首先我要说的是,我非常怀疑所有签署您的提交和标签并不愚蠢,但我需要帮助了解它是如何工作的。
话虽如此,如果签名的全部原因是验证提交/标记是由您完成的(因为您可以冒充Git上的任何人)。什么阻止恶意用户使用我的信息创建密钥并使用它签署提交?
答案 0 :(得分:4)
谢谢michaelmichael。你link about web of trust指出了正确的方向。
对于任何可能提出同样问题的人:答案很简单,如果你没有其他人的签名(已建立的信任网),你的密钥就不值得信赖。
这些签名意味着签名密钥的人在此之前验证了您的身份(也许该人知道您或您提供了有效的身份证明等...)。这些签名对于试图验证您身份的人来说可能没有任何意义,除非您有一个他们信任的人已经签署了您的密钥。如果您没有“共同的人”,您必须通过其他方式证明您的身份,并让他们签署您的密钥,以便其完整性增加。
良好的阅读(他们帮助我更好地理解PGP和GPG):
如果您对密钥签名过程感兴趣,请阅读: