Git 支持使用 GPG 来签名提交记录。但 GPG 用起来很复杂，一直赖得搞。

(相关资料图)

Git 从 2.34 开始支持使用 SSH 签名。SSH 密钥大家肯定都有，所以开启签名也需要提上日程了。只不过这个功能发布后很长时间内 GitHub 都不支持显示 SSH 签名，我也就没有继续推进。昨天 GitHub 官宣正式支持 SSH 签名。今天就把相关的内容整理一下分享给大家。

首先，为什么要对 Git 提交做签名呢？那是因为在 Git 中很容易伪造提交身份。

我们知道，Git 要求在提交前指定作者名字和邮箱：

gitconfiguser.name涛叔gitconfiguser.emailhi@taoshu.in

但这两个配置可以随便填。任何人都可以声称自己是涛叔。为了保护自己的声誉，我可以用非对称加密技术对提交进行签名，然后公布自己公钥。这样其他人就可以根据这个公钥来验证 Git 变更是不是由我本人提交的。只要我不泄漏自己的私钥，别人就很难伪装成我来做坏事。

实现签名最常见的工具是 GPG。如果你玩过 Linux肯定不陌生，很多发行版的包管理器都使用 GPG 对包做签名，防止坏人伪造。

但 GPG 对小白用户不友好，所以普通 Git 玩家很少会开启签名。一直到 OpenSSH 8.0 发布，局面才有所改观。因为这个版本的 OpenSSH 支持给任意数据进行签名。

签名功能在 OpenSSH 8.7 出问题了，建议使用 8.8 以后的版本

SSH 签名的工具是 ssh-keygen。估计很多人只在第一次生成 SSH 密钥的时候用到过，后面就在没碰过它了。虽然有点奇怪但签名也验签功能也是由 ssh-keygen 提供的。

假设有一个文件/tmp/a.txt，我们想使用~/.ssh/id_ed25519给它做签名，我们可以：

ssh-keygen-Ysign-f~/.ssh/id_ed25519-nfile/tmp/a.txt

各参数的功能如下：

-Y sign表示计算签名

-f指定私钥

-n file是给签名指定类型

file是我们自己定的，不同类型的签名不会产生冲突

执行之后就会得到一个签名文件/tmp/a.txt.sig，内容长这个样子：

-----BEGINSSHSIGNATURE-----U1NIU0lHAAAAAQAAADMAAAALc3NoLWVkMjU1MTkAAAAgulKNunkcVxiDzY0wmqJo4rAG9LClGRq9mMfA/PqsKYkAAAADZ2l0AAAAAAAAAAZzaGE1MTIAAABTAAAAC3NzaC1lZDI1NTE5AAAAQP1FljU1ZQ327DZE11wjHIDgz1s0ULi7QO5rhg+MyEn12nwkV0fk69qDqmcpAE562xpIxa+yaGuMV6hK97Hq+gE=-----ENDSSHSIGNATURE-----

有了签名，我们就可以验证是不是有坏人篡改了文件内容了。验证签名需要一个公钥列表：

hi@taoshu.inssh-ed25519AAAAC3NzaC1lZDI1NTE5AAAAILpSjbp5HFcYg82NMJqiaOKwBvSwpRkavZjHwPz6rCmJts@tc...

第一列是公钥的标识，我们这里用的是邮箱。第二列是公钥类型，后面的部分是公钥内容，也就是~/.ssh/id_ed25519.pub的内容。每个公钥占一行。

验签命令如下：

ssh-keygen-Yverify-fallowed_signers-Ihi@taoshu.in-nfile-s/tmp/a.txt.sig
各参数的功能如下：
-Y verify表示要验证签名
-f 用来指定公钥列表文件
-I 指定使用公钥标识
-n file 需要跟签名的时候保持一致
-s 指定签名所在文件
最后通过重定向将文件内容传给 ssh-keygen。如果验证通过，则会得到如下结果：
Good"file"signatureforhi@taoshu.inwithED25519keySHA256:19/J4WKT7flBNcfmqQUqyAZeH4TdhMf5f0u+a4fZj1c
如果有人修改了文件内容，则会得到如下结果：
Signatureverificationfailed:incorrectsignatureCouldnotverifysignature.
考虑到大多数 Git 用户都有自己的 SSH 密钥，不支持 SSH 签名岂不是很浪费？于是 Git 2.34 集成了 SSH 签名功能。
我们需要添加如下配置：
#使用SSH签名gitconfiggpg.formatssh#指定SSH私钥文件gitconfiguser.signingKey~/.ssh/id_ed25519.pub#指定可信公钥列表文件gitconfiggpg.ssh.allowedSignersFile"$HOME/.config/git/allowed_signers"#开启自动签名（可选）gitconfigcommit.gpgsigntruegitconfigtag.gpgsigntrue
一番操作之后就准备好了。接下来所有的 Git 提交都会使用 SSH 签名。如果没有开启自动签名，则可以在提交的时候通过-s参数来临时开启。
在默认配置下，我们看不出签名后的提交跟普通提交有什么区别。如果想展示签名信息，需要指定--show-signature参数：
gitshow--show-signature|headcommit6292a43f184e8a347b6c8b4fe08191920c0e22a5Good"git"signatureforhi@taoshu.inwithED25519keySHA256:19/J4WKT7flBNcfmqQUqyAZeH4TdhMf5f0u+a4fZj1cAuthor:涛叔Date:WedAug2407542022+0800支持给TS的枚举类型生成toString/parser函数diff--gita/autoload/lv.vimb/autoload/lv.vimindex22a6b38..a08deb9100644---a/autoload/lv.vim...
这个时候我们就看到了Good "git" signatures ...验证消息。
如果你使用 tig，也应该添加同样的参数，或者在~/.tigrc中开启如下配置：
setlog-options=--show-signaturesetdiff-options=--show-signature
回想我们前面的例子，当-n的值为file的时候，验签信息是Good "file"...。现在的信息是Good "git"...，说明 Git 使用的参数是-n git。
但有个问题，Git 到底把签名信息存到了什么地方呢？答案是 commit 或者 tag 对应的 object。如果你不了解 Git 的存储模型，可以阅读我的另一篇文章。
我们可以使用cat-file查看对象保存的内容：
$gitcat-filecommit6292a43f184e8a347b6c8b4fe08191920c0e22a5treec17c1e92312dc7303018c3dc3cd25d26007305e2parente71d24c876aa6e82a69e1566623083923edcab03author涛叔1661298954+0800committer涛叔1661298954+0800gpgsig-----BEGINSSHSIGNATURE-----U1NIU0lHAAAAAQAAADMAAAALc3NoLWVkMjU1MTkAAAAgulKNunkcVxiDzY0wmqJo4rAG9LClGRq9mMfA/PqsKYkAAAADZ2l0AAAAAAAAAAZzaGE1MTIAAABTAAAAC3NzaC1lZDI1NTE5AAAAQP1FljU1ZQ327DZE11wjHIDgz1s0ULi7QO5rhg+MyEn12nwkV0fk69qDqmcpAE562xpIxa+yaGuMV6hK97Hq+gE=-----ENDSSHSIGNATURE-----支持给TS的枚举类型生成toString/parser函数
大家看 gpgsig 这一行，表示当前提交的签名信息。后面的每一行前面都有一个空格，表示这些行跟 gpgsig 是一个整体。
那 Git 是怎样签名的呢？我没有去看源码。但我猜是去掉 gpgsig 签名信息，然后对剩余的内容计算签名，签名类型为 git。于是我把对应的内容保存成文件签了一下，跟 gpgsig 的值完全一致。
Git 签名很好地解决了分装身份的问题。但如果对应功能没办法在 GitHub 上显示，那就不够炫酷。所以 Git 2.34 刚发布就有用户建议 GitHub 添加支持。昨天终于上线了
虽然 GitHub 支持展示 SSH 签名信息，但是签名和鉴权用的密钥需要分别上传。上传的时候需要指定类型。哪怕是使用同一个密钥也得额外再传一次。
上传公钥之后，GitHub 就会展示对应的 SSH 签名。
以上就是本文的全部内容，希望能给大家一些参考。欢迎留言讨论。
审核编辑：汤梓红
										
标签：