Ho firmato git commit per un po 'con il tasto GPG "A". Dopo un po 'ho deciso di revocare la chiave e iniziare a utilizzare la chiave GPG "B". Ho anche continuato a firmare nuovi commit git con la chiave "B".Gestione commit git firmato con chiave GPG revocata
Conservo ancora entrambe le chiavi (il tasto revocato "A" e il nuovo tasto "B") localmente. I nuovi commit sono ok, ma il problema che sto avendo ora è che tutti i vecchi git firmati con il tasto revocato "A" vengono visualizzati con un avvertimento rosso se visualizzati con git log --show-signature
.
Ecco come questo avvertimento appare in git log (la maggior parte di esso sta urlando rosso):
commit 39a53e42c8856278f481b9035e54eb90d8d2a0b7
gpg: Signature made Sat Aug 1 22:24:38 2015 CEST using RSA key ID 2F7EF26C
gpg: Good signature from "My Name <email1>" [ultimate]
gpg: aka "My Name <email2>" [ultimate]
gpg: WARNING: This key has been revoked by its owner!
gpg: This could mean that the signature is forged.
gpg: reason for revocation: Key is superseded
gpg: revocation comment: New GPG key is used.
gpg: revocation comment: New key fingerprint: C464 17C1 4F7B D54E A082 7090 CAFA 7B1B 2914 ED81
gpg: revocation comment: New key id: 2914ED81
Author: My name <email1>
Date: Sat Aug 1 22:24:38 2015 +0200
Improve test helper
C'è un'impostazione che posso dire git o gpg che questa chiave è ancora "ok" e la fiducia-in grado , è solo che non lo sto usando più? (Voglio mantenere la vecchia chiave revocata)
Apprezzerei se gpg (o git) "mildly" indicasse che la chiave non è in uso invece di suggerire commit falsi. C'è un ambiente di sicurezza o fiducia che potrei impostare per raggiungere questo obiettivo?
Forse puoi usare 'git log --format ="% G? "': Vedi [la mia risposta rivista sotto] (http://stackoverflow.com/a/36761677/6309) e la * fine * della risposta più dettagliata "[Verifica di git firmati firmati?] (http://stackoverflow.com/a/32038784/6309)". – VonC