[Git] 1Password에 저장한 SSH 키로 Git 커밋 서명하기

Git 2.34 이후 버전부터 SSH 키를 이용한 커밋 / 태그 서명을 지원한다. 1Password SSH 통합 기능을 사용하고 있다면 GPG 키 없이 1Password 앱에서 Git 커밋 서명을 자동으로 구성할 수도 있다. 커밋을 서명하면 GitHub 계정에 연결된 SSH 공개키로 실제 사용자가 변경한 내용인지 검증 할 수 있다. 그럼 다른 사람의 서명하지 않은 커밋을 방지할 수 있다.

GPG(Gnu Privacy Guard)는 GNU 프로젝트에서 개발한 오픈소스 암호화 소프트웨어다. 공개키 암호화 방식을 사용하며, 암호화, 서명, 인증 등의 기능을 제공한다.

 

요구 사항

---

1. 1Password 버전 8이상의 데스크톱 앱
2. Git 2.34 혹은 이후 버전
3. 1Password SSH Agent 활성 (참고 포스팅)
4. 1Password에 저장된 SSH Key

 

구성 방법

---

💡 includeIf 지시자를 이용해서 여러개의 커밋 서명을 설정할 수도 있다(참고글)  

 

❶ 1Password에 저장한 SSH Key → 우측 상단 설정 버튼(세로 점 3개) → 커밋 서명 구성 클릭

 

❷ 자동 편집 버튼 클릭

 

클릭하면 ~/.gitconfig 구성 파일에 아래 스니펫이 자동으로 추가된다.

• gpg.format : ssh
• user.signingkey : 커밋 서명을 위한 공개키로 설정
• commit.gpgsign : true (설정하면 커밋시 -S 플래그 안붙여도 됨)
• gpg.ssh.program : 1Password가 제공하는 SSH signer 바이너리로 설정

 

❸ GitHub Settings → SSH and GPG keys → Signing Key 타입 선택 후 공개키 등록

1Password 크롬 부가기능을 사용하면 저장한 SSH 목록이 나오고, 선택하면 Title과 Key가 자동으로 채워진다

❹ GitHub Settings → SSH and GPG keys → Flag unsigned commits as unverified 체크

💡 체크하면 본인 계정에 귀속된 모든 커밋과 태그의 서명 상태(Verified / Unverified)를 표시한다

 

❺ git commit -m "..." 커밋 서명 테스트 (커밋시 1P 잠금 해제와 동일한 방식으로 SSH 키 인증)

커밋이 확인된 서명일 경우 초록색 Verified 아이콘이 표시된다

 

레퍼런스

---

Sign Git commits with SSH | 1Password Developer