Git:解释为什么使用 PGP 密钥签署 Commits/Tags 并不愚蠢
Git: Explain why it is not silly to Sign Commits/Tags using a PGP Key
首先让我说,我非常怀疑签署您的提交和标签一点也不傻,但我需要帮助来理解它是如何工作的。
话虽如此,如果签名的全部原因是验证 commit/tag 是由您完成的(因为您可以冒充 Git 上的任何人)。是什么阻止恶意用户使用我的信息创建密钥并使用它签署提交?
谢谢迈克尔迈克尔。您的 link about web of trust 为我指明了正确的方向。
对于可能会问同样问题的任何人:答案很简单,如果您没有其他人的签名(已建立的信任网络),您的密钥就不是真正值得信赖的。
这些签名意味着签署你的密钥的人在这样做之前验证了你的身份(也许这个人认识你或者你出示了有效的身份证明等...)。这些签名对于试图验证您身份的人来说可能没有任何意义,除非您有一个他们信任的人已经签署了您的密钥。如果您没有 "people in common",您将必须通过其他方式证明您的身份并让他们签署您的密钥以提高其完整性。
好书(它们帮助我更好地理解 PGP 和 GPG):
- http://www.pgpi.org/doc/pgpintro/
- http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto.html#toc3
- http://irtfweb.ifa.hawaii.edu/~lockhart/gpg/gpg-cs.html
如果您对密钥签名过程感兴趣,请阅读:
首先让我说,我非常怀疑签署您的提交和标签一点也不傻,但我需要帮助来理解它是如何工作的。
话虽如此,如果签名的全部原因是验证 commit/tag 是由您完成的(因为您可以冒充 Git 上的任何人)。是什么阻止恶意用户使用我的信息创建密钥并使用它签署提交?
谢谢迈克尔迈克尔。您的 link about web of trust 为我指明了正确的方向。
对于可能会问同样问题的任何人:答案很简单,如果您没有其他人的签名(已建立的信任网络),您的密钥就不是真正值得信赖的。
这些签名意味着签署你的密钥的人在这样做之前验证了你的身份(也许这个人认识你或者你出示了有效的身份证明等...)。这些签名对于试图验证您身份的人来说可能没有任何意义,除非您有一个他们信任的人已经签署了您的密钥。如果您没有 "people in common",您将必须通过其他方式证明您的身份并让他们签署您的密钥以提高其完整性。
好书(它们帮助我更好地理解 PGP 和 GPG):
- http://www.pgpi.org/doc/pgpintro/
- http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto.html#toc3
- http://irtfweb.ifa.hawaii.edu/~lockhart/gpg/gpg-cs.html
如果您对密钥签名过程感兴趣,请阅读: