我最近设置了GPG来签署我的Git提交,现在我的gitconfig中有一个signingKey字段。 我不太熟悉GPG的细节 - 这个签名密钥是我应该保持私有的敏感信息还是属于gpg的公共部分? 我将我的gitconfig放在一个公共仓库中存储我的点文件,并且想知道如果让这个字段可见是否可以。
我最近设置了GPG来签署我的Git提交,现在我的gitconfig中有一个signingKey字段。 我不太熟悉GPG的细节 - 这个签名密钥是我应该保持私有的敏感信息还是属于gpg的公共部分? 我将我的gitconfig放在一个公共仓库中存储我的点文件,并且想知道如果让这个字段可见是否可以。
不需要保密。
秘钥并不在git的配置文件中,而是在GnuPG的“keyring”中,通常是您HOME目录下的某个文件。理论上它也可以在更安全的位置,比如硬件令牌中,但我不太了解。
git配置中的值只是告诉gpg选择哪个秘钥。
我不是安全专家,但我认为您的签名密钥不必保持私有: