Посібник з підпису комітів SSH

Непідписані коміти може створити будь-хто. Підпис доводить:

Навіщо підписувати коміти?

• Ідентичність — коміт зроблено власником ключа.
• Цілісність — коміт не змінювався після підпису.
• Довіра — платформи показують значок «Підтверджено».

Передумови

• Git 2.34+ (git --version)
• SSH (Ed25519)
• GitHub / GitLab

Крок 1: Генерація ключа підпису

# Generate an Ed25519 key for signing
ssh-keygen -t ed25519 -C "your@email.com" -f ~/.ssh/id_signing

# Verify the key was created
ls -la ~/.ssh/id_signing*

Крок 2: Налаштування Git

# Set the signing format to SSH
git config --global gpg.format ssh

# Point to your signing key
git config --global user.signingkey ~/.ssh/id_signing.pub

# Enable automatic commit signing
git config --global commit.gpgsign true

# Enable automatic tag signing
git config --global tag.gpgsign true

[gpg]
    format = ssh
[user]
    signingkey = ~/.ssh/id_signing.pub
[commit]
    gpgsign = true
[tag]
    gpgsign = true

Крок 3: Налаштування дозволених підписантів

# Create the allowed signers file
mkdir -p ~/.config/git
echo "your@email.com $(cat ~/.ssh/id_signing.pub)" > ~/.config/git/allowed_signers

# Tell Git where to find it
git config --global gpg.ssh.allowedSignersFile ~/.config/git/allowed_signers

Крок 4: Підпис та верифікація

# Commits are now signed automatically
git commit -m "feat: add new feature"

# Or sign a single commit explicitly
git commit -S -m "feat: signed commit"

# Sign a tag
git tag -s v1.0.0 -m "Release v1.0.0"

# Verify the last commit
git log --show-signature -1

# Verify a tag
git tag -v v1.0.0

Крок 5: Реєстрація на GitHub / GitLab

GitHub

1. Settings → SSH and GPG keys → New SSH key
2. Key type: Signing Key
3. ~/.ssh/id_signing.pub

GitLab

1. Preferences → SSH Keys
2. Usage type: Signing
3. ~/.ssh/id_signing.pub

Інтеграція з Chezmoi

# Add your Git config
chezmoi add ~/.gitconfig

# Add your allowed signers file
chezmoi add ~/.config/git/allowed_signers

# Add your signing key (encrypt it!)
chezmoi add --encrypt ~/.ssh/id_signing

[gpg]
    format = ssh
[user]
    signingkey = {{ .chezmoi.homeDir }}/.ssh/id_signing.pub
[gpg "ssh"]
    allowedSignersFile = {{ .chezmoi.homeDir }}/.config/git/allowed_signers
[commit]
    gpgsign = true
[tag]
    gpgsign = true

Усунення несправностей

Problem	Solution
error: unsupported value: ssh	Git 2.34+
error: Load key: No such file	user.signingkey
No principal matched	allowed_signers
SSH agent prompt	ssh-add ~/.ssh/id_signing

Примітки щодо платформ

Feature	macOS	Linux	WSL
Git 2.34+	✅	✅	✅
ssh-agent	✅ Keychain	✅ systemd	✅
1Password SSH agent	✅	✅	⚠️
Chezmoi	✅	✅	✅

Пов'язане

• Найкращі практики керування секретами
• Посібник з налаштування GPG
• Псевдоніми безпеки
• Псевдоніми Git