Git:使用GPG签名Commit

时间  2019-11-06
标签 git 使用 gpg 签名 commit 栏目 Git 繁體版
原文   原文链接

前言

GPG从诞生开始,目的就是为了加密而存在。到现在的 git,用 GPG 来签名 commit ,html

能够保证咱们提交不被篡改(固然密钥暴露就另当别论了!)git

效果图

image.png

GPG概念及安装

官方中文文档

这里很好的说明了GPG 运行原理和使用姿式
github

GPG官方下载

核心是命令行,也有对应的 GUI 客户端,看本身喜欢了。redis

简化版姿式

假设你已经知道 GPG 是个什么东西,这里只说明在 Mac下如何快速生成公钥和密钥。bash

安装

我用的是 brew 包管理,能够理解为相似 yum 或 apt-get 这类的东西。ssh

brew install gpg gpg2 

# 安装后就能够直接输出 gpg 的帮助信息了

gpg --help

gpg (GnuPG) 2.2.17
libgcrypt 1.8.5
Copyright (C) 2019 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /Users/linqunhe/.gnupg
Supported algorithms:
Pubkey: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
        CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2

Syntax: gpg [options] [files]
Sign, check, encrypt or decrypt
Default operation depends on the input data

Commands:
 
 -s, --sign                  make a signature
     --clear-sign            make a clear text signature
 -b, --detach-sign           make a detached signature
 -e, --encrypt               encrypt data
 -c, --symmetric             encryption only with symmetric cipher
 -d, --decrypt               decrypt data (default)
     --verify                verify a signature
 -k, --list-keys             list keys
     --list-signatures       list keys and signatures
     --check-signatures      list and check key signatures
     --fingerprint           list keys and fingerprints
 -K, --list-secret-keys      list secret keys
     --generate-key          generate a new key pair
     --quick-generate-key    quickly generate a new key pair
     --quick-add-uid         quickly add a new user-id
     --quick-revoke-uid      quickly revoke a user-id
     --quick-set-expire      quickly set a new expiration date
     --full-generate-key     full featured key pair generation
     --generate-revocation   generate a revocation certificate
     --delete-keys           remove keys from the public keyring
     --delete-secret-keys    remove keys from the secret keyring
     --quick-sign-key        quickly sign a key
     --quick-lsign-key       quickly sign a key locally
     --sign-key              sign a key
     --lsign-key             sign a key locally
     --edit-key              sign or edit a key
     --change-passphrase     change a passphrase
     --export                export keys
     --send-keys             export keys to a keyserver
     --receive-keys          import keys from a keyserver
     --search-keys           search for keys on a keyserver
     --refresh-keys          update all keys from a keyserver
     --import                import/merge keys
     --card-status           print the card status
     --edit-card             change data on a card
     --change-pin            change a card's PIN --update-trustdb update the trust database --print-md print message digests --server run in server mode --tofu-policy VALUE set the TOFU policy for a key Options: -a, --armor create ascii armored output -r, --recipient USER-ID encrypt for USER-ID -u, --local-user USER-ID use USER-ID to sign or decrypt -z N set compress level to N (0 disables) --textmode use canonical text mode -o, --output FILE write output to FILE -v, --verbose verbose -n, --dry-run do not make any changes -i, --interactive prompt before overwriting --openpgp use strict OpenPGP behavior (See the man page for a complete listing of all commands and options) Examples: -se -r Bob [file] sign and encrypt for user Bob --clear-sign [file] make a clear text signature --detach-sign [file] make a detached signature --list-keys [names] show keys --fingerprint [names] show fingerprints Please report bugs to <https://bugs.gnupg.org>. 复制代码

生成私钥公钥

命令行有两种生成的方式

  • gpg --full-generate-key

能够很详细的针对每一项输入一些信息或者描述,一步一步的往下面引导,包括加密的方法等等测试

image.png

  • gpg --generate-key :

简化版生成,主要输入用户名和邮箱以及密码便可(最好设置),我用的就是这个ui

image.png

查看公钥密钥

  • gpg -k :能够看到全部公钥的概要信息,等同于 gpg --list-keys

image.png

  • gpg -K : 能够看到全部私钥的概要信息,等同于 gpg --list-secret-keys

image.png

对外使用

如果要对外网使用,通常都须要把公钥发送到的 钥匙管理局 , 能够理解为 CA 的中间管理机构加密

gpg --send-key F29D95D5FC2F0XXXXX # XXXXX 是我真实部分的替换

# out: gpg: sending key 4F8D4XXXX7B1F8 to hkps://keys.openpgp.org
复制代码

Git提交时自动签名

GPG 签名不是全部 GIT 服务商都提供这个支持,当前Github 和GitLab是支持的,spa

国内的Coding码云这类暂时尚未提供对应的支持。

咱们公司是部署的Gitlab Enterprise ,因此是可用的。

输出公钥的 ASCII 文本

gpg -a --export F29D95D5FC2F05FE803AXXXXX  # XXX是我替换了我本地真实的
复制代码

image.png

在支持的 Git 服务设置

通常都是我的设置里面,无论 Github仍是 Gitlab , 如Gitlab设置。

用户->设置->GPG密钥

image.png

配置及测试提交

# 此处的 signingKey跟着的是你的 GPG 私钥,能够避免每次都手动输入
git config --global user.signingkey <gpg-key-id>

# 提交是否强制 GPG,带上--global 是做用全局,局部的去除--global
git config --global commit.gpgsign true

# 测试提交,只在 commit 的时侯带上-S 参数便可,例如
git commit -m "Test GPG" -S

复制代码

更多详情请看此处:自定义 Git - 配置 Git

总结

其实大致流程跟配置 ssh 密钥差很少,只是用了不一样的东西生成对应所需的东西。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程