-
Notifications
You must be signed in to change notification settings - Fork 1
Expand file tree
/
Copy pathsigning.asc
More file actions
204 lines (155 loc) · 9.11 KB
/
signing.asc
File metadata and controls
204 lines (155 loc) · 9.11 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
[[_signing]]
=== امضای کارهای شما (Signing Your Work)
گیت از نظر رمزنگاری امن است، اما کامل و بینقص نیست.
اگر کار دیگران را از اینترنت دریافت میکنید و میخواهید مطمئن شوید که کامیتها واقعاً از منبعی معتبر هستند، گیت چند روش برای امضا و تأیید کارها با استفاده از GPG دارد.
==== معرفی GPG (GPG Introduction)
اول از همه، اگر میخواهید چیزی را امضا کنید، باید GPG را پیکربندی کرده و کلید شخصی خود را نصب کنید.
[source,console]
----
$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub 2048R/0A46826A 2014-06-04
uid Scott Chacon (Git signing key) <schacon@gmail.com>
sub 2048R/874529A9 2014-06-04
----
اگر کلیدی ندارید، میتوانید با دستور `gpg --gen-key` یک کلید جدید بسازید.
[source,console]
----
$ gpg --gen-key
----
وقتی کلید خصوصی برای امضا دارید، میتوانید گیت را تنظیم کنید تا از آن برای امضا استفاده کند؛ اینکار با تنظیم گزینه `user.signingkey` در پیکربندی گیت انجام میشود.
[source,console]
----
$ git config --global user.signingkey 0A46826A!
----
حالا گیت به طور پیشفرض از کلید شما برای امضای تگها و کامیتها استفاده خواهد کرد، در صورت تمایل شما.
==== امضای تگها (Signing Tags)
اگر کلید خصوصی GPG خود را راهاندازی کردهاید، حالا میتوانید از آن برای امضای تگهای جدید استفاده کنید.
کافی است به جای `-a` از گزینه `-s` استفاده کنید:
[source,console]
----
$ git tag -s v1.5 -m 'my signed 1.5 tag'
You need a passphrase to unlock the secret key for
user: "Ben Straub <ben@straub.cc>"
2048-bit RSA key, ID 800430EB, created 2014-05-04
----
اگر دستور `git show` را روی آن تگ اجرا کنید، امضای GPG شما به آن متصل شده را مشاهده خواهید کرد:
[source,console]
----
$ git show v1.5
tag v1.5
Tagger: Ben Straub <ben@straub.cc>
Date: Sat May 3 20:29:41 2014 -0700
my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----
commit ca82a6dff817ec66f44342007202690a93763949
Author: Scott Chacon <schacon@gee-mail.com>
Date: Mon Mar 17 21:52:11 2008 -0700
Change version number
----
==== تأیید تگها (Verifying Tags)
برای تأیید یک تگ امضا شده، از دستور `git tag -v <tag-name>` استفاده کنید.
این دستور از GPG برای تأیید امضا بهره میبرد.
برای اینکه این به درستی کار کند، باید کلید عمومی امضا کننده در کیرینگ شما موجود باشد:
[source,console]
----
$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700
GIT 1.4.2.1
Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
gpg: aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7 4A7D C0C6 D9A4 F311 9B9A
----
اگر کلید عمومی امضا کننده را نداشته باشید، با پیامی شبیه به این مواجه میشوید:
[source,console]
----
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'
----
[[_signing_commits]]
==== امضای کامیتها (Signing Commits)
در نسخههای جدیدتر گیت (نسخه ۱.۷.۹ به بالا)، شما میتوانید کامیتهای تکتک را هم امضا کنید.
اگر میخواهید به جای فقط امضای تگها، کامیتها را مستقیماً امضا کنید، کافی است گزینه `-S` را به دستور `git commit` اضافه کنید.
[source,console]
----
$ git commit -a -S -m 'Signed commit'
You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
[master 5c3386c] Signed commit
4 files changed, 4 insertions(+), 24 deletions(-)
rewrite Rakefile (100%)
create mode 100644 lib/git.rb
----
برای دیدن و تأیید این امضاها، گزینه `--show-signature` نیز برای دستور `git log` وجود دارد.
[source,console]
----
$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun 4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
Author: Scott Chacon <schacon@gmail.com>
Date: Wed Jun 4 19:49:17 2014 -0700
Signed commit
----
علاوه بر این، میتوانید `git log` را طوری تنظیم کنید که هر امضایی را که پیدا میکند بررسی کند و با فرمت `%G?` آنها را در خروجی نمایش دهد.
[source,console]
----
$ git log --pretty="format:%h %G? %aN %s"
5c3386c G Scott Chacon Signed commit
ca82a6d N Scott Chacon Change the version number
085bb3b N Scott Chacon Remove unnecessary test code
a11bef0 N Scott Chacon Initial commit
----
در اینجا میبینیم که فقط آخرین کامیت امضا و معتبر است و کامیتهای قبلی امضا نشدهاند.
در گیت نسخه ۱.۸.۳ به بعد، دستورات `git merge` و `git pull` میتوانند با استفاده از گزینه `--verify-signatures` هنگام ادغام، امضاهای معتبر GPG را بررسی کرده و اگر کامیتی امضای معتبر نداشت، ادغام را رد کنند.
اگر هنگام ادغام یک شاخه این گزینه را فعال کنید و کامیتهای فاقد امضای صحیح وجود داشته باشند، عملیات ادغام انجام نخواهد شد.
[source,console]
----
$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.
----
اگر ادغام فقط شامل کامیتهای امضاشده و معتبر باشد، دستور ادغام همه امضاهای بررسی شده را نمایش داده و سپس ادامه میدهد.
[source,console]
----
$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
Updating 5c3386c..13ad65e
Fast-forward
README | 2 ++
1 file changed, 2 insertions(+)
----
همچنین میتوانید از گزینه `-S` در دستور `git merge` برای امضای خود کامیت ادغام استفاده کنید.
مثال زیر هم تأیید میکند که همه کامیتهای شاخه مورد ادغام امضا شدهاند و هم خود کامیت ادغام را امضا میکند.
[source,console]
----
$ git merge --verify-signatures -S signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
Merge made by the 'recursive' strategy.
README | 2 ++
1 file changed, 2 insertions(+)
----
==== همه باید امضا کنند (Everyone Must Sign)
امضای تگها و کامیتها بسیار خوب است، اما اگر تصمیم بگیرید این روش را در جریان کاری معمول خود بهکار ببرید، باید مطمئن شوید که همه اعضای تیم شما نحوه انجام این کار را بلد باشند.
برای این کار میتوانید از همه افراد بخواهید دستور `git config --local commit.gpgsign true` را اجرا کنند تا همه کامیتهایشان در مخزن به طور خودکار امضا شود.
اگر این کار را نکنید، وقت زیادی را صرف کمک به افراد برای بازنویسی کامیتها با نسخههای امضا شده خواهید کرد.
قبل از اینکه این روش را به بخشی از روند کاری استاندارد خود تبدیل کنید، مطمئن شوید GPG و مزایای امضا کردن را به خوبی میشناسید.