Ghid de configurare GPG

GPG (GNU Privacy Guard) este standardul tradițional pentru semnarea commiturilor:

De ce semnarea GPG?

• Insigne verificate pe GitHub, GitLab și Bitbucket.
• Rețea de încredere — alții pot semna cheia ta.
• Expirare și revocare chei — gestionare a ciclului de viață încorporată.
• Criptare — aceeași cheie criptează fișiere și e-mailuri.

Cerințe preliminare

• GnuPG 2.2+ (gpg --version)
• Git 2.0+
• GitHub / GitLab

Pasul 1: Generează o cheie GPG

# Generate a new GPG key (RSA 4096-bit)
gpg --full-generate-key

1. (1) RSA and RSA
2. 4096
3. 1y
4. Your Full Name
5. your@email.com

# List secret keys with key IDs
gpg --list-secret-keys --keyid-format=long

sec   rsa4096/ABC123DEF4567890 2026-03-08 [SC] [expires: 2027-03-08]
      ABCDEF1234567890ABCDEF1234567890ABCDEF12
uid                 [ultimate] Your Name <your@email.com>
ssb   rsa4096/1234567890ABCDEF 2026-03-08 [E] [expires: 2027-03-08]

Pasul 2: Configurează Git

# Set your signing key
git config --global user.signingkey ABC123DEF4567890

# Enable automatic commit signing
git config --global commit.gpgsign true

# Enable automatic tag signing
git config --global tag.gpgsign true

# Set the GPG program
git config --global gpg.program gpg

[user]
    signingkey = ABC123DEF4567890
[commit]
    gpgsign = true
[tag]
    gpgsign = true
[gpg]
    program = gpg

Pasul 3: Configurează agentul GPG

# Create or edit gpg-agent.conf
mkdir -p ~/.gnupg
cat > ~/.gnupg/gpg-agent.conf << 'EOF'
default-cache-ttl 28800
max-cache-ttl 28800
pinentry-program /usr/bin/pinentry-curses
EOF

# Restart the agent
gpgconf --kill gpg-agent
gpg-agent --daemon

macOS

# Install pinentry-mac
brew install pinentry-mac
echo "pinentry-program $(which pinentry-mac)" > ~/.gnupg/gpg-agent.conf
gpgconf --kill gpg-agent

GPG TTY

export GPG_TTY=$(tty)

Pasul 4: Semnează și verifică

# Commits are now signed automatically
git commit -m "feat: add new feature"

# Or sign explicitly
git commit -S -m "feat: signed commit"

# Sign a tag
git tag -s v1.0.0 -m "Release v1.0.0"

# Verify the last commit
git log --show-signature -1

# Verify a tag
git tag -v v1.0.0

Pasul 5: Exportă și înregistrează cheia

# Export in ASCII format
gpg --armor --export ABC123DEF4567890

GitHub

1. Settings → SSH and GPG keys → New GPG key
2. -----BEGIN PGP PUBLIC KEY BLOCK-----

GitLab

1. Preferences → GPG Keys

Keyserver

gpg --keyserver keys.openpgp.org --send-keys ABC123DEF4567890

Gestionarea cheilor

# Extend expiration
gpg --edit-key ABC123DEF4567890
# expire → save

# Backup secret key
gpg --armor --export-secret-keys ABC123DEF4567890 > gpg-secret-key.asc

# Backup trust
gpg --export-ownertrust > gpg-trust.txt

# Restore
gpg --import gpg-secret-key.asc
gpg --import-ownertrust gpg-trust.txt

Integrare Chezmoi

# Add GPG config files
chezmoi add ~/.gnupg/gpg.conf
chezmoi add ~/.gnupg/gpg-agent.conf
chezmoi add ~/.gitconfig

[user]
    signingkey = {{ .gpg_key_id }}
[commit]
    gpgsign = true
[tag]
    gpgsign = true
[gpg]
    program = gpg

[data]
gpg_key_id = "ABC123DEF4567890"

Depanare

Problem	Solution
gpg: signing failed: No secret key	user.signingkey ↔ gpg --list-secret-keys
gpg: signing failed: Inappropriate ioctl	export GPG_TTY=$(tty)
No passphrase prompt	pinentry-mac / pinentry-curses
error: gpg failed to sign the data	gpgconf --kill gpg-agent

Note de platformă

Feature	macOS	Linux	WSL
GnuPG 2.2+	✅	✅	✅
pinentry-mac	✅	N/A	N/A
pinentry-curses	✅	✅	✅
Keyserver	✅	✅	✅
Chezmoi	✅	✅	✅

Corelat

• Cele mai bune practici pentru gestionarea secretelor
• Ghid de semnare SSH
• Aliasuri de securitate
• Aliasuri Git