¿Cómo puedo saber qué subclave GitHub está usando para firmar?

Navega tus respuestas
3

Agregué mi subclave gpg a GitHub hoy y noté que, independientemente de la subclave que exporte, el BLOQUE DE CLAVE PÚBLICA es el mismo. Desde entonces he encontrado esta publicación, que explica por qué: es posible exportar un gpg-subkeys-public-component?

Al agregar este bloque de clave pública a github, ahora ha reconocido mi clave pública y enumera mis subclaves de cifrado y firma en mi cuenta.

Entonces, mi pregunta es cómo puedo saber qué clave está usando github para firmar, ya que mi clave pública tiene un uso SC , y mi clave de firma tiene un uso S ?

    
pregunta nickbdyer 27.06.2016 - 11:25
fuente

1 respuesta

4

Github no está firmando sus confirmaciones en absoluto, todo lo que hace es verificar las firmas. De hecho, git está haciendo el trabajo de firma en su computadora, confiando en GnuPG para las operaciones criptográficas. GnuPG nuevamente usará la clave no revocada más nueva con capacidades de firma a menos que aplique otra cosa, que generalmente será su subclave.

Al verificar las confirmaciones o etiquetas a través de git verify-[commit|tag] , GnuPG imprimirá la ID de clave utilizada para la firma, por ejemplo 

gpg: Signature made Mon Jun 27 23:22:05 2016 CEST
gpg:                using RSA key 0x8E78E44DFB1B55E9
[snip]

Esta ID de clave hace referencia a la clave realmente utilizada para escribir la firma, si se usó una subclave, la ID se imprime aquí. Usted verifica ejecutando gpg --list-keys [key-id] y observando si la clave está en la lista como clave principal o subclave.

Para la firma, generalmente la implementación de entrada de pines de su elección también imprimirá la clave que se usará al consultar la frase de contraseña.

    
respondido por el Jens Erat 27.06.2016 - 23:26
fuente

Lea otras preguntas en las etiquetas

¿Cómo se puede hackear un servidor aparte del puerto 80 o SSH? Elección de autenticación cuando se admiten HTTP y HTTPS