Kdo dělá s gitem, ten ví, že vás git po nainstalování vyzve k zadání vašeho jména a e-mailu. Tyto údaje pak používá v každém vašem commitu. Problém je, že si jméno i e-mail můžete zcela vymyslet, nebo se vydávat za někoho jiného. Proto existuje možnost své commity podepisovat. Github pak bude u vašich commitů ukazovat tag Verified s vaší digitální identitou.
Nastavit si podepisování je jednoduché:
1) Vygenerujte si pgp klíč pokud ho ještě nemáte ($ gpg --gen-key) a uveďte svůj v githubu ověřený e-mail.
2) Vypište si seznam klíčů ($ gpg --list-keys) a vyexportujte si svůj veřejný klíč do souboru ($ gpg --armor --export <keyid> > mykey.pub)
3) Vložte si svůj veřejný klíč do profilu v GitHubu (Settings - SSH and GPG keys)
4) Nastavte si v gitu na počítači aby automaticky všechny commity podepisoval ($ git config --global commit.gpgsign true) pokud máte více klíčů tak můžete zvolit jeden konkrétní ($ git config --global user.signingkey <keyid>)
To je vše
Pro zvýšení důvěryhodnosti svého klíče můžete navštívit nějakou Key Signing Party (například na LinuxDays 6.10.2018 v 18:00 https://www.linuxdays.cz/2018/). Tam se sejdou lidé, kteří si navzájem ověří identitu a podepíší si vzájemě své pgp klíče. Je to taková báječná linuxově-komunitní úchylárna která stojí za to
Pokud tam vyrazíte tak si:
1) předem svůj veřejný klíč nahrajte na pgp server ($ gpg --keyserver pool.sks-keyservers.net --send-keys <keyid>)
2) vytiskněte si lístečky se svým veřejným klíčem, které si na párty vyměníte s ostatníma (http://openpgp.quelltextlich.at/slip.html)
Více o KSP třeba zde: https://www.linuxdays.cz/2017/key-signing-party/