git gpg密钥的验证

一：git gpg

简介：

git是现在最流行的版本控制工具，而且它确实功能很强大。在使用git之前，首先要设置用户名和电子邮箱两个参数。可能有人会有疑问，假如两个不同的人使用相同的用户名和电子邮箱进行提交，会怎么样呢？答案是可以的，git本身无法判断，所以会把这两个人识别为同一个人。为了可靠的验证每一次提交，git提供了gpg密钥的验证功能。

首先我们需要安装gpg工具，可以用Linux系统、Windows 10的Linux子系统、Git Bash工具等等，它们基本上都包含gpg工具。

1.安装

#mac环境  
  brew install  gpg
  brew  cask install keybase
# Debian / Ubuntu 环境
　sudo apt-get install gnupg
# Fedora 环境
　yum install gnupg
#windows 环境
使用gpgwin4加密
下载链接:www.gnupg.org

#Linux 和 git bash 已经默认安装gpg

2.环境：git 版本高于v2.0

git低于v2.0版本的在git commit提交时需显示提交 加 -S，如:git commit -m ‘mm’ -S

#查看版本
git --version
#升级方式
sudo add-apt-repository ppa:git-core/ppa
sudo apt-get update
sudo apt-get install git 

3.linux环境，生成密钥：

生成过程中需要输入一些信息：

加密算法 推荐RSA

密钥长度 推荐 4096

过期时间 推荐使用1y 也就是一年

名字 github 用户名

邮箱 github 通过认证的邮箱

注释 可以随意写

[root@mycetos7 ~]# gpg --gen-key
gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

gpg: 已创建目录‘/root/.gnupg’
gpg: 新的配置文件‘/root/.gnupg/gpg.conf’已建立
gpg: 警告：在‘/root/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
gpg: 钥匙环‘/root/.gnupg/secring.gpg’已建立
gpg: 钥匙环‘/root/.gnupg/pubring.gpg’已建立
请选择您要使用的密钥种类：
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (仅用于签名)
   (4) RSA (仅用于签名)
您的选择？ 1
RSA 密钥长度应在 1024 位与 4096 位之间。
您想要用多大的密钥尺寸？(2048)4096
您所要求的密钥尺寸是 4096 位
请设定这把密钥的有效期限。
         0 = 密钥永不过期
        = 密钥在 n 天后过期
      w = 密钥在 n 周后过期
      m = 密钥在 n 月后过期
      y = 密钥在 n 年后过期
无效的数值
密钥的有效期限是？(0) 1y
密钥于 2020年04月01日 星期三 11时56分00秒 CST 过期
以上正确吗？(y/n)y

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) "

真实姓名：qqqqll
电子邮件地址：[email protected]
注释：lqq  CMDB gpg  4.02
您选定了这个用户标识：
    “qqqqll (lqq  CMDB gpg  4.02) ”

更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)？o                                                    
#如果不需修改，输入确认o                                             

您需要一个密码来保护您的私钥。

#输入密码
                                          
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。
...
...
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。
gpg: /root/.gnupg/trustdb.gpg：建立了信任度数据库
gpg: 密钥 D756EBB6 被标记为绝对信任
公钥和私钥已经生成并经签名。

gpg: 正在检查信任度数据库
gpg: 需要 3 份勉强信任和 1 份完全信任，PGP 信任模型
gpg: 深度：0 有效性：  1 已签名：  0 信任度：0-，0q，0n，0m，0f，1u
gpg: 下次信任度数据库检查将于 2020-04-01 进行
pub   4096R/D756EBB6 2019-04-02 [有效至：2020-04-01]
密钥指纹 = A1E4 F8D7 0703 94DD 045B  D648 2F79 30DC D756 EBB6
uid                  qqqqll (lqq  CMDB gpg  4.02) 
sub   4096R/09C12433 2019-04-02 [有效至：2020-04-01]                                                    
#公钥：
D756EBB6

4.建议再生成一个 gpg吊销证书，以备以后密钥作废时，可以请求外部的公钥服务器撤销你的公钥

gpg --gen-revoke [用户ID]
请输入密码以解锁OpenPGP证书的密钥:|
123456  
#

已强行使用 ASCII 封装过的输出。
已建立吊销证书。

请把这个文件转移到一个可隐藏起来的介质(如软盘)上；如果坏人能够取得这
份证书的话，那么他就能让您的密钥无法继续使用。把这份凭证打印出来再藏
到安全的地方也是很好的方法，以免您的保存媒体损毁而无法读取。但是千万
小心：您的机器上的打印系统可能会在打印过程中把这些数据临时在某个其他
人也能够看得到的地方！
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: A revocation certificate should follow
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=AwGu
-----END PGP PUBLIC KEY BLOCK-----

5.导出密钥并配置到github

1.列出本地密钥ID
gpg --list-keys
2.控制台输出
gpg --armor --export D756EBB6
3.文件输出
gpg --armor --output pub.txt --export D756EBB6
#在github ->设置-> SSH GPG ->增加GPG

6.本地代码库启用GPG Sign

#查看本地密钥
gpg --list-keys
#进入本地代码目录
git config  --local  user.signingkey  D756EBB6 
# D756EBB6 为公钥pubID
git config  --local commit.gpgsign true

#重启gpg-agnet
1.mac  重启
 brew services restart  gnuPG
2.gpgconf-kill gpg-agent
3.linux 重启
ps -ef |grep gpg 
root       8858      1  0 17:54 ?        00:00:00 gpg-agent --daemon --use-standard-socket
root       8686   7540  0 14:29 pts/0    00:00:00 grep --color=auto gpg

#kill  8858
#启动
gpg-agent --daemon --use-standard-socket
#验证
ps -ef |grep gpg

#提交commit 
git commit -m 'test for  gpg'
或显示提交
#commit  加  -S
git commit -m 'test for  gpg' -S

下图为gpg 签名成功

三gpg windows 配置

windows 环境可以使用git bash 工具 自带gpg功能
错误处理：参考https://blog.csdn.net/qqqqll3/article/details/90410155

git ssh 生成

ssh-keygen -t rsa -C "[email protected]"

参考：https://www.jianshu.com/p/195cac3a2b2c

撤销证书：http://www.ruanyifeng.com/blog/2013/07/gpg.html

https://www.cnblogs.com/wanghongli/archive/2018/01/08/8241809.html