一、GPG

• 了解了管理或者維護 Git 倉庫、實現(xiàn)代碼控制所需的大多數(shù)日常命令和工作流程，嘗試跟了蹤和提交文件的基本操作，并且掌握了暫存區(qū)和輕量級地分支及合并的威力。如果想進一步對 Git 深入學習，可以學習一些 Git 更加強大的功能，這些功能可能并不會在日常操作中使用，但在某些時候可能還是會起到一定的關鍵性作用。
• 如果還不清楚 Git 的基礎使用流程、分支的管理、托管服務器的技術以及分布式工作流程等相關的技術和能力，請參考博客：
• • Git之深入解析Git的安裝流程與初次運行Git前的環(huán)境配置；
• • Git之深入解析本地倉庫的基本操作·倉庫的獲取更新和提交歷史的查看撤銷以及標簽別名的使用；
• • Git之深入解析Git的殺手級特性·分支管理與變基的開發(fā)工作流以及遠程分支的跟蹤；
• • Git之深入解析如何運行自己的Git倉庫托管服務器；
• • Git之深入解析如何使用Git的分布式工作流程與如何管理多人開發(fā)貢獻的項目。
• Git 雖然是密碼級安全的，但它不是萬無一失的。如果你從因特網(wǎng)上的其他人那里拿取工作，并且想要驗證提交是不是真正地來自于可信來源，Git 提供了通過 GPG 來簽署和驗證工作。
• 首先，在開始簽名之前需要先配置 GPG 并安裝個人密鑰：

$ gpg --list-keys /Users/kody/.gnupg/pubring.gpg --------------------------------- pub 2048R/0A46826A 2021-09-19 uid Scott Chacon (Git signing key) <kody@gmail.com> sub 2048R/874529A9 2021-09-19

• 如果還沒有安裝一個密鑰，可以使用 gpg --gen-key 生成一個：

$ gpg --gen-key

• 一旦有一個可以簽署的私鑰，可以通過設置 Git 的 user.signingkey 選項來簽署：

$ git config --global user.signingkey 0A46826A

• 現(xiàn)在 Git 默認使用我們安裝的密鑰來簽署標簽與提交。

二、簽署標簽

• 如果已經(jīng)設置好一個 GPG 私鑰，可以使用它來簽署新的標簽。所有需要做的只是使用 -s 代替 -a 即可：

$ git tag -s v1.5 -m 'my signed 1.5 tag'You need a passphrase to unlock the secret key for user: "Ben Straub <ben@straub.cc>" 2048-bit RSA key, ID 800430EB, created 2021-09-19

• 如果在那個標簽上運行 git show，會看到 GPG 簽名附屬在后面：

$ git show v1.5 tag v1.5 Tagger: Ben Straub <ben@straub.cc> Date: Sat May 3 20:29:41 2021 -0700my signed 1.5 tag -----BEGIN PGP SIGNATURE----- Version: GnuPG v1iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp 8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk= =EFTF -----END PGP SIGNATURE-----commit ca82a6dff817ec66f44342007202690a93763949 Author: Scott Chacon <kody@gee-mail.com> Date: Mon Mar 17 21:52:11 2020 -0700changed the version number

三、驗證標簽

• 要驗證一個簽署的標簽，可以運行 git tag -v ，這個命令使用 GPG 來驗證簽名。為了驗證能正常工作，簽署者的公鑰需要在我們的鑰匙鏈中：

$ git tag -v v1.4.2.1 object 883653babd8ee7ea23e6a5c392bb739348b1eb61 type commit tag v1.4.2.1 tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700GIT 1.4.2.1Minor fixes since 1.4.2, including git-mv and git-http with alternates. gpg: Signature made Wed Sep 13 02:08:25 2020 PDT using DSA key ID F3119B9A gpg: Good signature from "Junio C Hamano <junkio@cox.net>" gpg: aka "[jpeg image of size 1513]" Primary key fingerprint: 3565 2A26 2040 E066 C9A7 4A7D C0C6 D9A4 F311 9B9A

• 如果沒有簽署者的公鑰，那么將會得到類似下面的東西：

gpg: Signature made Wed Sep 13 02:08:25 2020 PDT using DSA key ID F3119B9A gpg: Can't check signature: public key not found error: could not verify the tag 'v1.4.2.1'

四、簽署提交

• 在最新版本的 Git 中（v1.7.9 及以上），也可以簽署個人提交。如果相對于標簽而言，我們對直接簽署到提交更感興趣的話，所有要做的只是增加一個 -S 到 git commit 命令：

$ git commit -a -S -m 'signed commit'You need a passphrase to unlock the secret key for user: "Scott Chacon (Git signing key) <kody@gmail.com>" 2048-bit RSA key, ID 0A46826A, created 2014-06-04[master 5c3386c] signed commit4 files changed, 4 insertions(+), 24 deletions(-)rewrite Rakefile (100%)create mode 100644 lib/git.rb

• git log 也有一個 --show-signature 選項來查看及驗證這些簽名：

$ git log --show-signature -1 commit 5c3386cf54bba0a33a32da706aa52bc0155503c2 gpg: Signature made Wed Jun 4 19:49:17 2020 PDT using RSA key ID 0A46826A gpg: Good signature from "Scott Chacon (Git signing key) <kody@gmail.com>" Author: Scott Chacon <kody@gmail.com> Date: Wed Jun 4 19:49:17 2014 -0700signed commit

• 另外，也可以配置 git log 來驗證任何找到的簽名并將它們以 %G? 格式列在輸出中：

$ git log --pretty="format:%h %G? %aN %s"5c3386c G Scott Chacon signed commit ca82a6d N Scott Chacon changed the version number 085bb3b N Scott Chacon removed unnecessary test code a11bef0 N Scott Chacon first commit

• 這里可以看到只有最后一次提交是簽署并有效的，而之前的提交都不是。在 Git 1.8.3 及以后的版本中，git merge 與 git pull 可以使用 --verify-signatures 選項來檢查并拒絕沒有攜帶可信 GPG 簽名的提交。
• 如果使用這個選項來合并一個包含未簽名或有效的提交的分支時，合并不會生效。

$ git merge --verify-signatures non-verify fatal: Commit ab06180 does not have a GPG signature.

• 如果合并包含的只有有效的簽名的提交，合并命令會提示所有的簽名它已經(jīng)檢查過了然后會繼續(xù)向前：

$ git merge --verify-signatures signed-branch Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <kody@gmail.com> Updating 5c3386c..13ad65e Fast-forwardREADME | 2 ++1 file changed, 2 insertions(+)

• 也可以給 git merge 命令附加 -S 選項來簽署自己生成的合并提交，如下所示，演示了驗證將要合并的分支的每一個提交都是簽名的并且簽署最后生成的合并提交。

$ git merge --verify-signatures -S signed-branch Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <kody@gmail.com>You need a passphrase to unlock the secret key for user: "Scott Chacon (Git signing key) <kody@gmail.com>" 2048-bit RSA key, ID 0A46826A, created 2020-06-04Merge made by the 'recursive' strategy.README | 2 ++1 file changed, 2 insertions(+)

總結

以上是生活随笔為你收集整理的Git之深入解析如何通过GPG签署和验证工作的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。