Git 🌙
Chapters ▾ 2nd Edition

7.4 Git Tools - Deine Arbeit signieren

Deine Arbeit signieren

Git ist kryptografisch sicher, aber nicht idiotensicher. Wenn du Arbeit von anderen im Internet übernehmen und überprüfen willst, dass diese Commits tatsächlich von einer vertrauenswürdigen Quelle stammen, gibt es in Git einige Möglichkeiten, die Arbeit mit GPG zu signieren und zu überprüfen.

Einführung in GPG

Wenn du etwas signieren willst, musst du zuerst GPG konfigurieren und deine persönlichen Schlüssel installieren.

$ gpg --list-keys
/Users/schacon/.gnupg/pubring.gpg
---------------------------------
pub   2048R/0A46826A 2014-06-04
uid                  Scott Chacon (Git signing key) <schacon@gmail.com>
sub   2048R/874529A9 2014-06-04

Wenn du noch keinen Schlüssel installiert hast, kannst du einen mit gpg --gen-key generieren.

$ gpg --gen-key

Sobald du einen privaten Schlüssel zum Signieren hast, kannst du Git so konfigurieren, dass er zum Signieren verwendet wird, indem du die Konfigurationseinstellung user.signingkey setzt.

$ git config --global user.signingkey 0A46826A!

Jetzt wird Git standardmäßig deinen Schlüssel benutzen, um Tags und Commits zu signieren, falls du es wünschst.

Tags signieren

Wenn du einen privaten GPG-Schlüssel eingerichtet hast, kannst du diesen nun zum Signieren neuer Tags verwenden. Alles, was du tun musst, ist -s statt -a zu verwenden:

$ git tag -s v1.5 -m 'my signed 1.5 tag'

You need a passphrase to unlock the secret key for
user: "Ben Straub <ben@straub.cc>"
2048-bit RSA key, ID 800430EB, created 2014-05-04

Wenn du git show auf dieses Tag ausführst, kannst du deine GPG-Signatur daran angehängt sehen:

$ git show v1.5
tag v1.5
Tagger: Ben Straub <ben@straub.cc>
Date:   Sat May 3 20:29:41 2014 -0700

my signed 1.5 tag
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAABAgAGBQJTZbQlAAoJEF0+sviABDDrZbQH/09PfE51KPVPlanr6q1v4/Ut
LQxfojUWiLQdg2ESJItkcuweYg+kc3HCyFejeDIBw9dpXt00rY26p05qrpnG+85b
hM1/PswpPLuBSr+oCIDj5GMC2r2iEKsfv2fJbNW8iWAXVLoWZRF8B0MfqX/YTMbm
ecorc4iXzQu7tupRihslbNkfvfciMnSDeSvzCpWAHl7h8Wj6hhqePmLm9lAYqnKp
8S5B/1SSQuEAjRZgI4IexpZoeKGVDptPHxLLS38fozsyi0QyDyzEgJxcJQVMXxVi
RUysgqjcpT8+iQM1PblGfHR4XAhuOqN5Fx06PSaFZhqvWFezJ28/CLyX5q+oIVk=
=EFTF
-----END PGP SIGNATURE-----

commit ca82a6dff817ec66f44342007202690a93763949
Author: Scott Chacon <schacon@gee-mail.com>
Date:   Mon Mar 17 21:52:11 2008 -0700

    Change version numberr

Überprüfen der Tags

Um ein signiertes Tag zu prüfen, benutzt man git tag -v <tag-name>. Dieser Befehl verwendet GPG, um die Signatur zu verifizieren. Du benötigst den öffentlichen Schlüssel des Unterzeichners in deinem Schlüsselbund, damit das korrekt funktioniert:

$ git tag -v v1.4.2.1
object 883653babd8ee7ea23e6a5c392bb739348b1eb61
type commit
tag v1.4.2.1
tagger Junio C Hamano <junkio@cox.net> 1158138501 -0700

GIT 1.4.2.1

Minor fixes since 1.4.2, including git-mv and git-http with alternates.
gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Good signature from "Junio C Hamano <junkio@cox.net>"
gpg:                 aka "[jpeg image of size 1513]"
Primary key fingerprint: 3565 2A26 2040 E066 C9A7  4A7D C0C6 D9A4 F311 9B9A

Wenn du den öffentlichen Schlüssel des Unterzeichners nicht hast, bekommst du stattdessen so etwas wie das hier zu sehen:

gpg: Signature made Wed Sep 13 02:08:25 2006 PDT using DSA key ID F3119B9A
gpg: Can't check signature: public key not found
error: could not verify the tag 'v1.4.2.1'

Commits signieren

In neueren Versionen von Git (v1.7.9 und neuer) kannst du nun auch einzelne Commits signieren. Wenn du daran interessiert bist, Commits direkt, anstatt nur die Tags zu signieren, musst du nur ein -S zu deinem git commit Befehl hinzufügen.

$ git commit -a -S -m 'Signed commit'

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

[master 5c3386c] Signed commit
 4 files changed, 4 insertions(+), 24 deletions(-)
 rewrite Rakefile (100%)
 create mode 100644 lib/git.rb

Um das Signaturen zu sehen und zu überprüfen, gibt es für git log auch die Option --show-signature.

$ git log --show-signature -1
commit 5c3386cf54bba0a33a32da706aa52bc0155503c2
gpg: Signature made Wed Jun  4 19:49:17 2014 PDT using RSA key ID 0A46826A
gpg: Good signature from "Scott Chacon (Git signing key) <schacon@gmail.com>"
Author: Scott Chacon <schacon@gmail.com>
Date:   Wed Jun 4 19:49:17 2014 -0700

    Signed commit

Zusätzlich kannst du git log konfigurieren, um alle gefundenen Signaturen zu überprüfen und sie in seiner Ausgabe im %G? Format aufzulisten.

$ git log --pretty="format:%h %G? %aN  %s"

5c3386c G Scott Chacon  Signed commit
ca82a6d N Scott Chacon  Change the version number
085bb3b N Scott Chacon  Remove unnecessary test code
a11bef0 N Scott Chacon  Initial commit

Hier können wir feststellen, dass nur der letzte Commit signiert und gültig ist und die vorherigen Commits nicht.

In Git 1.8.3 und neuer können git merge und git pull beim Mergen angewiesen werden, einen Commit mit der Befehlsoption --verify-signatures zu prüfen und zurückzuweisen, wenn dieser keine vertrauenswürdige GPG-Signatur trägt.

Wenn du diese Option verwendest, während du einen Branch mergst und dieser Commits enthält, die nicht signiert und gültig sind, wird der Merge nicht ausgeführt.

$ git merge --verify-signatures non-verify
fatal: Commit ab06180 does not have a GPG signature.

Wenn der Vorgang nur gültige signierte Commits enthält, zeigt dir der Merge-Befehl alle geprüften Signaturen an und fährt dann mit dem Merge fort.

$ git merge --verify-signatures signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>
Updating 5c3386c..13ad65e
Fast-forward
 README | 2 ++
 1 file changed, 2 insertions(+)

Du kannst die Option -S mit dem git merge Befehl auch verwenden, um den resultierenden Merge-Commit selbst zu signieren. Das folgende Beispiel verifiziert bei jedem Commit in dem zusammenzuführenden Branch, dass er signiert ist und signiert darüber hinaus den resultierenden Merge-Commit.

$ git merge --verify-signatures -S  signed-branch
Commit 13ad65e has a good GPG signature by Scott Chacon (Git signing key) <schacon@gmail.com>

You need a passphrase to unlock the secret key for
user: "Scott Chacon (Git signing key) <schacon@gmail.com>"
2048-bit RSA key, ID 0A46826A, created 2014-06-04

Merge made by the 'recursive' strategy.
 README | 2 ++
 1 file changed, 2 insertions(+)

Jeder muss signieren

Das Signieren von Tags und Commits ist zwar ganz schön, aber wenn du dich dazu entschieden hast, das in deinem normalen Arbeitsablauf zu verwenden, musst du sicherstellen, dass jeder in deinem Team weiß, wie das geht. Wenn du das nicht tust, wirst du am Ende viel Zeit damit verbringen, den Leuten zu helfen herauszufinden, wie sie ihre Commits mit signierten Versionen neu schreiben können. Stelle sicher, dass du GPG und die Vorteile des Signierens von Dingen verstehst, bevor du dies als Teil deines Standard-Workflows übernimmst.

scroll-to-top