Auf github mit GPG signieren

31. August 2020

Ich habe zum ersten Mal (und weil ich neugierig war ;-)) ein paar Zeilen Code zu einem Open-Source-Projekt beigesteuert. Gescheitert bin ich zunächst daran, dass ich meinen Commit auf github mit GPG signieren musste. Der Commit ist sozusagen mein Beitrag und mein persönlicher GPG-key soll sicherstellen, dass ich es war, der diesen geleistet hat.

Eine passende und für mich verständliche Anleitung habe ich hier gefunden:

Neben ‚git‘ selbst werden dafür die folgenden Pakete benötigt:

sudo apt-get install gpa seahorse

Mit diesen Tools kann nun der GPG-Key generiert werden. Dafür müssen gleich nach dem ersten Kommando Name und E-Mail-Adresse angegeben werden, die dann im Zertifikat hinterlegt sein werden. Der Key, mit dem gearbeitet wird, muss im LONG-Format sein. Das zweite Kommando gibt diesen in der Zeile, die mit ’sec …‘ beginnt NACH dem Schrägstrich aus:

gpg --gen-key
gpg --list-secret-keys --keyid-format LONG
gpg --armor --export <PASTE_LONG_KEY_HERE> > gpg-key.txt

Der Inhalt der Datei gpg-key.txt muss dann auf  github (Settings -> SSH and GPG keys) hinterlegt werden. Nach einem Klick auf ‚New GPG key‘ wird der Inhalt der Datei einfach per Copy & Paste eingefügt.

Zu guter Letzt wird dem lokalen git-Kommando noch beigebogen, diesen Key zum Signieren zu verwenden:

git config --global user.signingkey <PASTE_LONG_KEY_HERE>
git config --global commit.gpgsign true

Ab jetzt wird jeder mit dem git-Kommando abgesetzte commit automatisch mit diesem GPG-Key signiert.

Keine Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.