Informationen zum Hinzufügen von GPG-Schlüsseln zu deinem Konto
Um Commits zu signieren, die deinem Konto auf GitHub AE zugeordnet sind, kannst du deinem persönlichen Konto einen öffentlichen GPG-Schlüssel hinzufügen. Bevor du einen Schlüssel hinzufügst, solltest du nach vorhandenen Schlüsseln suchen. Wenn du keine vorhandenen Schlüssel finden kannst, kannst du einen neuen Schlüssel generieren und kopieren. Weitere Informationen findest du unter Überprüfen auf vorhandene GPG-Schlüssel und Generieren eines neuen GPG-Schlüssels.
Du kannst deinem Konto auf GitHub AE mehrere öffentliche Schlüssel hinzufügen. Commits, die von einem der entsprechenden privaten Schlüssel signiert wurden, werden als überprüft angezeigt. Wenn du einen öffentlichen Schlüssel entfernst, werden alle von dem entsprechenden privaten Schlüssel signierten Commits nicht mehr als überprüft angezeigt.
Unterstützte GPG-Schlüsselalgorithmen
GitHub AE unterstützt mehrere GPG-Schlüsselalgorithmen. Wenn Du versuchst, einen Schlüssel hinzuzufügen, der mit einem nicht unterstützten Algorithmus generiert wurde, kann es zu einem Fehler kommen.
- RSA
- ElGamal
- DSA
- ECDH
- ECDSA
- EdDSA
Bei der Überprüfung einer Signatur extrahiert GitHub AE die Signatur und versucht, die Schlüssel-ID zu analysieren. Die Schlüssel-ID wird dann mit Schlüsseln abgeglichen, die GitHub AE hinzugefügt wurden. Solange GitHub AE kein übereinstimmender GPG-Schlüssel hinzugefügt wird, können deine Signaturen nicht überprüft werden.
Einen GPG-Schlüssel hinzufügen
-
Klicken Sie auf einer beliebigen Seite in der oberen rechten Ecke auf Ihr Profilfoto und anschließend auf Einstellungen.
-
Klicke in der Seitenleiste mit den Benutzereinstellungen auf SSH und GPG-Schlüssel.
-
Klicke auf Neuer GPG-Schlüssel.
-
Füge im Feld „Schlüssel" den GPG-Schlüssel ein, den du kopiert hast, wenn du den GPG-Schlüssel generiert hast.
-
Klicke auf GPG-Schlüssel hinzufügen.
-
Um die Aktion zu bestätigen, gib dein GitHub AE-Passwort ein.
Abgelaufenen GPG-Schlüssel aktualisieren
Bei der Verifizierung einer Signatur überprüft GitHub AE, ob der Schlüssel widerrufen wurde oder abgelaufen ist. Bei Widerruf oder Ablauf des Signaturschlüssels kann GitHub AE deine Signaturen nicht verifizieren.
Wenn dein Schlüssel abgelaufen ist, musst du die Ablaufeinstellungen aktualisieren, den neuen Schlüssel exportieren, den abgelaufenen Schlüssel in deinem Konto auf GitHub AE löschen und den neuen Schlüssel wie oben beschrieben zu deinem Konto hinzufügen. Deine bisherigen Commits und Tags werden als verifiziert angezeigt, sofern der Schlüssel alle anderen Verifizierungsanforderungen erfüllt.
Wenn dein Schlüssel widerrufen wurde, verwende den primären Schlüssel oder einen anderen, nicht widerrufenen Schlüssel zum signieren deiner Commits.
Wenn dein Schlüssel ungültig ist und du keinen anderen gültigen Schlüssel deines Schlüsselsatzes verwendest, sondern stattdessen einen neuen GPG-Schlüssel mit einem neuen Satz an Anmeldeinformationen generierst, werden Commits, die du mit dem widerrufenen oder abgelaufenen Schlüssel durchgeführt hast, weiterhin als nicht verifiziert angezeigt. Du kannst mit den neuen Anmeldeinformationen die alten Commits und Tags weder neu signieren noch verifizieren.