Я подписывал git-коммиты на некоторое время с ключом GPG «A». Через некоторое время я решил отозвать этот ключ и начать использовать ключ GPG «B». Я также продолжал подписывать новые git-коммиты с ключом «B».Обработка подписанных git-коммитов с отмененным ключом GPG
Я все еще держу оба ключа (отозванный ключ «А» и новый ключ «В») локально. Новые коммиты в порядке, но проблема, с которой я сейчас сталкиваюсь, заключается в том, что все старые git-записи, подписанные с отмененным ключом «A», отображаются с красным предупреждением при просмотре с git log --show-signature
.
Вот как это предупреждение выглядит в журнале мерзавец (большинство из них кричит красное):
commit 39a53e42c8856278f481b9035e54eb90d8d2a0b7
gpg: Signature made Sat Aug 1 22:24:38 2015 CEST using RSA key ID 2F7EF26C
gpg: Good signature from "My Name <email1>" [ultimate]
gpg: aka "My Name <email2>" [ultimate]
gpg: WARNING: This key has been revoked by its owner!
gpg: This could mean that the signature is forged.
gpg: reason for revocation: Key is superseded
gpg: revocation comment: New GPG key is used.
gpg: revocation comment: New key fingerprint: C464 17C1 4F7B D54E A082 7090 CAFA 7B1B 2914 ED81
gpg: revocation comment: New key id: 2914ED81
Author: My name <email1>
Date: Sat Aug 1 22:24:38 2015 +0200
Improve test helper
Есть ли настройки я могу сказать, мерзавец или GPG, что этот ключ все еще «хорошо» и доверительное состояние , это просто, что я больше не использую его? (Я хочу сохранить этот старый ключ аннулирован)
Я был бы признателен, если gpg (или git) «мягко» указал, что ключ не используется, а не предлагает поддельные коммиты. Есть ли настройки безопасности или доверия, которые я мог бы установить для этого?
Возможно, вы можете использовать 'git log -format ="% G? "': См. [Мой пересмотренный ответ ниже] (http://stackoverflow.com/a/36761677/6309) и * end * более подробного ответа «[Проверка подписанных git коммит?] (http://stackoverflow.com/a/32038784/6309)». – VonC