional algorithms and that by
 of the standard, such as the SHA-512 hash, and the ZLIB and BZIP2
 compression algorithms. It is important to be aware that not all
 OpenPGP programs implement these optional algorithms and that by
-forcing their use via the @option{--cipher-algo}, @option{--digest-algo},
-@option{--cert-digest-algo}, or @option{--compress-algo} options in GnuPG, it is
-possible to create a perfectly valid OpenPGP message, but one that
-cannot be read by the intended recipient.
+forcing their use via the @option{--cipher-algo},
+@option{--digest-algo}, @option{--cert-digest-algo}, or
+@option{--compress-algo} options in GnuPG, it is possible to create a
+perfectly valid OpenPGP message, but one that cannot be read by the
+intended recipient.
 
 There are dozens of variations of OpenPGP programs available, and each
 supports a slightly different subset of these optional algorithms.
 
 There are dozens of variations of OpenPGP programs available, and each
 supports a slightly different subset of these optional algorithms.