کامیت‌هاتون رو امضا می‌کنید؟ چرا؟

سلام،
کامیت‌های گیت‌تون رو امضا می‌کنید؟ پیشنهادتون به بقیه در این مورد چیه؟
به نظر خودم کار جالبی میاد، فقط یکم High Maintenance هستش، همیشه چیزی که باعث شده امضا نکنم کامیت‌هام رو این بوده که با خودم می‌گم اگه از یه سیستمی خواستم کامیت بزنم که به Private Key ام دسترسی نداشتم چی؟

2 Likes

دقیقا نکته همینه. با امضا کردن نشون می دی که خودت هستی. نه فقط واسه کامیت واسه همه چیز امضا کردن خوبه مخصوصا اگر تو اجتماعی فعالیت می کنی web of trust اهمیت داره و استفاده می شه

3 Likes

من امضا میکنم. روی PC و لپتاپ هم کلیدم رو دارم و فقط هم از اونجا کد واقعی میزنم.
جای دیگه‌ای پیش نیومده نیاز به کد زدن داشته باشم اونم کدی که بخوام کامیت کنم! (کد دیگران رو یه کم ویرایش میکنم که مثلا یه باگ فیکس بشه روی سیستمشون ولی بعد خودشون کامیت میکنن)

البته ایمیلهام رو هم امضا میکنم. (با --detach-sign)

2 Likes

@lxsameer @pouya-abbassi
مرسی از جوابتون
یه چیز دیگه که یادم رفت بپرسم، اگه به هر دلیلی تصمیم بگیرید که کلید خصوصی‌تون رو عوض کنید (منقضی شدن، لو رفتن و …) کامیت‌هایی که با کلید قبلی امضا کردین چی میشه؟
برای کلیداتون Expire Date هم تنظیم می‌کنید؟

2 Likes

اون کامیت ها در اون زمانی که امضا کردی ولید بودند و این حقیقت تغییری نمی کنه.

1 Likes

مشکل expire شدن که نداریم. حتی اگه expire بشه هم هر زمانی که بخوایم میتونیم تمدیدش کنیم!
مشکل بابت لو رفتن هست که باید حواسمون باشه دیگه :sweat_smile:

من حتی توی thunderbird هم کلیدم رو import نکردم چون ممکنه یه مشکلی توی سورسش باشه یا یه پلاگینی بعدا بتونه کلیدم رو بخونه و لو بره. برای امضا کردن ایمیلهام، اونها رو کپی میکنم توی clipboard و از چیزی شبیه به این استفاده میکنم:

xclip -o | gpg --detach-sign > mail.sig

و فایل mail.sig‌ رو attach میکنم.

برای اینکه از امنیت کلید مطمئن باشیم یه سری راههای خیلی پیچیده هست که توی اینترنت دیدم ولی پیادش نکردم.
مثلا اینکه کلیدی که باهاش امضا میکنیم رو با یه کلید دیگه بسازیم و کلید اصلی رو خارج از کامپیوتر نگه‌داریم روی یه فلش‌مموری مثلا.

2 Likes

اینم بگم که من صفحه‌های سایتمم امضا میکنم :innocent: طوری که هم توسط بروزر خونده بشه و هم توسط gpg بشه درست بودن امضا رو تایید کرد :sunglasses:
سورس این صفحه رو ببینید!

2 Likes

دقیقا همین امنیت هم خیلی چالش برانگیزه، مثلا من الآن حدود 6 ماه از Ubuntu 20.04 استفاده می‌کنم و خیلی تو نصب برنامه‌ها حساسیت به خرج نمی‌دم و از Snap چیز‌میز زیاد نصب کردم!!!

با کیف پول‌های سخت افزاری Ledger آشنایی داری؟
سیستم کارش به این صورته که برای امضا کردن تراکنش‌ها باید کیف پول رو به سیستم وصل کنی، یه نرم‌افزار چیزی که باید امضا بشه رو میده به کیف پول، کیف پول خودش امضا می‌کنه و اطلاعات امضا شده رو به سیستم برمی‌گردونه، عملا کلیدخصوصی روی کیف‌پول ایجاد می‌شه و تا ابد هم همونجا می‌مونه و هیچ‌جوره به کامپیوتر منتقل نمی‌شه، اگه همیچین چیزی برای gpg هم می‌بود خیلی باحال می‌شد.

1 Likes

بله. Nano S دارم.

یه بار خواستم این چیزی که میگی رو روی میکروکنترلر پیاده‌سازی کنم ولی دیدم میکروکنترلری که بشه استاندارد openPGP‌ روش پیاده سازی کرد خیلی گرون میشه و تازه اونم اگر بشه! (حساب‌کتاب کردن، خیلی فرق داره با اینکه کامپایل کنیم بعد ببینیم سایز باینری چقدره)

ولی چیزی که شما میخوای موجوده! قیمتش تقریبا اندازه‌ی یه کیف پول بیتکوینه!

1 Likes

دلیل خاصی داره که از PGP استفاده می‌کنی به جای GPG ؟

1 Likes

من از GnuPG استفاده میکنم که از استاندارد ‌PGP استفاده میکنه!

قضیه اینه که یه استانداردی هست به نام PGP که یه سری نرم‌افزار بر پایه‌ی اون ساخته شدن. یکیش openPGP‌ هست یکیش GnuPG.
اینکه توی امضا مینویسه PGP، داره میگه این استاندارده. دست منم نیست! باید این شکلی باشه. این نرم‌افزارها همشون دنبال یه خطی میگردن که این شکلی باشه:

-----BEGIN PGP SIGNED MESSAGE-----

چیز دیگه‌ای رو نگاه نمیکنن. برای همین تونستم بالاش یه <!-- بنویسم و توسط GnuPG نادیده گرفته میشه.

1 Likes

اصلا حواسم نبود که کلید Public خودمم بالاش نوشته PGP :sweat_smile:

1 Likes