GitHub Commits signieren

Um zu beweisen, dass ein GitHub Commit wirklich von dir selbst stammt, bietet GitHub an, Commits mit einem PGP-Schlüssel zu signieren. Wie das geht und welche Schwierigkeiten es gibt, erfährst du hier.

Zuerst musst du dir einen PGP-Schlüssel erstellen. Wenn du noch keinen hast, lädst du dir bei Windows am Besten das Softwarepaket Gpg4win herunter. Dann erstellst du dir im neu installieren Programm Kleopatra ein neues Schlüsselpaar und gibst deine Daten ein. Wichtig: Bei deiner E-Mail-Adresse gibst du neben deiner normalen Adresse (die auch für deine GitHub-Commits verwendet werden muss) auch deine GitHub-E-Mail-Adresse ein. Die hat ein folgendes Format: BENUTZERNAME@users.noreply.github.com. Wenn du bereits einen GPG-Schlüssel hast, musst du einfach nur auf dein Zertifikat klicken und dann auf E-Mail-Adresse hinzufügen.

Im nächsten Schritt klickst du nun auf dein Zertifikat und dann auf Exportieren …. Nun kopierst du im neuen Fenster hinter Comment: Fingerabdruck: den Code. Als nächstes öffnest du das Programm Git Bash, welches du durch die Windows-Suche findest und gibst folgenden Befehl ein:

git config --global user.signingkey FINGERABDRUCK

Jetzt hast du Git auf deinem Computer mitgeteilt, dass du diesen GPG-Schlüssel hast. Um mit diesem auch automatisch deine Commits signierst, gib folgenden Befehl ein:

git config --global commit.gpgsign true

Im letzten Schritt lädst du dein öffentliches Zertifikat auf GitHub hoch. Dazu öffne die GitHub-Einstellungen und erstelle unter SSH and GPG keys einen neuen Schlüssel. Kopiere nun den Inhalt des Exportieren-Fensters in das Textfeld und entferne die Zeilen, die mit Comment: beginnen. Anschließend noch den Schlüssel hinzufügen und ab sofort sehen deine Commits bei GitHub so aus:

Veröffentlicht von Silas_229

Der 16-jährige Schüler programmiert in seiner Freizeit Websites und Apps.