Должен ли я сохранить gitconfig "signatureKey" в секрете?
Недавно я настроил GPG для подписи моих коммитов Git, так что теперь у меня есть поле signatureKey в моем gitconfig. Я не очень знаком с деталями GPG. Является ли подписывание этой секретной информации секретной, которую я должен держать в секрете, или она попадает в публичную часть gpg? У меня есть мой gitconfig в публичном репозитории, где я храню свои точечные файлы, и я задавался вопросом, нормально ли, чтобы это поле было видимым.
1 ответ
Секретный ключ находится не в конфигах git, а в "связке ключей" GnuPG, которая обычно является каким-то файлом в вашем HOME. Теоретически он также может быть в более безопасных местах, например, аппаратный токен, но я не знаю много об этом
Значение в git config только указывает gpg, какой секретный ключ выбрать
Я не эксперт по безопасности, но я не думаю, что ваш ключ подписи должен быть закрытым:
- Файл.gitconfig не содержит критических данных (например, закрытых ключей), поэтому многие люди делятся ими в своем репозитории точечных файлов GitHub, включая ключ подписи.
- Если бы он оставался закрытым, GitHub не показывал бы его публично, когда вы нажимаете кнопку "подтверждено" в подписанном коммите:
