使用 SSH 签名 Git 提交记录

2022-08-24 ⏳3.6分钟(1.4千字)

Git 支持使用 GPG 来签名提交记录。但 GPG 用起来很复杂,一直赖得搞。Git 从 2.34 开始支持使用 SSH 签名。SSH 密钥大家肯定都有,所以开启签名也需要提上日程了。只不过这个功能发布后很长时间内 GitHub 都不支持显示 SSH 签名,我也就没有继续推进。昨天 GitHub 官宣正式支持 SSH 签名。今天就把相关的内容整理一下分享给大家。

首先,为什么要对 Git 提交做签名呢?那是因为在 Git 中很容易伪造提交身份。

我们知道,Git 要求在提交前指定作者名字和邮箱:

git config user.name 涛叔
git config user.email hi@taoshu.in

但这两个配置可以随便填。任何人都可以声称自己是涛叔。为了保护自己的声誉,我可以用非对称加密技术对提交进行签名,然后公布自己公钥。这样其他人就可以根据这个公钥来验证 Git 变更是不是由我本人提交的。只要我不泄漏自己的私钥,别人就很难伪装成我来做坏事。

实现签名最常见的工具是 GPG。如果你玩过 Linux 肯定不陌生,很多发行版的包管理器都使用 GPG 对包做签名,防止坏人伪造。

但 GPG 对小白用户不友好,所以普通 Git 玩家很少会开启签名。一直到 OpenSSH 8.0 发布,局面才有所改观。因为这个版本的 OpenSSH 支持给任意数据进行签名。

签名功能在 OpenSSH 8.7 出问题了,建议使用 8.8 以后的版本

SSH 签名的工具是 ssh-keygen。估计很多人只在第一次生成 SSH 密钥的时候用到过,后面就在没碰过它了。虽然有点奇怪🤔但签名也验签功能也是由 ssh-keygen 提供的。

假设有一个文件/tmp/a.txt,我们想使用~/.ssh/id_ed25519给它做签名,我们可以:

ssh-keygen -Y sign -f ~/.ssh/id_ed25519 -n file /tmp/a.txt

各参数的功能如下:

执行之后就会得到一个签名文件/tmp/a.txt.sig,内容长这个样子:

-----BEGIN SSH SIGNATURE-----
U1NIU0lHAAAAAQAAADMAAAALc3NoLWVkMjU1MTkAAAAgulKNunkcVxiDzY0wmqJo4rAG9L
ClGRq9mMfA/PqsKYkAAAADZ2l0AAAAAAAAAAZzaGE1MTIAAABTAAAAC3NzaC1lZDI1NTE5
AAAAQP1FljU1ZQ327DZE11wjHIDgz1s0ULi7QO5rhg+MyEn12nwkV0fk69qDqmcpAE562x
pIxa+yaGuMV6hK97Hq+gE=
-----END SSH SIGNATURE-----

有了签名,我们就可以验证是不是有坏人篡改了文件内容了。验证签名需要一个公钥列表:

hi@taoshu.in ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAILpSjbp5HFcYg82NMJqiaOKwBvSwpRkavZjHwPz6rCmJ ts@tc
...

第一列是公钥的标识,我们这里用的是邮箱。第二列是公钥类型,后面的部分是公钥内容,也就是~/.ssh/id_ed25519.pub的内容。每个公钥占一行。

验签命令如下:

ssh-keygen -Y verify -f allowed_signers -I hi@taoshu.in -n file -s /tmp/a.txt.sig < /tmp/a.txt

各参数的功能如下:

最后通过重定向将文件内容传给 ssh-keygen。如果验证通过,则会得到如下结果:

Good "file" signature for hi@taoshu.in with ED25519 key SHA256:19/J4WKT7flBNcfmqQUqyAZeH4TdhMf5f0u+a4fZj1c

如果有人修改了文件内容,则会得到如下结果:

Signature verification failed: incorrect signature
Could not verify signature.

考虑到大多数 Git 用户都有自己的 SSH 密钥,不支持 SSH 签名岂不是很浪费?于是 Git 2.34 集成了 SSH 签名功能。

我们需要添加如下配置:

# 使用 SSH 签名
git config gpg.format ssh
# 指定 SSH 私钥文件
git config user.signingKey ~/.ssh/id_ed25519.pub
# 指定可信公钥列表文件
git config gpg.ssh.allowedSignersFile "$HOME/.config/git/allowed_signers"
# 开启自动签名(可选)
git config commit.gpgsign true
git config tag.gpgsign true

一番操作之后就准备好了。接下来所有的 Git 提交都会使用 SSH 签名。如果没有开启自动签名,则可以在提交的时候通过-s参数来临时开启。

在默认配置下,我们看不出签名后的提交跟普通提交有什么区别。如果想展示签名信息,需要指定--show-signature参数:

git show --show-signature |head
commit 6292a43f184e8a347b6c8b4fe08191920c0e22a5
Good "git" signature for hi@taoshu.in with ED25519 key SHA256:19/J4WKT7flBNcfmqQUqyAZeH4TdhMf5f0u+a4fZj1c
Author: 涛叔 <hi@taoshu.in>
Date:   Wed Aug 24 07:55:54 2022 +0800

    支持给 TS 的枚举类型生成 toString/parser 函数

diff --git a/autoload/lv.vim b/autoload/lv.vim
index 22a6b38..a08deb9 100644
--- a/autoload/lv.vim
...

这个时候我们就看到了Good "git" signatures ...验证消息。

如果你使用 tig,也应该添加同样的参数,或者在~/.tigrc中开启如下配置:

set log-options = --show-signature
set diff-options = --show-signature

回想我们前面的例子,当-n的值为file的时候,验签信息是Good "file"...。现在的信息是Good "git"...,说明 Git 使用的参数是-n git

但有个问题,Git 到底把签名信息存到了什么地方呢?答案是 commit 或者 tag 对应的 object。如果你不了解 Git 的存储模型,可以阅读我的另一篇文章

我们可以使用cat-file查看对象保存的内容:

$ git cat-file commit 6292a43f184e8a347b6c8b4fe08191920c0e22a5
tree c17c1e92312dc7303018c3dc3cd25d26007305e2
parent e71d24c876aa6e82a69e1566623083923edcab03
author 涛叔 <hi@taoshu.in> 1661298954 +0800
committer 涛叔 <hi@taoshu.in> 1661298954 +0800
gpgsig -----BEGIN SSH SIGNATURE-----
 U1NIU0lHAAAAAQAAADMAAAALc3NoLWVkMjU1MTkAAAAgulKNunkcVxiDzY0wmqJo4rAG9L
 ClGRq9mMfA/PqsKYkAAAADZ2l0AAAAAAAAAAZzaGE1MTIAAABTAAAAC3NzaC1lZDI1NTE5
 AAAAQP1FljU1ZQ327DZE11wjHIDgz1s0ULi7QO5rhg+MyEn12nwkV0fk69qDqmcpAE562x
 pIxa+yaGuMV6hK97Hq+gE=
 -----END SSH SIGNATURE-----

支持给 TS 的枚举类型生成 toString/parser 函数

大家看 gpgsig 这一行,表示当前提交的签名信息。后面的每一行前面都有一个空格,表示这些行跟 gpgsig 是一个整体。

那 Git 是怎样签名的呢?我没有去看源码。但我猜是去掉 gpgsig 签名信息,然后对剩余的内容计算签名,签名类型为 git。于是我把对应的内容保存成文件签了一下,跟 gpgsig 的值完全一致。

Git 签名很好地解决了分装身份的问题。但如果对应功能没办法在 GitHub 上显示,那就不够炫酷。所以 Git 2.34 刚发布就有用户建议 GitHub 添加支持。昨天终于上线了😄

虽然 GitHub 支持展示 SSH 签名信息,但是签名和鉴权用的密钥需要分别上传。上传的时候需要指定类型。哪怕是使用同一个密钥也得额外再传一次。

上传公钥之后,GitHub 就会展示对应的 SSH 签名。

GitHub 展示 SSH 签名

以上就是本文的全部内容,希望能给大家一些参考。欢迎留言讨论。

参与文献: