Недавно я настроил GPG для подписи моих коммитов Git, поэтому теперь у меня есть поле signingKey в моем gitconfig. Я не очень хорошо знаком с GPG. Является ли этот signingKey конфиденциальной информацией, которую я должен держать в секрете, или она попадает в общедоступную часть gpg? У меня есть мой gitconfig в общедоступном репо, где я храню свои файлы точек, и мне было интересно, можно ли отображать это поле.
Должен ли я держать gitconfig signingKey закрытым?
Ответы (2)
Нет, это не обязательно держать в тайне.
Секретный ключ находится не в конфигах git, а в связке ключей GnuPG, которая обычно является каким-то файлом в вашем HOME. Теоретически он также может находиться в более безопасных местах, например аппаратном токене, но я мало что об этом знаю.
Значение в git config только указывает gpg, какой секретный ключ выбрать.
person
max630
schedule
02.01.2018
Я предполагаю, что это да?
- person iGbanam; 08.09.2018
Это не @iGbanam
- person manniL; 22.09.2018
Я не эксперт по безопасности, но я не думаю, что ваш ключ подписи должен быть конфиденциальным:
- Файл .gitconfig не содержит каких-либо важных данных (таких как закрытые ключи), поэтому многие люди публикуют его в своем репозитории dotfiles на GitHub, включая их ключ подписи.
- Если бы он оставался закрытым, GitHub не показал бы его публично, когда вы нажимаете кнопку «проверено» в подписанном коммите:
person
Deniz
schedule
21.03.2019
Вы говорите, что это не обязательно должно быть приватным, но по иронии судьбы скрываете идентификатор ключа на скриншоте.
- person jamesdlin; 10.05.2021
Это похоже на публикацию вашей фотографии из ежегодника на общественном форуме. Нет проблем с безопасностью/конфиденциальностью, так как вы не показываете номер своей кредитной карты на картинке, но вы все равно предпочитаете не подвергаться воздействию тысяч случайных людей в Интернете. В этом разница между приватностью (безопасностью контента) и анонимностью (безопасностью личности).
- person Deniz; 12.05.2021