使用 GPG 签名 Git 提交，让它安全可信

用过 Git 的人应该知道，Git 提交的用户名和邮箱通过 git config 设置的。

一般都会设置成自己的用户名和邮箱，但也可以随意设置。

也就意味着，任何人都可以以你的名义进行提交。

那么如何确保你的提交的可信度，证明它来自真正的你，而不是别人呢？

这里就可以通过使用 GPG 签名你的提交，然后通过 GPG 对它进行验证。

 

GitHub 支持使用 GPG 签名提交和标签。

GitLab 自 9.5 版本开始，也支持使用 GPG 签名提交了（目前尚不支持 GPG 验证标签）。
Gitee（码云）也支持使用 GPG 签名提交。

 

下面在 GitLab  12.3.5 及 MacOS 环境下进行实际操作。

 

 

brew install gpg

2、用以下命令生成 GPG key。

它是一个交互式命令，会要求你选择使用哪种算法、密钥长度，指定密钥的有效期，输入你的真实姓名以及电子邮件等： 

注意：该电子邮件必须与你 GitLab 中所使用的电子邮件相匹配。

Gitlab 页面右上角，单击你的头像，Settings—> GPG keys，然后粘贴 GPG key。

 

git config --global user.signingkey 66DD4800155F7A2B # 或者 git config user.signingkey 66DD4800155F7A2B

签名提交

git commit -S -m “commit message"

2、此外，Git 可以设置默认使用 GPG 签名提交：

2、通过单击 GPG 徽章，将显示签名的详细信息。

 

撤销密钥将取消验证已签名的提交，通过使用此密钥验证的提交将变为未验证状态。如果你的密钥已被盗用，则应使用此操作。

删除密钥不会取消验证已签名的提交。使用此密钥验证的提交将保持验证状态。

在 Git 中通过命令行验证相关提交的签名

$ git log --show-signature -1 commit 374010d1af1de40fdf8f1f6f5cca0c0c60e4fe9d (HEAD -> master, origin/master, origin/HEAD) gpg: 签名建立于 四 10/31 11:24:16 2019 CST gpg: 使用 RSA 密钥 39033F321A83635ECD7FC8DA66DD4800155F7A2B gpg: 完好的签名，来自于 “admin <admin@example.com>” [绝对] Author: admin <admin@example.com> Date: Thu Oct 31 11:24:16 2019 +0800 update README.md