-
Notifications
You must be signed in to change notification settings - Fork 4
Expand file tree
/
Copy pathsigning.asc
More file actions
204 lines (155 loc) · 7.06 KB
/
signing.asc
File metadata and controls
204 lines (155 loc) · 7.06 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
[[_signing]]
=== Podpisovanje vašega dela
Git je kriptografsko varen, vendar ni pa brezhibno varen.
Če sprejemate delo od drugih na internetu in želite preveriti, ali so potrditve dejansko iz zaupanja vrednega vira, ima Git nekaj načinov za podpisovanje in preverjanje dela z uporabo GPG.
==== Predstavitev GPG
Če želite karkoli podpisati, morate najprej konfigurirati GPG in namestiti svoj osebni ključ.
[source,console?prompt=$]
----
$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub 2048R/0A46826A 2014-06-04
uid Scott Chacon (Git signing key) <schacon@gmail.com>
sub 2048R/874529A9 2014-06-04
----
Če ključa še nimate nameščenega, ga lahko ustvarite z `gpg --gen-key`.
[source,console]
----
$ gpg --gen-key
----
Ko imate enkrat zaseben ključ za podpisovanje, lahko konfigurirate Git tako, da ga uporablja za podpisovanje z nastavitvijo konfiguracijskega parametra `user.signingkey`.
[source,console]
----
$ git config --global user.signingkey 0A46826A!
----
Zdaj bo Git privzeto uporabil vaš ključ za podpisovanje oznak in potrditev, če to želite.
==== Podpisovanje oznak
Če imate nastavljeni osebni ključ GPG, ga lahko uporabite za podpisovanje novih oznak.
Vse, kar morate storiti, je uporabiti `-s` namesto `-a`:
[source,console?prompt=$]
----
$ git tag -s v1.5 -m 'my signed 1.5 tag'
You need a passphrase to unlock the secret key for
user: "Ben Straub <ben@straub.cc>"
2048-bit RSA key, ID 800430EB, created 2014-05-04
----
Če zaženete `git show` na tej oznaki, lahko vidite svoj podpis GPG pritrjen nanjo:
[source,console?prompt=$]
----
$ git show v1.5
tag v1.5
Tagger: Ben Straub <ben@straub.cc>
Date: Sat May 3 20:29:41 2014 -0700
my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----
commit ca82a6dff817ec66f44342007202690a93763949
Author: Scott Chacon <schacon@gee-mail.com>
Date: Mon Mar 17 21:52:11 2008 -0700
Change version number
----
==== Preverjanje oznak
Za preverjanje podpisane oznake uporabite `git tag -v <tag-name>`.
Ta ukaz uporablja GPG za preverjanje podpisa.
Za pravilno delovanje potrebujete javni ključ podpisnika v svojem ključnem obroču:
[source,console?prompt=$]
----
$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700
GIT 1.4.2.1
Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
gpg: aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7 4A7D C0C6 D9A4 F311 9B9A
----
Če nimate javnega ključa podpisnika, boste namesto tega dobili nekaj takega:
[source,console]
----
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'
----
[[_signing_commits]]
==== Podpisovanje potrditev
V novejših različicah Gita (v1.7.9 in novejših) lahko zdaj podpisujete tudi posamezne potrditve.
Če vas zanima neposredno podpisovanje potrditev namesto samo oznak, morate ukazu `git commit` dodati `-S`.
[source,console?prompt=$]
----
$ git commit -a -S -m 'Signed commit'
You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
[master 5c3386c] Signed commit
4 files changed, 4 insertions(+), 24 deletions(-)
rewrite Rakefile (100%)
create mode 100644 lib/git.rb
----
Za ogled in preverjanje teh podpisov obstaja tudi možnost `--show-signature` za `git log`.
[source,console?prompt=$]
----
$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun 4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
Author: Scott Chacon <schacon@gmail.com>
Date: Wed Jun 4 19:49:17 2014 -0700
Signed commit
----
Dodatno lahko konfigurirate `git log` z obliko `%G?`, da preveri vse podpise, ki jih najde, in jih navede v svojem izpisu.
[source,console]
----
$ git log --pretty="format:%h %G? %aN %s"
5c3386c G Scott Chacon Signed commit
ca82a6d N Scott Chacon Change the version number
085bb3b N Scott Chacon Remove unnecessary test code
a11bef0 N Scott Chacon Initial commit
----
Tukaj lahko vidimo, da je samo najnovejša potrditev podpisana in veljavna, prejšnje potrditve pa niso.
V Git 1.8.3 in novejših različicah lahko ukaza `git merge` in `git pull` z uporabo možnosti `--verify-signatures` preverita in zavrneta združevanje potrditve, ki nima zaupanja vrednega podpisa GPG.
Če uporabite to možnost pri združevanju veje in ta vsebuje potrditve, ki niso podpisane in veljavne, združevanje ne bo delovalo.
[source,console]
----
$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.
----
Če združevanje vsebuje samo veljavno podpisane potrditve, bo ukaz združevanja prikazal vse preverjene podpise in nadaljeval z združevanjem.
[source,console?prompt=$]
----
$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
Updating 5c3386c..13ad65e
Fast-forward
README | 2 ++
1 file changed, 2 insertions(+)
----
Pri ukazu `git merge` lahko uporabite tudi možnost `-S`, da podpišete samo izhajajočo potrditev združitve.
V spodnjem primeru se preveri, da so vse potrditve v veji, ki se jo želi združiti, podpisane in da je podpisana tudi izhajajoča potrditev združitve.
[source,console?prompt=$]
----
$ git merge --verify-signatures -S signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04
Merge made by the 'recursive' strategy.
README | 2 ++
1 file changed, 2 insertions(+)
----
==== Podpisovati mora vsak
Podpisovanje oznak in potrditev je odlično, vendar morate, če se odločite, da boste to uporabljali v svojem običajnem poteku dela, poskrbeti, da vsak član vaše ekipe razume, kako to storiti.
To se lahko doseže tako, da se prosi vsakogar, ki dela na repozitoriju, da požene `git config --local commit.gpgsign true`, kar bo privzeto samodejno podpisalo vse njihove potrditve v repozitoriju.
Če ne, boste porabili veliko časa za pomoč ljudem pri izdelavi novih potrditev s podpisanimi različicami.
Preden to sprejmete kot del svojega standardnega poteka dela, poskrbite, da razumete GPG in prednosti podpisovanja.