Back / Notes

Git/git-gpg-signing

GPG Commit Signing

/1 min readgitgpgsigning

Tujuan

  • Memastikan bahwa commit benar-benar dibuat oleh kamu (otentikasi identitas).
  • Meningkatkan kepercayaan terutama untuk proyek open source.

Konfigurasi Git untuk Commit Signing

Tambahkan konfigurasi berikut pada file ~/.gitconfig:

ini
[user]
    signingkey = 14C5DDABE85D6F02    # Ganti dengan ID kunci GPG kamu
[commit]
    gpgSign = true                   # Aktifkan tanda tangan otomatis pada commit
[tag]
    gpgSign = true                   # Aktifkan tanda tangan otomatis pada tag

Membuat Kunci GPG Baru

Jalankan perintah berikut untuk membuat kunci GPG:

bash
gpg --full-generate-key

Setelah selesai, lihat daftar kunci privat kamu beserta ID-nya:

bash
gpg --list-secret-keys --keyid-format LONG

Menambahkan Public Key ke GitHub

Agar GitHub dapat memverifikasi tanda tangan commit kamu, tambahkan public key ke akun GitHub.

  1. Ekspor public key dalam format ASCII armor:
bash
gpg --armor --export <YOUR_KEY_ID>
  1. Salin output yang muncul, kemudian:
  • Buka GitHub > Settings > SSH and GPG keys > New GPG key
  • Tempelkan public key tadi dan simpan.

Commit dengan GPG Signing

Setelah konfigurasi, setiap commit yang kamu buat akan otomatis ditandatangani.

Untuk commit manual dengan tanda tangan (jika gpgSign tidak aktif):

bash
git commit -S -m "Pesan commit dengan tanda tangan"