git 轻松上手(五)github 加个 GPG 签名验证

原创 已于 2024-03-12 14:23:42 修改 · 1.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#github #git

于 2020-11-17 21:54:01 首次发布
为保证账户和数据安全,GitHub 提供签名验证功能。本文介绍了 GPG 验证的必要性,未验证和已验证状态下提交代码的情况,还详细说明了创建 GPG 签名的步骤,包括检查现有密钥、生成新密钥、查看复制密钥及填充到 GitHub,提升了项目安全性。

为项目增加 GPG 验证

为什么需要 GPG 验证?

为了保证我们的账户以及数据的安全性,GitHub 提供了签名验证的功能,来确认每次的提交来自可信的来源。我们需要做的就是提供一个加密签名,供 github 进行验证。

未验证

在我们日常开发中,未进行签名验证, 提交的代码状态如下所示

已验证

当我们增加了签名验证后,给自己的 commit 进行加密传输。每次 commit 后的代码会弹出输入 purhase 的弹框。只有正确输入 purhase ,才会出现 verified的字样
在这里插入图片描述
在多人协作的项目中,仓库管理员可以根据需要,设置是否阻止未签名和验证的所有提交。

如何创建 GPG 签名?

1. 检查现有 GPG 密钥

gpg --list-secret-keys --keyid-format LONG

该命令列出同时具有公钥和私钥的GPG密钥。签名提交或标记需要私钥
检查密钥可以看到此时我的电脑上并没有创建过密钥的记录

2. 生成新的 GPG 密钥

windows 系统下,打开 bash 面板。

gpg --default-new-key-algo rsa4096 --gen-key

注意:密钥必须使用 RSA,且长度不得少于4096

按照提示输入自己的昵称、邮箱、以及commit时的确认密码

遇到需要确认的问题可以直接按 enter
生成 GPG 密钥

3. 查看并复制

gpg --list-secret-keys --keyid-format LONG

可以发现此时有了一个带有 ID 和邮箱的密钥
将此 ID 复制出来
查看密钥
执行以下命令将 ID 对应的密钥复制出来

gpg --armor --export 03CAB20EBF939F41F3209CDC6671CBC591A

在这里插入图片描述

然后就可以将-----BEGIN PGP PUBLIC KEY BLOCK-----这段输出的结果复制到粘贴板上

4. 填充至 github

打开自己的 Github 主页,找到 settings > SSH and GPG keys

新建一个 GPG KEY
在这里插入图片描述

将刚刚复制的密钥粘贴进来,点击保存即可

之后的提交都需要输入安全密码,虽然提交流程多了一步,但是提升了项目的安全性。

参考文档:
github-docs

使用GPG签名部署Github Pages
timerring的博客
01-28 1710
本文也发布在我的博客上,最新修订内容可随时参考:使用GPG签名部署Github Pages 这周忙着迁移博客,偶然了解到GitHub存在提交伪造的风险,出于安全考虑给仓库添GPG签名。但在使用Hugo部署时,遇到了关于GPG签名能否在部署流程中生效的问题,好在最终解决了。
gpg 密钥生成、导入、导出、自动输入密码
LuckyTHP
10-10 3183
一、系统环境二、常用命令(以签名密钥为例)(1)生成密钥(2)列出私钥(3)列出公钥(4)导出公钥(5)导出私钥(6)导入公钥/私钥(7)删除公钥(8)删除私钥三、在对私钥进行操作时,避免弹窗输入密码(1)直接输入密码(2)将密码输入到文件里。
阿里云ecs实例化后1
weixin_49777901的博客
08-04 1113
阿里云ecs实例化后1登录云服务器安装LAMP环境部署网站应用创建环境副本(可选) 登录云服务器 在购买ECS服务器后,系统会创建一个ECS实例。每一个ECS实例对应一台已购买的云服务器。您可以通过电脑上自带的终端工具访问云服务器,进行应用部署和环境搭建。 在ECS实例列表页面,选择实例的所属地域。 找到目标实例,然后在操作列选择【更多】> 【密码/密钥】 > 重置实例密码,然后在弹出的对话框设置ECS实例的登录密码。 在弹出的页面,单击【立即重启】使新密码生效。 在ECS实例列
GitHubGPG签名
qq_25143591的博客
11-11 829
GitHub 前几天支持 GPG 签名验证提交了(via),今天对我的 GitHub 账户做了相应的设置,本文记录过程备考。
GPG操作——签名验证
snowolf_37的专栏
05-30 1528
最近回顾以前接触却没能理解的技术问题,逐步恢复博客高产出的习惯~ 问题描述: 可能大家都遇到过软件在下载过程中由于网络原因导致下载的软件体积与实际软件体积不符。最常见的办法是对待下载文件附一个摘要文件。这种做法比较常见,也比较容易实现。但是,还是会有一个问题:如果我篡改了网站,改变了文件的内容,并对该文件做了一次摘要,替换了原有的摘要文件。那用户下载的文件就失去了摘要验证的意义。如何避免...
Git学习总结—— (Git基础、GithubGit分支)
weixin_52819925的博客
08-24 1466
一、起步 ()关于版本控制 1.文件的版本 2.版本控制软件 版本控制软件是一个用来记录文件变化,以便将来查阅特定版本修订情况的系统,因此有时也叫做“版本控制系统” 通俗的理解:把手工管理文件版本的方式,改为由软件管理文件的版本;这个负责管理文件版本的软件,叫做“版本控制软件” 3.使用版本控制软件的好处 操作简便:只需识记几组简单的终端命令,即可快速上手常见的版本控制软件 易于对比:基于版本控制软件提供的功能,能够方便地比较文件的变化细节,从而查找出导致问题的原因 **易于回溯:**可以将选定的文件
如何验证Node.js官方tar.gz包完整性?GPG签名+SHA256校验实战指南(5分钟快速上手
# Node.js 安全验证机制深度解析:从 GPG 签名到 SHA256 校验的完整实践 在现代软件开发中,我们每天都在使用开源工具链——Node.js、Python、Rust、Docker……但你有没有想过:**你下载的那个 `node-v20.10.0-...
GitHub账号注册与Git关联:从零到一的完整指南
最新发布
全栈
07-06 1175
本文从零开始,全面解析GitHub账号注册、Git环境搭建、SSH密钥生成及仓库关联的完整流程。通过代码示例与Mermaid图解,帮助开发者快速上手GitHubGit的协作模式,适用于个人项目管理与企业级团队开发。
快速上手,从VS Code提交第一份代码到GitHub仓库
清风徐来
05-16 1003
1,安装Git。一路next 2,配置Git。 进入终端(可以是Git Bash、Windows PowerShell、cmd、vsCode的终端)输入: $ git config --global user.name "GitHub用户名。其实能随便写,只是每次提交都会记录现在的这个用户名" $ git config --global user.email "GitHub用邮箱。同上" 上面两行配置了每次提交到仓库使用的用户名和邮箱,之后也可以直接到用户文件夹下的.gitconfig文件里修改。接下来
Git大师级教程:新手入门与GitHub实战指南
7. **安全与备份**:GitHub支持GPG签名、双因素认证等安全特性,并且由于分布式特性,使得用户的数据可以得到备份。 8. **GitHub Actions**:是GitHub提供的CI/CD(持续集成与持续部署)功能,允许开发者自动化测试...
使用GPG校验sign签名
daemon69的专栏
08-08 5813
GPG除了可用于信息密和解密外,还是一个很好的签名算法,能有效的校验文件的完整性。以GnuPG上的软件包为例说明。 一、下载软件 例如,您从http://www.gnupg.org/下载新版的GnuPG 1.4.9版本。 网站提供如下信息: 引用 ·  GnuPG 1.4.9 source compressed using bzip2.  3250k S ·  Signa
GNU Gpg签名文件和验证签名
flaming的专栏
07-01 847
<br />1. gpg -b file  file.sig  生成签名文件<br /> 2. gpg --verify file.sig  验证签名的文件<br /> <br />file和 file.sig在同一目录下
关于github GPG的配置
ciwen_的博客
09-15 1154
GitHub 使用 OpenPGP 库来确认本地签名的提交和标记,是否根据你在 GitHub.com 上添到帐户的公钥进行验证。接下来就是设置用户名,邮箱,确认信息后输入 o。(注意:邮箱是你github账号认证的邮箱)上方<GPG key ID>为私钥ID或公钥ID都可以,输出的内容就为GPG Keys。开启GPG认证,并配置GPG key ID(私钥ID或公钥ID)其中pub的红色部分为公钥ID,sub的红色部分为私钥ID。1.打开本地的git bash命令窗口,安装GPG
使用GPG验证文件签名
March
11-08 4348
使用GPG验证文件签名安装生成自己的公钥和私钥常用命令测试签名验证nginx安装包签名验证PHP安装包签名 安装 wget https://www.gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.17.tar.bz2 tar -xjf gnupg-2.2.17.tar.bz2 cd gnupg-2.2.17 ./configure make sudo make insta...
GPG软件签名验证
weixin_45124917的博客
09-23 1458
软件签名验证过程 1.软件官方以私钥对软件包执行数字签名 2.用户下载软件包、软件官方的公钥 3.以官方公钥验证软件包签名,确保数据来源正确已经数据的完整性 步骤 1.gpg -b /目录名/软件包名 //为软件包建立签名文件,生成以.sig结尾的签名文件 2.gpg --import 公钥 //导入官方配对的公钥 3.gpg --verify /目录名/软件包名 ...
github GPG 配置
FareBlog
05-14 5780
GPG是一种密算法,现在github支持commit使用GPG密,从而保证提交的commit在传输的过程中没有被篡改。 详细信息可以查看:https://help.github.com/articles/signing-commits-using-gpg/安装 GPG:brew install GPG生成GPG:keygpg --gen-key根据提示,生成GPG key,这一步需要设置用户名
GitHub GPG签名 Tag签名 Verified认证,防伪造的github commits
热门推荐
任逍遊 --- [专用空间]
01-16 1万+
1、首先生成一个密钥(可在Linux控制台,Windows下有Cygwin64等)安装好gnupg套件后 $ gpg --gen-key gpg (GnuPG) 1.4.23; Copyright (C) 2015 Free Software Foundation, Inc. This is free software: you are free to change and redistrib...
GitHub 使用GPG签名commit
everblog
01-11 1222
使用GPG签名commit $ brew install GPG 安装GPG $ gpg --list-keys 查看GPG key $ gpg --full-generate-key 生成GPG key 生成过程 $ rm -rf ~/.gnupg $ gpg --full-generate-key Please select what kind of key you want:
linux: gpg签名与验签详解
十年运维开发经验的王义杰在此分享自己的知识和经验
05-17 1298
GPG签名是通过使用发送者的私钥对数据进行密,生成一个唯一的数字签名。接收者可以使用发送者的公钥验证签名,以确保数据的完整性和发送者的身份真实性。通过本文的介绍,我们详细解释了GPG签名和验签的基本概念、操作步骤及其背后的原理,并提供了具体的命令和代码示例。同时,本文还介绍了在使用GPG进行操作时的调试方法,以帮助用户排查和解决可能出现的问题。通过理解和应用这些知识,我们可以更好地使用GPG来确保数据的安全性和完整性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值