4
在Git中签名提交是什么意思?即使在reading the documentation之后,我仍然对它的工作原理感到困惑。我试着搜索堆栈溢出,但令人惊讶的是this question doesn't seem to have been asked yet。什么是签名提交?
如果提交已签名,是否意味着我们可以判断提交的作者姓名和电子邮件是否准确?或者我误解了。
Q
什么是签名提交?
A
回答
4
从技术上讲,它仅仅意味着对应私钥的持有者签署了提交。在实践中,可以推断1)所述密钥的持有者是具有一些可证实的声誉的人,2)该人声明了该代码的作者身份,以及3)自从他们签署该代码以来该代码没有改变。我对GPG密钥持有者如何与他人建立身份的知识非常有限,但这是一般想法。
为什么要检查所有这些?如果有问题的软件对某种类型的安全至关重要,那么攻击者可能会通过用破损的软件替换您认为自己获得的软件来危害您,例如有一些你无法轻易识别的后门。毕竟,你需要一些代码,你点击“下载”,并且你信任通过电线到达的东西是写在按钮上的东西。但是,理想情况下,攻击者将无法模仿真实作者的签名,因为他们不会拥有作者的私钥。而且他们不能仅仅改变代码并且仅仅保留签名,因为它涉及到代码本身的散列。
请参阅Code Signing的维基百科。
相关问题
- 1. ClickOnce签名 - 实际签名是什么?
- 2. 什么是提交日志?
- 3. 什么是垫提交?
- 4. Dropbox OAuth签名是什么?
- 5. Perforce是否支持“签名修订”或“签名提交”?
- 6. 签名和提交Firefox WebExtension
- 7. 为什么HEAD提交这样命名?
- 8. 为什么TextBox提交后提交reactjs
- 9. 什么是tomcat内存堆提交?
- 10. 什么是子项目提交?
- 11. 合并引入的提交是什么?
- 12. 什么是压缩提交git?
- 13. 提交消息的用途是什么?
- 14. 第一次提交应该是什么?
- 15. 什么是PHP中的参数签名?
- 16. 什么是`auto classMemberFunction() - > void {}`签名?
- 17. 签名过程的网址是什么?
- 18. .F4V的文件签名是什么?
- 19. 什么是...在方法签名
- 20. 什么是运行时签名?
- 21. java中的jar签名是什么?
- 22. 什么是::在签名中的含义?
- 23. 什么是代码签名身份?
- 24. 在Windows中签名exe是什么?
- 25. BillingSecurity.verifyPurchase - 什么是signedData和签名?
- 26. TwitterApiClient:什么是POST的回调签名?
- 27. connect/expressjs中的“签名”cookie是什么?
- 28. 什么是JCE代码签名CA?
- 29. 什么样的标题签名是0x7473657571655220?
- 30. 是什么意思开放式交易和提交交易
如果作者使用多台计算机工作,签名如何工作?每台电脑都有自己的钥匙吗? –
在这一点上我只是喋喋不休的维基百科。这当然不是微不足道的。你必须有一些安全携带钥匙的方法。 – Chris
@StevenVascellaro为了正确设置,每台计算机都需要访问作者的私钥。您可以复制密钥,但使用代理如['gpg-agent'](https://www.gnupg.org/documentation/manuals/gnupg/Invoking-GPG_002dAGENT.html)更安全,因此私钥存储在一个地方;代理可以将密钥传递给远程帐户,而不必接触远程磁盘(并且任何具有root访问权限的人都可以看到)。 – Schwern