我目前想知道 git commit 签名是如何工作的。
试图找出这一点,但找不到任何确切的技术文档。我知道如何进行 git commit 签名,但我想知道 git 究竟做了什么来签署提交。
签名的具体内容是什么?它是给定提交时存储库内的完整数据,因此是提交消息等数据以及所有文件的数据吗?或者它只是带有指向所包含文件等的指针的提交?
【问题讨论】:
标签: git git-commit signing
虽然它没有在任何地方记录,但对source code 的检查表明它是提交对象的全部内容。然后将这些内容修改为插入签名,因此验证过程必须将签名剥离到单独的缓冲区中,并将原始的、预签名插入的数据传递给 GPG 签名者。 p>
GPG 签名数据随后在计算提交的 SHA-1 校验和时发生,以成为提交的哈希 ID。分别参见gpg-interface.c 和commit.c,函数sign_buffer 和do_sign_commit。标签签名在builtin/tag.c(见函数do_sign及其调用者);签名标签的签名是附加的而不是插入的,但除此之外,它的工作方式几乎相同。
【讨论】:
签名的是git cat-file(已删除签名)返回的原始提交对象。如果 HEAD 是签名提交,则可以手动验证签名如下:
git cat-file commit HEAD > signed-commit
grep -B 9999 'BEGIN PGP SIGNATURE-----' signed-commit | head -n -1 > signed-commit.stripped
grep -A 9999 'END PGP SIGNATURE-----' signed-commit | tail -n +2 >> signed-commit.stripped
sed 's/^gpgsig //' signed-commit | sed 's/^ //' > signed-commit.sig
gpg --verify signed-commit.sig signed-commit.stripped
【讨论】: