使用 gpg key 让 git commit 更安全
使用 gpg key 让 git commit 更安全
起因
避免别人伪造自己的 git commit。通过每次 git commit 时输入密码,大幅降低被伪造的概率。此密码即 gpg key 配置时设定的密码。生成 gpg key 后,在 git config 和 Github setting 中配置 gpg key,使得以后每次 git commit 都是带 gpg 签名的。
Github 官方给出了比较详细的文档,基于此进行实践,记录如下,包括文档中没有提到的细节。
安装 gpg
ubuntu 16.04:从 ppa 安装新版 gpg
按 github 上配置 gpg key,需要新版 gpg,ubuntu16.04 的 apt 提供的用不了,太旧,需要换新的:
sudo add-apt-repository ppa:savoury1/gpg
sudo apt-get update
sudo apt install gpg
使用中发现, ppa 安装的 gpg 会导致 add-ppa-repository 命令被卸载并且无法通过 apt 安装(破坏了依赖关系),考虑源码编译安装 gpg。
ubuntu 16.04:源码编译 gpg
cd ~/Downloads
INSTALL_PREFIX=/usr/local/gpg2
export PATH=$PATH:$INSTALL_PREFIX/bin
wget https://gnupg.org/ftp/gcrypt/libgpg-error/libgpg-error-1.41.tar.bz2
tar -xvf libgpg-error-1.41.tar.bz2
cd libgpg-error-1.41
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
wget https://gnupg.org/ftp/gcrypt/libgcrypt/libgcrypt-1.8.7.tar.bz2
tar -xvf libgcrypt-1.8.7.tar.bz2
cd libgcrypt-1.8.7
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
wget https://gnupg.org/ftp/gcrypt/libksba/libksba-1.5.0.tar.bz2
tar -xvf libksba-1.5.0.tar.bz2
cd libksba-1.5.0
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
wget https://gnupg.org/ftp/gcrypt/libassuan/libassuan-2.5.4.tar.bz2
tar -xvf libassuan-2.5.4.tar.bz2
cd libassuan-2.5.4
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
wget https://gnupg.org/ftp/gcrypt/ntbtls/ntbtls-0.2.0.tar.bz2
tar -xvf ntbtls-0.2.0.tar.bz2
cd ntbtls-0.2.0
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
wget https://gnupg.org/ftp/gcrypt/npth/npth-1.6.tar.bz2
tar -xvf npth-1.6.tar.bz2
cd npth-1.6
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.27.tar.bz2
tar -xvf gnupg-2.2.27.tar.bz2
cd gnupg-2.2.27
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
sudo apt-get install pinentry-curses
Windows
安装 Gpg4win,会安装 GnuPG 和 Gpg4win 两个目录。把 GnuPG/bin 放 PATH 里。
github 配置 gpg
按说应该 检查 gpg key,我第一次创建,不用检查。
gpg --full-generate-key
然后注意,选 key 长度的时候,默认值是 3072,需要修改为 4096。
查看 gpg 公钥,
gpg --list-secret-keys --keyid-format LONG
/home/zz/.gnupg/pubring.kbx
---------------------------
sec rsa4096/ABCABCABC1234567 2021-01-15 [SC]
837F674FE2A5CC1B576BB8BA0961A0300B14A36D
uid [ 绝对 ] XX <XXXX@XX.com>
ssb rsa4096/36E9306FBCE179EF 2021-01-15 [E]
选择ABCABCABC1234567这个。
导出 gpg 公钥
gpg --armor --export ABCABCABC1234567
粘贴到 Github 的 GPG 设置页面 里的 gpg key。
zshrc 配置 gpg key
~/.zshrc 需要配置:
export GPG_TTY=$(tty)
然后 source ~/.zshrc
否则无法弹出gpg输入密码的文本GUI界面,导致带签名的commit失败。
git 配置 gpg key
git config --global commit.gpgsign true
git config --global user.signingkey ABCABCABC1234567
重启 gpg agent 服务(否则导出 gpg 私钥会卡住没反应,报错说error receiving key from agent: timeout - skipped)
gpgconf --kill gpg-agent
导出 gpg 私钥:
gpg --export-secret-key -a > secretkey.asc
拷贝 gpp 私钥到另一台机器上:
scp secretkey.asc zz@172.X.Y.Z:/home/zz
在新机器上导入 gpg 私钥
gpg --import secretkey.asc
其中后两步也可以合并为:
gpg --export-secret-key -a | ssh 172.X.Y.Z gpg --import -
References
https://logistics.camber.moe/2020/GitRevised/
https://askubuntu.com/questions/32438/how-to-share-one-pgp-key-on-multiple-machines
https://omgdebugging.com/2019/08/04/install-latest-version-of-gnupg/
