Git --everything-is-local
Chapters ▾ 2nd Edition

7.4 Orodja Git - Podpisovanje vašega dela

Podpisovanje vašega dela

Git je kriptografsko varen, vendar ni pa brezhibno varen. Če sprejemate delo od drugih na internetu in želite preveriti, ali so potrditve dejansko iz zaupanja vrednega vira, ima Git nekaj načinov za podpisovanje in preverjanje dela z uporabo GPG.

Predstavitev GPG

Če želite karkoli podpisati, morate najprej konfigurirati GPG in namestiti svoj osebni ključ.

$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub   2048R/0A46826A 2014-06-04
uid                  Scott Chacon (Git signing key) <schacon@gmail.com>
sub   2048R/874529A9 2014-06-04

Če ključa še nimate nameščenega, ga lahko ustvarite z gpg --gen-key.

$ gpg --gen-key

Ko imate enkrat zaseben ključ za podpisovanje, lahko konfigurirate Git tako, da ga uporablja za podpisovanje z nastavitvijo konfiguracijskega parametra user.signingkey.

$ git config --global user.signingkey 0A46826A!

Zdaj bo Git privzeto uporabil vaš ključ za podpisovanje oznak in potrditev, če to želite.

Podpisovanje oznak

Če imate nastavljeni osebni ključ GPG, ga lahko uporabite za podpisovanje novih oznak. Vse, kar morate storiti, je uporabiti -s namesto -a:

$ git tag -s v1.5 -m 'my signed 1.5 tag'

You need a passphrase to unlock the secret key for
user: "Ben Straub <ben@straub.cc>"
2048-bit RSA key, ID 800430EB, created 2014-05-04

Če zaženete git show na tej oznaki, lahko vidite svoj podpis GPG pritrjen nanjo:

$ git show v1.5
tag v1.5
Tagger: Ben Straub <ben@straub.cc>
Date:   Sat May 3 20:29:41 2014 -0700

my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----

commit ca82a6dff817ec66f44342007202690a93763949
Author: Scott Chacon <schacon@gee-mail.com>
Date:   Mon Mar 17 21:52:11 2008 -0700

    Change version number

Preverjanje oznak

Za preverjanje podpisane oznake uporabite git tag -v <tag-name>. Ta ukaz uporablja GPG za preverjanje podpisa. Za pravilno delovanje potrebujete javni ključ podpisnika v svojem ključnem obroču:

$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700

GIT 1.4.2.1

Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
gpg:                 aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7  4A7D C0C6 D9A4 F311 9B9A

Če nimate javnega ključa podpisnika, boste namesto tega dobili nekaj takega:

gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'

Podpisovanje potrditev

V novejših različicah Gita (v1.7.9 in novejših) lahko zdaj podpisujete tudi posamezne potrditve. Če vas zanima neposredno podpisovanje potrditev namesto samo oznak, morate ukazu git commit dodati -S.

$ git commit -a -S -m 'Signed commit'

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

[master 5c3386c] Signed commit
 4 files changed, 4 insertions(+), 24 deletions(-)
 rewrite Rakefile (100%)
 create mode 100644 lib/git.rb

Za ogled in preverjanje teh podpisov obstaja tudi možnost --show-signature za git log.

$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun  4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
Author: Scott Chacon <schacon@gmail.com>
Date:   Wed Jun 4 19:49:17 2014 -0700

    Signed commit

Dodatno lahko konfigurirate git log z obliko %G?, da preveri vse podpise, ki jih najde, in jih navede v svojem izpisu.

$ git log --pretty="format:%h %G? %aN  %s"

5c3386c G Scott Chacon  Signed commit
ca82a6d N Scott Chacon  Change the version number
085bb3b N Scott Chacon  Remove unnecessary test code
a11bef0 N Scott Chacon  Initial commit

Tukaj lahko vidimo, da je samo najnovejša potrditev podpisana in veljavna, prejšnje potrditve pa niso.

V Git 1.8.3 in novejših različicah lahko ukaza git merge in git pull z uporabo možnosti --verify-signatures preverita in zavrneta združevanje potrditve, ki nima zaupanja vrednega podpisa GPG.

Če uporabite to možnost pri združevanju veje in ta vsebuje potrditve, ki niso podpisane in veljavne, združevanje ne bo delovalo.

$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.

Če združevanje vsebuje samo veljavno podpisane potrditve, bo ukaz združevanja prikazal vse preverjene podpise in nadaljeval z združevanjem.

$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
Updating 5c3386c..13ad65e
Fast-forward
 README | 2 ++
 1 file changed, 2 insertions(+)

Pri ukazu git merge lahko uporabite tudi možnost -S, da podpišete samo izhajajočo potrditev združitve. V spodnjem primeru se preveri, da so vse potrditve v veji, ki se jo želi združiti, podpisane in da je podpisana tudi izhajajoča potrditev združitve.

$ git merge --verify-signatures -S  signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

Merge made by the 'recursive' strategy.
 README | 2 ++
 1 file changed, 2 insertions(+)

Podpisovati mora vsak

Podpisovanje oznak in potrditev je odlično, vendar morate, če se odločite, da boste to uporabljali v svojem običajnem poteku dela, poskrbeti, da vsak član vaše ekipe razume, kako to storiti. To se lahko doseže tako, da se prosi vsakogar, ki dela na repozitoriju, da požene git config --local commit.gpgsign true, kar bo privzeto samodejno podpisalo vse njihove potrditve v repozitoriju. Če ne, boste porabili veliko časa za pomoč ljudem pri izdelavi novih potrditev s podpisanimi različicami. Preden to sprejmete kot del svojega standardnega poteka dela, poskrbite, da razumete GPG in prednosti podpisovanja.

scroll-to-top