Come faccio a sapere quale sottochiave GitHub sta usando per la firma?

Naviga le tue risposte
3

Ho aggiunto la mia sottochiave Gpg a GitHub oggi e ho notato che indipendentemente dalla sottochiave che esporto, il BLOCCO CHIAVI PUBBLICO è lo stesso. Da allora ho trovato questo post, che spiega perché: è-è-possibile-a-export-a-GPG sottochiavi-pubblico-componente?

Aggiungendo questo blocco di chiave pubblica a github, ora ha riconosciuto la mia chiave pubblica ed elenca sia la mia crittografia che le sottochiavi di firma sotto il mio account.

La mia domanda quindi, è come faccio a sapere quale chiave github sta usando per la firma, dato che la mia chiave pubblica ha% di utilizzo% co_de, e la mia chiave di firma ha% di utilizzo%?

    
posta nickbdyer 27.06.2016 - 11:25
fonte

1 risposta

4

Github non firma affatto i tuoi commit - tutto ciò che fa è verificare le firme. Infatti, git sta facendo il lavoro di firma sul tuo computer, basandosi su GnuPG per le operazioni di crittografia. GnuPG utilizzerà di nuovo la più recente chiave non revocata con funzionalità di firma, a meno che non imposti qualcos'altro, che di solito sarà la tua sottochiave.

Durante la verifica di commit o tag tramite git verify-[commit|tag] , GnuPG stamperà l'ID della chiave utilizzato per la firma, ad esempio 

gpg: Signature made Mon Jun 27 23:22:05 2016 CEST
gpg:                using RSA key 0x8E78E44DFB1B55E9
[snip]

Questo ID chiave fa riferimento alla chiave effettivamente utilizzata per scrivere la firma, se è stata utilizzata una sottochiave, l'ID viene stampato qui. Puoi verificare eseguendo gpg --list-keys [key-id] e controllando se la chiave è elencata come chiave primaria o sottochiave.

Per la firma, in genere l'implementazione di pinentry di tua scelta stamperà anche la chiave da utilizzare durante l'interrogazione della passphrase.

    
risposta data 27.06.2016 - 23:26
fonte

Leggi altre domande sui tag

Esiste un programma efficace di sensibilizzazione dei dipendenti di ingegneria sociale? PGP Key Signing Robot DKIM Email verificate