Git
Chapters ▾ 2nd Edition

7.4 Інструменти Git - Підписання праці

Підписання праці

Git криптографічно захищений, проте, не захищений від неправильного користування. Якщо ви отримуєте роботу інших з мережі та бажаєте перевірити, що коміти дійсно з довіреного джерела, Git пропонує декілька шляхів підписання та перевірки праці за допомогою GPG.

Знайомство з GPG

Спершу, якщо ви бажаєте щось підписувати, вам необхідно налаштувати GPG та встановити ваш персональний ключ.

$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub   2048R/0A46826A 2014-06-04
uid                  Scott Chacon (Git signing key) <schacon@gmail.com>
sub   2048R/874529A9 2014-06-04

Якщо у вас немає ключа, то вам треба згенерувати його за допомогою gpg --gen-key.

gpg --gen-key

Після здобуття приватного ключа для підпису, ви можете задати значення налаштуванню user.signingkey, щоб Git підписував об’єкти за допомогою цього ключа.

git config --global user.signingkey 0A46826A

Тепер Git буде використовувати цей ключ, щоб підписувати які забажаєте теґи та коміти.

Підписання теґів

Якщо ви налаштували приватний ключ GPG, ви тепер можете його використовувати для підписання нових теґів. Треба тільки замість -a писати -s.

$ git tag -s v1.5 -m 'my signed 1.5 tag'

You need a passphrase to unlock the secret key for
user: "Ben Straub <ben@straub.cc>"
2048-bit RSA key, ID 800430EB, created 2014-05-04

Якщо ви виконаєте git show для цього теґу, то зможете побачити свій GPG підпис:

$ git show v1.5
tag v1.5
Tagger: Ben Straub <ben@straub.cc>
Date:   Sat May 3 20:29:41 2014 -0700

my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----

commit ca82a6dff817ec66f44342007202690a93763949
Author: Scott Chacon <schacon@gee-mail.com>
Date:   Mon Mar 17 21:52:11 2008 -0700

    changed the version number

Перевірка теґів

Щоб перевірити підписаний теґ, треба використати git tag -v <назва теґу>. Ця команда використовує GPG щоб перевірити підпис. Вам потрібен публічний ключ автора підпису у вашому кільці ключів (keyring), щоб це спрацювало:

$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700

GIT 1.4.2.1

Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
gpg:                 aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7  4A7D C0C6 D9A4 F311 9B9A

Якщо у вас немає публічного ключа автора підпису, то ви отримаєте щось таке:

gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'

Підписання комітів

У новіших версіях Git (v1.7.9 та вище), тепер є можливість також підписувати окремі коміти. Якщо вас цікавить підписання саме комітів, а не просто теґів, усе що вам потрібно зробити — це додати -S до команди git commit.

$ git commit -a -S -m 'signed commit'

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

[master 5c3386c] signed commit
 4 files changed, 4 insertions(+), 24 deletions(-)
 rewrite Rakefile (100%)
 create mode 100644 lib/git.rb

Щоб побачити та перевірити підписи, у команди git log також є опція --show-signature.

$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun  4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
Author: Scott Chacon <schacon@gmail.com>
Date:   Wed Jun 4 19:49:17 2014 -0700

    signed commit

Крім того, за допомогою опції формату %G?, команда git log може перевірити всі підписи, які знайде.

$ git log --pretty="format:%h %G? %aN  %s"

5c3386c G Scott Chacon  signed commit
ca82a6d N Scott Chacon  changed the version number
085bb3b N Scott Chacon  removed unnecessary test code
a11bef0 N Scott Chacon  first commit

Тут ми бачимо, що лише останній коміт підписаний та справжній, а всі попередні — ні.

Починаючи з Git 1.8.3, з опцією --verify-signatures команди git merge та git pull можуть перевіряти та відмовляти при зливанні коміту, який не несе довіреного підпису GPG.

Якщо ви використаєте цю опцію при зливанні гілки та вона містить непідписані або недійсні коміти, зливання не спрацює.

$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.

Якщо зливання містить виключно справжні підписані коміти, зливання покаже вам усі перевірені підписи та перейде до власно зливання.

$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
Updating 5c3386c..13ad65e
Fast-forward
 README | 2 ++
 1 file changed, 2 insertions(+)

Ви також можете використовувати опцію -S із командою git merge, щоб підписати створюваний коміт злиття. Наступний приклад перевіряє підпис кожного коміту гілки, з якої ми зливаємо, та більш того підписує створений коміт зливання.

$ git merge --verify-signatures -S  signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

Merge made by the 'recursive' strategy.
 README | 2 ++
 1 file changed, 2 insertions(+)

Усі мусять підписувати

Підписання теґів та комітів це чудово, проте, якщо ви вирішите це використовувати у своєму нормальному процесі роботи, ви маєте переконатися, що кожен з вашої команди розуміє як підписувати. Якщо ви цього не зробите, то вам доведеться витратити купу часу на пояснення, як переписати їх коміти на підписану версію. Переконайтесь, що ви розумієте GPG та переваги підписання речей до того, як додасте це до вашого прийнятого процесу роботи.