GPG

GPG

• Git GPG 키는 Git 커밋과 태그에 서명을 추가하여 소스 코드의 무결성과 출처를 보증하는 데 사용된다.
• GPG키를 통해 커밋에 디지털 서명을 하면, 그 커밋이 특정 사용자가 만든 것임을 증명할 수 있으며 이를 통해 코드의 출처를 확인할 수 있고, 코드가 신뢰할 수 있는 소스에서 왔음을 보장할 수 있다.

---

실습

GPG 설치

1. mac의 경우 brew install gnupg를 입력하여 GPG를 설치한다.
   • 윈도우 설치 링크
2. 설치 완료를 확인하기 위해 gpg --version을 입력한다.
   
3. 키 생성을 위해 gpg --full-generate-key를 터미널에 입력한다.
4. 안내에 따라서 키를 작성한다
   
   • 대부분의 선택지는 엔터(디폴트)로 진행한다.
5. 입력값중 Real name과 email은 github의 계정명으로 입력한다.
6. passpharse의 값을 입력한다.
   
7. GPG 키가 생성되었는지 확인한다.
   
8. gpg --list-secret-keys --keyid-format=long 를 입력하여 GPG키를 나열한다.
9. GPG키의 ID를 복사해 둔다 (아래 예시에선 3AA5C34371567BD2)
   
10. gpg --armor --export (GPG 키 ID)를 입력하여 나온
    값을 모두 복사한다.

GPG 키 github에 등록하기

1. github의 프로필-> setting 메뉴에서 SSH and GPG keys를 클릭한다.
2. New GPG key를 클릭한다.
   
3. gpg --armor --export 명령어 입력후 나온 값을 붙여넣고 add GPG key를 클릭한다.
   
4. 새롭게 key가 생성된 것을 확인할 수 있다.
   

GPG 키를 이용해 verified된 커밋 생성하기

• 가이드

1. 주어진 가이드에 따라서 진행한다.
2. 설정이 제대로 되었는지 확인하기 위해 파일을 수정한 후 push할때 -S 옵션을 붙여서 push 해준다.
   git commit -S -am "This is Signed";git push
3. passphrase를 입력하라는 창이 나타나면 설정할때 입력한 passphrase를 입력한다.
   
4. push가 완료된 것을 확인한다.
   
5. commit이 이전과 다르게 Verified 되었음을 확인한다.