V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
frylkrttj
V2EX  ›  GitHub

https 方式 push 到 github 不能用 gpg 吗 ?

  •  
  •   frylkrttj ·
    linlinggit · 2019-01-19 10:56:22 +08:00 · 3395 次点击
    这是一个创建于 2135 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看了好些天的 git 教程今天终于动手了,没想到刚 push 到 github 去居然提示要输入帐号密码,那一刹感觉以前的都白学了。我一直以为 push 是靠 gpg 密钥来的。

    终端下输入帐号 密码 只能手动输入?每次都手动输入?这我要疯。我试了几次都没成功。

    还是说我这次的方法不对。确实有用 gpg 钥匙 push 上去的法子? 我要 https 方法。

    12 条回复    2019-01-19 12:43:57 +08:00
    iwishing
        1
    iwishing  
       2019-01-19 11:17:46 +08:00
    springmarker
        2
    springmarker  
       2019-01-19 11:31:55 +08:00 via Android   ❤️ 1
    你说的是 ssh 方式吧
    zmj1316
        3
    zmj1316  
       2019-01-19 11:38:25 +08:00 via Android
    Gpg 是签名用的 你要的是 ssh 配合密钥。。。
    xiri
        4
    xiri  
       2019-01-19 11:55:53 +08:00 via Android
    gpg 不是签名用的吗,,,它的作用只是向公众证实这个操作是你本人做的,防止他人伪造 commit 记录。
    你要免密码登录的话应该用用 ssh 密钥吧。
    Kobayashi
        5
    Kobayashi  
       2019-01-19 12:02:34 +08:00 via Android   ❤️ 1
    5 天前你就发了同样的帖子,好几个人给你解释了 SSH 密钥和 GPG 钥匙。

    https://www.v2ex.com/t/526688

    一个破事儿你再发一遍几个意思,眼不好使?
    xiri
        6
    xiri  
       2019-01-19 12:14:20 +08:00 via Android
    看了楼主以前的帖子,建议楼主先去了解一下 gpg 密钥和 ssh 密钥的作用及区别。
    gpg 密钥只是用来签名的。ssh 密钥才是用来验证对 repo 的操作权的。
    楼主已经用过 git 了,应该知道用过 git config 来配置信息,而 git config 时的用户名和邮箱是可以随你填的。这就导致了只要知道某个人的邮箱,我能够用他的邮箱往自己的 repo 里提交 commit,假装这是他做的操作。
    而 gpg 密钥就是为了防止这种情况,你仍然可以用他的邮箱提交,但别人把这条伪造的提交跟他本人公开的 gpg 公钥一对比就能知道这不是本人。

    说了这么多,简单来说就是楼主要免密码提交应该配置的是 ssh 密钥,而不是 gpg 密钥
    frylkrttj
        7
    frylkrttj  
    OP
       2019-01-19 12:30:54 +08:00
    @iwishing 之前看过,但不是很明白。
    结合这几天的经验跟 #3 #4 说的我好像终于明白了,gpg 在 git 里面只是用来签名的?之前我一直以为是用来确认身份的。

    @Kobayashi 说一便就能彻底理解的,那是水平跟对方差不多的吧。我看过那么多教程从来没说 git 里用的 gpg 是用来签名的。

    感谢大家的回复这会我好像明白了。特别鸣谢 @xiri
    BOYPT
        8
    BOYPT  
       2019-01-19 12:36:06 +08:00
    frylkrttj
        9
    frylkrttj  
    OP
       2019-01-19 12:37:04 +08:00
    我还有点懵,既然 gpg 只是用来签名那 github 有必要 要用户的 gpg 公钥么? 都是在本地签名的吧。
    既然是本地签名后再 push,那 github 填的 gpg 公钥是干嘛的。难道 github 也需要校对用户的代码是不是它自己 push 的?

    既然 github 用我的公钥校对了我签名过的代码,那还有 https push 的时候还有必要要用户输入帐号密码吗?这不是多余的吗?
    frylkrttj
        10
    frylkrttj  
    OP
       2019-01-19 12:41:01 +08:00
    git 或者 github 这种机制有点笨了吧,干嘛不能用户本地 gpg 加密后再 pushh 到远程仓库,再由远程仓库的公钥解密后呈现?
    chinvo
        11
    chinvo  
       2019-01-19 12:43:04 +08:00 via iPhone
    @frylkrttj #9 GitHub 上要展示一个 “ verified ” 标志啊,因为 pgp/gpg 是分布式的信任网络,也就是没有 ca,所以认定一个 gpg 签名是否合法通常依赖上传自己的 key 到 pool,发布受签名保护的内容时指定 /写明 key fingerprint

    而 GitHub 要求你上传公钥的目的就是配合 email address verification 来确保签名信息使用的 gpg key 属于你(否则别人生成一个包含你的 email 的 gpg key 就能假装是你了
    chinvo
        12
    chinvo  
       2019-01-19 12:43:57 +08:00 via iPhone
    @frylkrttj #10 gpg 解决的不是加密解密的问题,是身份确认的问题

    你说的这个加密-解密的流程就是 ssh 或 HTTPS 提供的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1609 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:58 · PVG 00:58 · LAX 08:58 · JFK 11:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.