GitHub GPG签名 Tag签名 Verified认证,防伪造的github commits

最新推荐文章于 2024-03-05 15:33:01 发布
最新推荐文章于 2024-03-05 15:33:01 发布
阅读量1.8w 收藏 3
点赞数
分类专栏: 其它 应用 GitHub 网络 文章标签: GitHub签名 防伪造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duke56/article/details/86498558
版权
应用 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
其它
10 篇文章 0 订阅
订阅专栏
网络
4 篇文章 0 订阅
订阅专栏

1、首先生成一个密钥(可在Linux控制台,Windows下有Cygwin64等)安装好gnupg套件后

$ gpg --gen-key
gpg (GnuPG) 1.4.23; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

请选择您要使用的密钥种类:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (仅用于签名)
   (4) RSA (仅用于签名)
您的选择?
RSA 密钥长度应在 1024 位与 4096 位之间。
您想要用多大的密钥尺寸?(2048)4096
您所要求的密钥尺寸是 4096 位
请设定这把密钥的有效期限。
         0 = 密钥永不过期
      <n>  = 密钥在 n 天后过期
      <n>w = 密钥在 n 周后过期
      <n>m = 密钥在 n 月后过期
      <n>y = 密钥在 n 年后过期
密钥的有效期限是?(0)

注意:生成GPG Key时所填写的邮箱地址必须跟注册GitHub账号所使用的邮箱相同

DSA和RSA的区别(密钥加密算法)


RSA加密算法是最常用的非对称加密算法,CFCA在证书服务中离不了它。它既能用于加密,也能用于数字签名。

RSA是目前最有影响力的公钥加密算法,该算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,
但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥,即公钥,而两个大素数组合成私钥。
公钥是可发布的供任何人使用,私钥则为自己所有,供解密之用。
 
解密者拥有私钥,并且将由私钥计算生成的公钥发布给加密者。
加密都使用公钥进行加密,并将密文发送到解密者,解密者用私钥解密将密文解码为明文。

-------------------------------------------------------------------------------------

Digital Signature Algorithm (DSA)是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS(DigitalSignature Standard)

DSA的一个重要特点是两个素数公开,这样,当使用别人的p和q时,
即使不知道私钥,你也能确认它们是否是随机产生的,还是作了手脚。RSA算法却做不到

DSA是基于整数有限域离散对数难题的,其安全性与RSA相比差不多

DSA算法是美国的国家标准数字签名算法,它只能用户数字签名,而不能用户数据加密和密钥交换。
DSA 一般用于数字签名和认证,只用于签名,它比RSA要快很多

2、查看生成的密钥ID,这里的KeyID为886C8FB9

$ gpg -k
/home/kend/.gnupg/pubring.gpg
-----------------------------
pub   3072D/886C8FB9 2019-01-15        # 3072D为密钥长度和加密类型,886C8FB9才是KeyID
uid                  kend56 (Git签名) <kend56@qq.com>

3、导出公钥

$ gpg -a -o key.txt --export 886C8FB9    # 导出公钥,公钥可以随便公开,千万别公开私钥

4、用文本编辑器打开导出的key.txt文件,并将里边的内容放GitHub的Settings --- > SSH and GPG keys

 

5、设置 Git 全局要签名的Key

# 设置 Git 全局要签名的Key
git config --global user.signingkey 886C8FB9    # 886C8FB9为生成的GPG KeyID

# 如果要让当前git项目启用签名验证,使用下面的命令:
git config commit.gpgsign true			# 设置:false 为关闭

# 如果要让所有项目都启用签名验证:
git config --global commit.gpgsign true		# 设置 Git 全局提交都要签名

# 如果没有设置局部仓库或全局仓库默认开启 commits GPG 验证,提交时可以添加 -S 参数,要求进行 GPG 验证

# Git里填写的提交者信息,必须跟注册的GitHub帐号相同的邮箱,否则会显示 "Unverified"标志
git config --global user.email "kend56@qq.com"

6、commit 带签名提交

$ git commit -am "add"		# 提交
[master(根提交) 72064f0] add
 1 file changed, 0 insertions(+), 0 deletions(-)
 create mode 100644 t.txt

# 未设置git config --global commit.gpgsign true
# 可手动选择带签名提交:git commit -S -am "add"

$ git log --show-signature	# 查看带签名的提交
commit 72064f01e84f10497664f4a205832abff72b4cc2 (HEAD -> master)
gpg: 签名建立于 2019年01月15日,周二 20:43:55 CST
gpg:               使用 DSA 密钥 2CAF2804886C8FB9
gpg: 完好的签名,来自于“kend56 (Git签名) <kend56@qq.com>”
Author: kend56 <kend56@qq.com>
Date:   Tue Jan 15 20:43:54 2019 +0800

    add

7、带签名的tag提交

# -u 后面跟着的就是GPG KeyID
$ git tag -u "886C8FB9" -s v0.0.1 -m "说明"

$ git show v0.0.1    # 查看带签名tag信息
tag v0.0.1
Tagger: kend56 <kend56@qq.com>
Date:   Tue Jan 15 21:24:50 2019 +0800

说明
-----BEGIN PGP SIGNATURE-----

iF4EABEIAAYFAlw93yMACgkQLK8oBIhsj7kqRQEAldiUJ0m3i3A30WtrXZsp2rws
wrbyIAJd1WXZLxQHp3gA/3FHG7XJ3nFOuvu6lo4K5EVDWyrgNmedffaf9TAay2W0
=c5fI
-----END PGP SIGNATURE-----

commit 72064f01e84f10497664f4a205832abff72b4cc2 (HEAD -> master, tag: v0.0.1)
Author: kend56 <kend56@qq.com>
Date:   Tue Jan 15 20:43:54 2019 +0800

    add

diff --git a/t.txt b/t.txt
new file mode 100644
index 0000000..e69de29

8、提交后查看,如图(一个使用和注册GitHub相同邮箱,另一个为不同邮箱,所显示的认证标志)

点击认证标志可以看到用户相关内容

 

duke56
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
workshop-tonkotsu-nodejs:the GitHub认证合作伙伴“ tonkotsu”研讨会的资料库
05-12
欢迎 该存储库包含我们的本地GitHub认证合作伙伴研讨会计划的基础项目部分。 它打算在GitHub教练的指导下用于课堂培训。 这是我们的“ Tonkotsu”研讨会网络应用程序的NodeJS版本。 代码库非常简单:这是一个NodeJS应用程序,它将连接到GitHub的并返回当天的Zen报价。 例如: 演示(成功) 演示(失败) 有一些内置的单元测试,以确保可以验证所有内容。 指示 请派生此存储库,并确保您具有本地工作副本。 您将需要一个可运行的NodeJS环境。 从或通过您的OS软件包管理器(例如Mac上的brew或Windows上的chocolatey )获取最新的稳定版本。 设置: npm install 测试: npm run test 运行服务器(默认为localhost:3000): npm start 按照教练的指示,祝你好运!
Github的一个奇技淫巧
crossoverJie专栏
09-19 68
Github的一个奇技淫巧.png背景前段时间给 VictoriaLogs 提交了一个 PR:https://github.com/VictoriaMetrics/VictoriaMetrics/pull/4934本来一切都很顺利,只等合并了,但在临门一脚的时候社区维护人员问我可否给 git commit 加上签名。于是我就默默的调试到了凌晨四点????image.png以前我也没怎么注意过这个选项,经...
使用keybase给你的Github commit加上GPG Verified签名认证(keybase教程)
幻日のヨハネ
01-31 1518
前言 你的项目 git commit 都是你本人提交的吗? 如何证明我就是我? 在 github 使用 GPG 秘钥加上 Verified 验证你就是你自己! 建立 GPG KEY 初始化 gpg 只要安装了 git ,在 git bash 内默认可以使用 gpg 功能: 我们假定你从来没有生成过 gpg 秘钥,右键打开 git bash ,先初始化一下 gpg 功能: gpg --list-secret-keys --keyid-format LONG 建立 gpg key 本地生成 gpg ke
git 代理 git_如何签署您的Git承诺
weixin_26722031的博客
08-01 1623
git 代理 gitEven if you don’t know about signed Git commits, you might have seen the screen above on GitHub. 即使您不了解已签名的Git提交,您也可能已经在GitHub上看到了上面的屏幕。 Let’s leave everything else aside from a moment — is...
github Commits must have verified signatures
最新发布
或非与博客
03-05 457
github Commits must have verified signatures
githubverified标签是什么
永立的专栏
05-08 5324
现象 看github仓库的提交记录,发现通过github网页提交的评论,或者改的代码都有Verfied标签,而我自己提交的代码都没有该标签。 原因 Verified标签表示,这个commit确实是commiter本人所为,而没有该标签未必是本人提交的。这个好理解,因为github的提交log的提交人可以随意修改。 如果想本地提交代码也有标签,可以通过使用gpg密钥验证github提交。使用gp...
github标记Verified提交GPG验证
weixin_43925734的博客
12-05 694
github提交验证,直接生效 验证方式为:GPG验证 1.如果没有gpg则下个pgp 2.创建gpg秘钥 3.把gpg密码加入github管理 4.配置本地上传校验gpg 这是总网址:https://help.github.com/cn/github/authenticating-to-github/checking-for-existing-gpg-keys //查看自己的gpg秘钥 如果为...
一文解决最新版github(采用个人访问令牌)登陆方式报错
个人总结
06-20 2006
最新版github(采用个人访问令牌)登陆方式,报错解决方案
Git学习总结(在windows下git的安装与配置)
weixin_45846863的博客
12-01 170
Git学习总结(在windows下git的安装与配置) 1.先建立一个github账号 点击进入github的官网 https://github.com/account/unverified-email 然后开始申请一个github账号,在申请时需要绑定一个邮箱即可(我申请的时候绑定的是qq邮箱) 2.安装git Git的官方下载地址:https://git-scm.com/download/...
GitHubGPG签名
qq_25143591的博客
11-11 657
GitHub 前几天支持 GPG 签名验证提交了(via),今天对我的 GitHub 账户做了相应的设置,本文记录过程备考。
probot-gpgGitHub应用,对拉取请求强制执行GPG签名(不再维护)
02-04
Probot GPG 使用构建的GitHub应用,可在请求请求时强制执行GPG签名弃用该GitHub App不再保持最新,被认为已弃用。 建议改用提交签名验证。建立# Install dependenciesnpm install# Run the botnpm start用法在您的...
commits-graph:在GitHub生成组提交的图形
02-03
提交图在GitHub生成组提交图暂时在公开。
action-get-tag:GitHub操作以获取推送的标签名
05-13
获取标签Github Action 仅负责一项的简单操作-输出标签名称(由... on : push : tags : - ' * '- name : Get tag id : tag uses : dawidd6/action-get-tag@v1- name : Use tag run : echo ${{steps.tag.outputs.tag}}
GitHub for Windows离线安装包
05-21
鉴于许多情况,一些用户无法正常安装github客户端,特此将Githu for windows离线安装包分享给大家
ghaction-import-gpgGitHub Action轻松导入GPG密钥
02-03
GitHub Action,轻松导入GPG密钥。 如果您有兴趣,我的其他 GitHub动作! 产品特点 适用于Linux,MacOS和Windows 允许使用提供的密码为gpg-agent的内部缓存添加种子 从运行器清除导入的GPG密钥,缓存信息并杀死...
_CRT_SECURE_NO_WARNINGS错误提示,解决办法
热门推荐
任逍遊 --- [专用空间]
09-01 15万+
#include <stdio.h> int main(void) { char str[256] = {0}; scanf("%255s",str); printf("Hello World!\n"); printf("%s\n",str); return 0; } 一个简单的C的Hello World,如果用高版本的VS来编译,会提示 ...
更改Edge浏览器缓存位置
任逍遊 --- [专用空间]
01-16 4万+
一、前言 缓存有时候是个比较讨厌的东西,会产生很多垃圾,同时会让磁盘产生大量的磁盘碎片,大大的降低磁盘性能。 通过更改缓存位置,可以一定程序上改善磁盘碎片。 比如专门分个区用来存放App的缓存等,如果是大内存,可以使用Ramdisk、F-Stream Tuning(华擎主板专用)等工具来将内存虚拟出一块磁盘来当缓存盘。 二、查看缓存 Edge浏览器缓存位置是系统级的隐藏文件夹,需要设置相...
Windows沙盒缓存文件、Windows沙盒虚拟磁盘文件、Windows Sandbox缓存文件、Windows沙盒垃圾清理
任逍遊 --- [专用空间]
01-17 3万+
一、前言 最近博主试用了一下Win10 的沙盒(Windows Sandbox)功能,虽然挺不错的,但是目前沙盒跟其它虚拟软件存在冲突,如开启了沙盒功能,VMware、VirtualBox等虚拟软件将无法正常启动虚拟机。 如果还想使用VMware、VirtualBox等虚假机软件,请参考:https://blog.csdn.net/duke56/article/details/10384629...
C语言main函数返回值详解
任逍遊 --- [专用空间]
08-30 2万+
前言:本文程序代码均在Windows + mingw64环境下编译完成(gcc) C语言的main函数有两个标准写法 // C99加入两种 main 标准写法 int main(void) // 标准一写法 // 和 int main(int argc,char *argv[]) // 标准二写法 int main(int argc,char **argv) // ...
GitHub Copilot的学生认证在哪里认证
05-20
GitHub Copilot的学生认证可以通过GitHub Education计划进行认证。你需要先申请GitHub Education计划,并验证你的学生身份。一旦验证成功,你就可以使用GitHub Copilot并享受相关的学生优惠。具体的认证流程可以参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值