From d2890179a8bbb7bc3f2dcd807faa906e6ab78224 Mon Sep 17 00:00:00 2001 From: Sergey Matveev Date: Sat, 12 Aug 2023 15:30:05 +0300 Subject: [PATCH] =?utf8?q?=D0=9D=D0=B0=D1=87=D0=B8=D0=BD=D0=B0=D1=8E=20?= =?utf8?q?=D0=BF=D0=BE=D0=B4=D0=BF=D0=B8=D1=81=D1=8B=D0=B2=D0=B0=D1=82?= =?utf8?q?=D1=8C=20Git=20=D1=82=D1=8D=D0=B3=D0=B8=20SSH-=D0=BA=D0=BB=D1=8E?= =?utf8?q?=D1=87=D0=B0=D0=BC=D0=B8?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit Плавно и неспешно начинаю двигаться в сторону использования OpenSSH ключей для подписи, вместо OpenPGP. Не раз писал в блоге что не горю поддержкой всяких наездов на OpenPGP, но простота minisign/signify и OpenSSH ключей подкупает, особенно когда достаточно OpenPGP использовать например только для установки доверия, а дальше уже context-specific per-application дешёвые простые подписи более простыми ключами. Почти во все свои проекты добавил OpenSSH публичные ключи в документацию по установке, предоставляю .sig файлы для подписи, включаю их внутрь Metalink файлов. Подписываю параллельно с OpenPGP. Теперь вот и в tofuproxy появился Git тэг подписанный. Делается это действительно легко (d6e5458329cc1eb3a61082b64115bfdecea8a90a), прямо в директории tofuproxy проекта: git config gpg.format ssh git config user.signingKey `realpath ~/.ssh/sign/tofuproxy@stargrave.org` git config gpg.ssh.allowedSignersFile `realpath PUBKEY-SSH.pub` signify/minisign я считаю не имеет смысла использовать, если только на какой-то совершенно минималистичной standalone системе, так как OpenSSH из коробки вроде бы есть в любом дистрибутиве -- значит поддержка его ключей шире. В Git оно уже интегрировано. Плюс сам по себе формат его ключей вполне себе минималистичный, чай не попытка просто распарить OpenPGP пакеты. Кстати, по умолчанию генерируемые OpenSSH ключи шифруются aes256-ctr. Можно форсировать "-Z chacha20-poly1305@openssh.com", тоже доступный в OpenSSH сборке без OpenSSL. -- 2.48.1