我之前使用 Git 使用 GPG 密钥自动签署 Commit 到所有提交。 Git 工作位于 GitHub 上。前几天,我的电脑突然坏了,我重新安装了操作系统。很快我意识到我没有备份我的 GPG 私钥。所以我想创建一个新的 GPG 私钥/公钥对。我是否必须删除之前在 GitHub 中创建并注册的 GPG 公钥?如果我必须删除它,我之前所做的提交是否无法验证?
如果删除旧密钥,将不再验证之前验证的提交 - 如果 Github 不知道用于签名的密钥,则无法验证提交。
只要您确定过期/丢失的钥匙没有被盗,就无需删除它们。您可以生成一个新的密钥对,并将新的公钥添加到 Github 上的旧密钥旁边。如果您怀疑您的私钥已被泄露,并且现在担心有人可能会使用它来伪造潜在恶意提交或绕过您的软件的软件验证机制,建议您删除旧的公钥。
来自 GitHub 于 2024 年 11 月 13 日宣布的持久提交签名验证现已公开预览版:
持久提交签名验证通过在提交时验证签名并永久存储验证详细信息来解决这些问题[...]现在,任何具有已验证状态的提交都可以保留该状态,即使签名密钥轮换或已删除。
持久提交签名验证仅适用于新提交。对于在此更新之前推送的提交,将在下一次验证时创建持久记录,当在 GitHub 上显示已验证徽章的任何位置查看已签名的提交或通过 REST API 检索已签名的提交时,会发生这种情况。
重点是我添加的(cocomac)虽然我自己还没有尝试过,但我认为这意味着即使 GPG 密钥被删除,验证也可以保留。