使用Git-Crypt和GPG加密Git代码库中的敏感信息(二)

最新推荐文章于 2024-05-17 18:04:02 发布
最新推荐文章于 2024-05-17 18:04:02 发布
阅读量1.1k 收藏 24
点赞数 32
分类专栏: 加密解密 信息安全 文章标签: git 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maygodblessme/article/details/136491961
版权

在之前的 使用Git-Crypt和GPG加密Git代码库中的敏感信息(一)介绍了git-crypt的一般用法,通过分发密匙达到加解密仓库中敏感数据的目的,但通过分发密钥,容易造成密钥泄露,实际应用中会结合GPG的公私钥来来分发Git-Crypt 加解密仓库敏感信息的权限 ,如果对GPG不了解可以阅读GPG加密与数字签名以及在Git 中使用GPG签名提交 了解一下GPG的基本用法。

git-crypt 添加GPG公钥用户

GPG 的私钥和公钥其实代表了拥有这个GPG公私钥的用户的身份,可以通过使用git-crypt命令添加GPG 公钥用户到使用git-crypt加密敏感数据的git 代码仓库,从而让此GPG 公钥用户有git-crypt unlock的权限,具体操作使用如下命令。

首先获取当前机器的GPG 公钥列表

PS C:\Users\David> gpg --list-keys --keyid-format=long
[keyboxd]
---------
pub   rsa1024/B26A154E6EE71E72 2024-02-20 [SC] [expires: 2034-02-17]
      96964DABF5A3A10BE371FB34B26A154E6EE71E72
uid                 [ultimate] David Wang <davidwang@gmail.com>
sub   rsa1024/C1305211C9667A9E 2024-02-20 [E] [expires: 2034-02-17]

然后在代码从仓库根目录运行如下命令

git-crypt add-gpg-user B26A154E6EE71E72

这个命令会在根目录下创建一个使用keyid匹配的GPG 公钥加密git-crypt init产生的用于加解密代码仓库敏感信息的对等密匙产生的文件。这里有两层密钥,第一层是git-crypt init产生的密钥,这是一个对等密匙,用于加解密仓库敏感信息,第二层密钥是GPG 公钥,上面的命令使用GPG公钥加密第一层git-crypt init命令产生的密钥,将加密后的密钥内容保存成文件。效果如下图所示。

这样,下次使用git-crypt unlock 解密的时候,就不用传密钥文件参数给git-crypt unlock命令了,git-crypt 会自动遍历根目录下.git-crypt目录下的密钥文件,并尝试比对看本机有没有安装相对应的GPG私钥来解密这个.git-crypt目录下的密钥文件以获得GPG公钥加密后的git-crypt的对等加密密钥,如果本机有对应GPG私钥可以解密,然后就使用GPG私钥解密加密后的密钥文件获取git-crypt 密钥,然后使用git-crypt密钥加解密代码仓库中的加密过的敏感信息文件。如下所示。

先测试加密

在测试解密

输入私钥密码后

可以看到通过添加GPG user之后使用git-crypt unlock命令之后,不用传密钥文件参数来解密了。

git-crypt 添加新GPG公钥用户

通过这样的方式如果想要别人也有使用git-crypt 加解密仓库中的敏感信息,就可以让别人发送他的GPG公钥给你,然后你把对方的公钥导入到你机器上,然后通过git-crypt add-gpg-user 来使用它的gpg文件来加密git-crypt 密钥并在.git-crypt 文件生成一个加密密钥文件并提交push到远程代码仓库,这样别人在本地重新拉取代码后就也可以使用git unlock命令解密代码库中的敏感信息了,因为.git-crypt目录下包含了使用它的gpg 加密git-crypt密钥生成的加密密钥文件,而它本机装有自己的GPG私钥,所以git-crypt unlock 的时候就可以使用它自己的gpg 解密加密密钥文件获取git-crypt 密钥然后解密仓库敏感信息了,具体操作步骤如下。

导入别人GPG公钥

PS D:\projects\ecpcb\galaxy-core> gpg --import .\davidpub2.asc
gpg: key 9C796163E291AF14: public key "david.wang <davidwang@gmail.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1
PS D:\projects\ecpcb\galaxy-core>

此时再看本机GPG 公钥列表

PS D:\projects\ecpcb\galaxy-core> gpg --list-keys --keyid-format long
[keyboxd]
---------
pub   rsa1024/B26A154E6EE71E72 2024-02-20 [SC] [expires: 2034-02-17]
      96964DABF5A3A10BE371FB34B26A154E6EE71E72
uid                 [ultimate] David Wang <davidwangqing@live.com>
sub   rsa1024/C1305211C9667A9E 2024-02-20 [E] [expires: 2034-02-17]

pub   rsa2048/9C796163E291AF14 2024-03-04 [SC]
      F49C56FF5264AB5CF5F6A3E09C796163E291AF14
uid                 [ unknown] david.wang <davidwang@gmail.com>
sub   rsa2048/7793195898DF2C11 2024-03-04 [E]

PS D:\projects\ecpcb\galaxy-core>

设置你对导入的GPG公钥的信任级别到ultimately , 不然git-crypt 添加GPG公钥用户会报错

PS D:\projects\ecpcb\galaxy-core> gpg --edit-key  9C796163E291AF14
gpg (GnuPG) 2.4.4; Copyright (C) 2024 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  rsa2048/9C796163E291AF14
     created: 2024-03-04  expires: never       usage: SC
     trust: full          validity: unknown
sub  rsa2048/7793195898DF2C11
     created: 2024-03-04  expires: never       usage: E
[ unknown] (1). david.wang <davidwang@gmail.com>

gpg> trust
pub  rsa2048/9C796163E291AF14
     created: 2024-03-04  expires: never       usage: SC
     trust: full          validity: unknown
sub  rsa2048/7793195898DF2C11
     created: 2024-03-04  expires: never       usage: E
[ unknown] (1). david.wang <davidwang@gmail.com>

Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately
  m = back to the main menu

Your decision? 5
Do you really want to set this key to ultimate trust? (y/N) y

pub  rsa2048/9C796163E291AF14
     created: 2024-03-04  expires: never       usage: SC
     trust: ultimate      validity: unknown
sub  rsa2048/7793195898DF2C11
     created: 2024-03-04  expires: never       usage: E
[ unknown] (1). david.wang <davidwang@gmail.com>
Please note that the shown key validity is not necessarily correct
unless you restart the program.

gpg> quit

然后添加这个GPG 公钥用户到代码仓库

PS D:\projects\ecpcb\galaxy-core> git-crypt add-gpg-user 9C796163E291AF14
[feature/gitcrypt 4718ae8] Add 1 git-crypt collaborator
 1 file changed, 0 insertions(+), 0 deletions(-)
 create mode 100644 .git-crypt/keys/default/0/F49C56FF5264AB5CF5F6A3E09C796163E291AF14.gpg
PS D:\projects\ecpcb\galaxy-core>

添加后会在代码仓库根目录的.git-crypt目录下产生一个新的用GPG公钥加密git-crypt密钥的加密密钥文件。

提交代码到远程仓库之后,持有GPG公钥的用户就可以使用git-crypt unlock解密敏感信息了。

总之,通过GPG公钥来授权用户加解密仓库敏感信息的做法比发送git-crypt共享密钥文件的方式要安全很多,新的GPG公钥用户的添加必须有老的已经拥有仓库敏感信息加解密权限的人来添加,也就是由.git-crypt目录下所列举的 keyid(文件的名字就是GPG 的keyid) 的GPG 公钥拥有者来添加。

相关文章:

  使用Git-Crypt和GPG加密Git代码库中的敏感信息(一) 

  GPG加密与数字签名以及在Git 中使用GPG签名提交 

量子游侠
关注
  • 32
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
git-crypt:git中的透明文件加密
04-06
git-crypt-git中的透明文件加密 git-crypt启用git存储库中文件的透明加密和解密。 您选择保护的文件在提交时会加密,而在签出时会解密。 git-crypt使您可以自由共享包含公共和私有内容混合的存储库。 git-crypt会正常降级,因此没有密钥的开发人员仍然可以克隆并提交到包含加密文件的存储库。 这使您可以将您的机密资料(例如密钥或密码)与代码存储在同一存储库中,而无需锁定整个存储库。 git-crypt是由 ( )编写的。 有关更多信息,请参见 。 构建git-crypt 请参阅文件。 使用git-crypt 配置存储库以使用git-crypt: cd repo git-crypt init 通过创建.gitattributes文件来指定要加密的文件: secretfile filter=git-crypt diff=git-crypt *.key fi
Git-Crypt:在提交之前加密解密敏感文件并保存在公共存储库中
06-25
Git::地穴 Git::Crypt - 加密/解密保存在公共存储库中敏感文件 概要 gitcrypt 命令行工具 gitcrypt help #show gitcrypt help gitcrypt init #initialize gitcrypt and its config gitcrypt set cipher Blowfish #set a gitcrypt cipher gitcrypt set key "some key" #set a key gitcrypt set salt "some key" #set a salt gitcrypt change key "new key" #change key gitcrypt change salt "a salt
git-remote-s3:从s3存储桶中推送和拉出git repos,使用gpg加密
02-03
git-remote-s3:从s3存储桶中推送和拉出git repos,使用gpg加密
git-backup:GPG加密Git存储库备份
05-14
基于GPGGit加密 也许您希望将私有git存储库存储在诸如dropbox之类的公共商店中,并且您不希望Dropbox员工或传票dropbox的人员能够访问其内容。 然后,您可能对该工具感兴趣。 就像除了它一次加密所有加密,而不是每次提交加密。 由于它不会破坏git的delta算法,因此可大大缩小文件大小。 它的集成度也略低:您需要运行一个额外的命令,并且它是不可配置的。 要求 gpg应该在你的道路上。 /bin/bash应该是理智的。 tar应该在您的路径上,并且应该像GNU tar一样接受参数。 这应该不用说,但是您还需要git 。 如果您的系统与此稍有出入,则可以轻松进行工作。 给我发送请求。 用法 在存储库中运行git backup ,以将加密副本存储到Dropbox。 cd myprivaterepo git backup 每当您进行一些更改时,请运行git bac
使用Git-CryptGPG加密Git代码库中敏感信息(一)
坚韧不拔,向阳而生
03-04 1378
在软件开发过程中,经常需要在代码库中处理敏感信息,比如API密钥、密码或配置文件等。这些信息如果被未经授权的人访问,可能会导致安全漏洞或数据泄露。因此,保护这些敏感信息变得至关重要。本文将介绍如何使用git-cryptGPG(GNU Privacy Guard)来加密Git代码库中敏感信息
git-crypt】对git仓库实现数据加密(mac版本)
m0_51634403的博客
12-18 424
首先在root仓库目录下完成git-crypt的初始化,其会默认: - 生成一个默认的加密 key 文件:.git/git-crypt/keys/default - 修改 .git/config,在其中加上 filter 和 diff 相关的配置
使用git-crypt加密敏感内容
huihui_1223的博客
08-18 1801
使用git-crypt加密敏感内容 使用方法: 1、安装git-crypt命令 下载地址:https://github.com/oholovko/git-crypt-windows/releases 将git-crypt.exe copy到Git的安装名录:XXX\Git\cmd 2、生成密钥 进入到本地工程目录,打开Git Base Here,执行git-crypt init, 注意:只管理私钥者执行此命令,生成唯一的私钥,以防多份私钥加密导致出错 3、创建.gitattribute..
通过git-crypt加密敏感文件
随缘同学的博客
02-28 1105
下载git-cryptgithub上下载exe 找个合适的目录放着 放在本机git安装目录的cmd目录下(C:\Program Files\Git\cmd),因为该目录已经配置好了环境变量 放其他目录则需手动配置环境变量 生成密钥 # 在命令行中执行一次,生成一份私钥即可 git-crypt init # 类似于git init,安装git-crypt到项目中 git项目根目录中创建.gitattributes文件,配置需加密的文件 # 配置格式 # file filter=git-crypt d
git加密git-crypt
Abrave_2007的专栏
06-24 696
1. copy git-crypt.exe libeay32.dll to C:\Program Files\Git\mingw64\bin 2. cd project 3. git-crypt init 4. specify files to encrypt by creating a .gitattributes file: secretfile filter=git-crypt diff=git-crypt *.key filter=git-crypt diff=git-crypt ...
git-crypt.exe
08-18
对于Git上私密的或者不愿共享的文件进行加密,在本地生成密钥,然后copy给需要的队友,解密操作只需一次,可保证私密文件只对可信任的人是文明显示,其他人打开都是乱码
使用Git-CryptGPG加密Git代码库中敏感信息)(1)
2401_84181704的博客
04-08 950
义、实战项目、讲解视频,并且后续会持续更新**
使用Git-CryptGPG加密Git代码库中敏感信息(一),网络安全工作资料
2401_84139711的博客
04-06 684
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
git常见命令
qq_15679453的博客
01-10 167
gitk 调出git 查看修改内容 mkdir: XX (创建一个空目录 XX指目录名)   pwd: 显示当前目录的路径。   git init 把当前的目录变成可以管理的git仓库,生成隐藏.git文件。   git add XX 把xx文件添加到暂存区去。   git commit –m “XX”...
idea连接远程仓库
m0_74462339的博客
05-14 243
url为远程仓库的地址,输入好后,选择项目存放目录,再点击克隆。
小白git
sinat_38992528的博客
05-15 176
如果没有.git文件的话:git init。克隆 :git clone 链接地址。切换分支:cd 目录。
git branch 、 git tag、等常用的增删改查 (本地和远程)
小学都hold不住的工程shi
05-14 594
本地标签及远程标签的增删改查。
pyecharts 输出空白不显示图形的解决办法
最新发布
found的专栏
05-17 200
把需要从网络加载的资源安装到本地,pycecharts 贴心地准备了 pyecharts-assets 包,需要用到的资源都放进了这个包里。如果 clone 不成功,可以多试几次,不想被特色的问题困扰也可以下载文章顶部展示的资源 pyecharts-assets.zip。因为特色的网络问题,pyecharts 绘制图形需要的资源无法加载,导致出现空白输出。可以正常显示绘制的图形了。
linux git 发邮件,在Linux中无法使用git send-email发送源代码和补丁
06-03
在Linux中使用git send-email发送源代码和补丁需要先进行一些配置和设置。以下是一些可能出现问题的原因和解决方法: 1. 缺少sendmail或者类似的邮件发送软件 - 可以使用以下命令安装sendmail: ``` sudo apt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值