使用 gpg key 让 git commit 更安全

使用 gpg key 让 git commit 更安全

目录

• 使用 gpg key 让 git commit 更安全
  • 起因
  • 安装 gpg
  • github 配置 gpg
  • zshrc 配置 gpg key
  • git 配置 gpg key
  • References

起因

避免别人伪造自己的 git commit。通过每次 git commit 时输入密码，大幅降低被伪造的概率。此密码即 gpg key 配置时设定的密码。生成 gpg key 后，在 git config 和 Github setting 中配置 gpg key，使得以后每次 git commit 都是带 gpg 签名的。

Github 官方给出了比较详细的文档，基于此进行实践，记录如下，包括文档中没有提到的细节。

安装 gpg

ubuntu 16.04：从 ppa 安装新版 gpg

按 github 上配置 gpg key，需要新版 gpg，ubuntu16.04 的 apt 提供的用不了，太旧，需要换新的：

sudo add-apt-repository ppa:savoury1/gpg
sudo apt-get update
sudo apt install gpg

使用中发现， ppa 安装的 gpg 会导致 add-ppa-repository 命令被卸载并且无法通过 apt 安装（破坏了依赖关系），考虑源码编译安装 gpg。

ubuntu 16.04：源码编译 gpg

cd ~/Downloads
INSTALL_PREFIX=/usr/local/gpg2
export PATH=$PATH:$INSTALL_PREFIX/bin
 
wget https://gnupg.org/ftp/gcrypt/libgpg-error/libgpg-error-1.41.tar.bz2
tar -xvf libgpg-error-1.41.tar.bz2
cd libgpg-error-1.41
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
 
 
 
wget https://gnupg.org/ftp/gcrypt/libgcrypt/libgcrypt-1.8.7.tar.bz2
tar -xvf libgcrypt-1.8.7.tar.bz2
cd libgcrypt-1.8.7
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
 
 
 
wget https://gnupg.org/ftp/gcrypt/libksba/libksba-1.5.0.tar.bz2
tar -xvf libksba-1.5.0.tar.bz2
cd libksba-1.5.0
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
 
 
wget https://gnupg.org/ftp/gcrypt/libassuan/libassuan-2.5.4.tar.bz2
tar -xvf libassuan-2.5.4.tar.bz2
cd libassuan-2.5.4
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
 
 
wget https://gnupg.org/ftp/gcrypt/ntbtls/ntbtls-0.2.0.tar.bz2
tar -xvf ntbtls-0.2.0.tar.bz2
cd ntbtls-0.2.0
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
 
 
wget https://gnupg.org/ftp/gcrypt/npth/npth-1.6.tar.bz2
tar -xvf npth-1.6.tar.bz2
cd npth-1.6
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
 
 
wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.27.tar.bz2
tar -xvf gnupg-2.2.27.tar.bz2
cd gnupg-2.2.27
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..
 
 
sudo apt-get install pinentry-curses

Windows

安装 Gpg4win，会安装 GnuPG 和 Gpg4win 两个目录。把 GnuPG/bin 放 PATH 里。

github 配置 gpg

按说应该 检查 gpg key，我第一次创建，不用检查。

生成 gpg

gpg --full-generate-key

然后注意，选 key 长度的时候，默认值是 3072，需要修改为 4096。

查看 gpg 公钥，

gpg --list-secret-keys --keyid-format LONG

/home/zz/.gnupg/pubring.kbx
---------------------------
sec   rsa4096/ABCABCABC1234567 2021-01-15 [SC]
      837F674FE2A5CC1B576BB8BA0961A0300B14A36D
uid                 [ 绝对 ] XX <XXXX@XX.com>
ssb   rsa4096/36E9306FBCE179EF 2021-01-15 [E]
 

选择ABCABCABC1234567这个。

导出 gpg 公钥

gpg --armor --export ABCABCABC1234567

粘贴到 Github 的 GPG 设置页面 里的 gpg key。

zshrc 配置 gpg key

~/.zshrc 需要配置：

export GPG_TTY=$(tty)

然后 source ~/.zshrc

否则无法弹出gpg输入密码的文本GUI界面，导致带签名的commit失败。

git 配置 gpg key

git config --global commit.gpgsign true
git config --global user.signingkey ABCABCABC1234567

重启 gpg agent 服务（否则导出 gpg 私钥会卡住没反应，报错说error receiving key from agent: timeout - skipped）

gpgconf --kill gpg-agent

导出 gpg 私钥：

gpg --export-secret-key -a > secretkey.asc

拷贝 gpp 私钥到另一台机器上：

scp secretkey.asc zz@172.X.Y.Z:/home/zz

在新机器上导入 gpg 私钥

gpg --import secretkey.asc

其中后两步也可以合并为：

gpg --export-secret-key -a | ssh 172.X.Y.Z gpg --import -

References

https://logistics.camber.moe/2020/GitRevised/

https://askubuntu.com/questions/32438/how-to-share-one-pgp-key-on-multiple-machines

https://omgdebugging.com/2019/08/04/install-latest-version-of-gnupg/