我应该保持gitconfig的"signingKey"私有吗?
Mil*_*lad 7 git gnupg gpg-signature
我最近设置了GPG来签署我的Git提交,所以现在我的gitconfig中有一个signedKey字段.我对GPG的细节不是很熟悉 - 这个签名是一个敏感的信息,我应该保密,还是属于gpg的公共部分?我在公共仓库中有我的gitconfig,我保留了我的dotfiles,我想知道是否可以看到该字段.
秘密密钥不是在git的配置中,而是在GnuPG的"密钥环"中,这通常是你家中的一些文件.理论上它也可以在更安全的位置,如硬件令牌,但我不太了解它
git config中的值仅指示gpg选择哪个密钥
- 这是一个没有@iGbanam (3认同)
我不是安全专家,但我认为您的签名密钥不必保密:
- .gitconfig 文件不包含任何关键数据(如私钥),因此许多人在他们的 GitHub dotfiles 存储库中共享它,包括他们的签名密钥。
- 如果它是保密的,当您在签名提交中单击“已验证”按钮时,GitHub 不会公开显示它:
- 你说它不必是私有的,但具有讽刺意味的是,它从屏幕截图中掩盖了密钥 ID。 (7认同)
- 这类似于在公共论坛上发布年鉴照片。由于您没有在图片中显示您的信用卡号码,因此不存在安全/隐私问题,但您仍然不希望暴露在互联网上数千个随机的人面前。这就是隐私(内容安全)和匿名(身份安全)之间的区别。 (3认同)