使用 gpg key 让 git commit 更安全

使用 gpg key 让 git commit 更安全

起因

避免别人伪造自己的 git commit。通过每次 git commit 时输入密码,大幅降低被伪造的概率。此密码即 gpg key 配置时设定的密码。生成 gpg key 后,在 git config 和 Github setting 中配置 gpg key,使得以后每次 git commit 都是带 gpg 签名的。

Github 官方给出了比较详细的文档,基于此进行实践,记录如下,包括文档中没有提到的细节。

安装 gpg

ubuntu 16.04:从 ppa 安装新版 gpg

按 github 上配置 gpg key,需要新版 gpg,ubuntu16.04 的 apt 提供的用不了,太旧,需要换新的:

sudo add-apt-repository ppa:savoury1/gpg
sudo apt-get update
sudo apt install gpg

使用中发现, ppa 安装的 gpg 会导致 add-ppa-repository 命令被卸载并且无法通过 apt 安装(破坏了依赖关系),考虑源码编译安装 gpg。

ubuntu 16.04:源码编译 gpg

cd ~/Downloads
INSTALL_PREFIX=/usr/local/gpg2
export PATH=$PATH:$INSTALL_PREFIX/bin

wget https://gnupg.org/ftp/gcrypt/libgpg-error/libgpg-error-1.41.tar.bz2
tar -xvf libgpg-error-1.41.tar.bz2
cd libgpg-error-1.41
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..



wget https://gnupg.org/ftp/gcrypt/libgcrypt/libgcrypt-1.8.7.tar.bz2
tar -xvf libgcrypt-1.8.7.tar.bz2
cd libgcrypt-1.8.7
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..



wget https://gnupg.org/ftp/gcrypt/libksba/libksba-1.5.0.tar.bz2
tar -xvf libksba-1.5.0.tar.bz2
cd libksba-1.5.0
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..


wget https://gnupg.org/ftp/gcrypt/libassuan/libassuan-2.5.4.tar.bz2
tar -xvf libassuan-2.5.4.tar.bz2
cd libassuan-2.5.4
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..


wget https://gnupg.org/ftp/gcrypt/ntbtls/ntbtls-0.2.0.tar.bz2
tar -xvf ntbtls-0.2.0.tar.bz2
cd ntbtls-0.2.0
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..


wget https://gnupg.org/ftp/gcrypt/npth/npth-1.6.tar.bz2
tar -xvf npth-1.6.tar.bz2
cd npth-1.6
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..


wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.27.tar.bz2
tar -xvf gnupg-2.2.27.tar.bz2
cd gnupg-2.2.27
./configure --prefix=$INSTALL_PREFIX
make -j8
sudo make install
cd ..


sudo apt-get install pinentry-curses

Windows

安装 Gpg4win,会安装 GnuPG 和 Gpg4win 两个目录。把 GnuPG/bin 放 PATH 里。

github 配置 gpg

按说应该 检查 gpg key,我第一次创建,不用检查。

生成 gpg

gpg --full-generate-key

然后注意,选 key 长度的时候,默认值是 3072,需要修改为 4096

查看 gpg 公钥,

gpg --list-secret-keys --keyid-format LONG
/home/zz/.gnupg/pubring.kbx
---------------------------
sec   rsa4096/ABCABCABC1234567 2021-01-15 [SC]
      837F674FE2A5CC1B576BB8BA0961A0300B14A36D
uid                 [ 绝对 ] XX <XXXX@XX.com>
ssb   rsa4096/36E9306FBCE179EF 2021-01-15 [E]

选择ABCABCABC1234567这个。

导出 gpg 公钥

gpg --armor --export ABCABCABC1234567

粘贴到 Github 的 GPG 设置页面 里的 gpg key。

zshrc 配置 gpg key

~/.zshrc 需要配置:

export GPG_TTY=$(tty)

然后 source ~/.zshrc

否则无法弹出gpg输入密码的文本GUI界面,导致带签名的commit失败。

git 配置 gpg key

git config --global commit.gpgsign true
git config --global user.signingkey ABCABCABC1234567

重启 gpg agent 服务(否则导出 gpg 私钥会卡住没反应,报错说error receiving key from agent: timeout - skipped)

gpgconf --kill gpg-agent

导出 gpg 私钥:

gpg --export-secret-key -a > secretkey.asc

拷贝 gpp 私钥到另一台机器上:

scp secretkey.asc zz@172.X.Y.Z:/home/zz

在新机器上导入 gpg 私钥

gpg --import secretkey.asc

其中后两步也可以合并为:

gpg --export-secret-key -a | ssh 172.X.Y.Z gpg --import -

References

https://logistics.camber.moe/2020/GitRevised/

https://askubuntu.com/questions/32438/how-to-share-one-pgp-key-on-multiple-machines

https://omgdebugging.com/2019/08/04/install-latest-version-of-gnupg/

posted @ 2021-01-15 11:29  ChrisZZ  阅读(1925)  评论(0编辑  收藏  举报