Autenticación de commits con llaves PGP en GitLab

Clase 36 de 53 • Curso de DevOps con GitLab

Resumen

Proteger la autoría de tu código es clave para evitar suplantaciones y riesgos. Con llaves PGP/GPG puedes firmar commits y lograr que GitLab muestre el distintivo Verified, confirmando que el autor eres tú y no alguien que clonó tu nombre y correo. En equipos abiertos y proyectos open source, esta verificación marca la diferencia.

¿Por qué firmar commits con PGP en GitLab importa?

Firmar con PGP añade una capa de autenticación basada en criptografía: una llave privada firma el commit y la llave pública en GitLab lo valida. Así se evita que cualquiera configure un nombre y correo falsos y firme a tu nombre.

Identidad confiable: GitLab muestra el estado Verified junto a cada commit.
Prevención de suplantación: la firma prueba que el commit proviene de tu llave privada.
Relevancia en open source: los maintainers pueden aceptar cambios con mayor confianza.
Complemento en proyectos cerrados: además de los permisos de proyecto y grupo.

¿Cómo generar llaves GPG con buena seguridad?

En Linux, aunque el mecanismo se llama PGP (Pretty Good Privacy), el programa se llama GPG. Primero verifica que lo tienes instalado y luego genera tu llave, eligiendo algoritmo, entropía y expiración. Construye tu identidad con nombre, correo y un comentario descriptivo.

which gpg
GPG full gen key

¿Qué algoritmo y entropía elegir?

Al generar la llave, se elige la opción 1: RCA, que permite firmar y encriptar. Luego define la entropía: 4096 bits para mayor dificultad de comprometer la llave.

Algoritmo: opción 1, RCA.
Entropía: 4096 bits para más seguridad.

¿Cómo definir expiración y construir identidad?

Define un periodo de validez: puede ser 1 día, 1 semana, 1 mes o 1 año, usando indicadores como 1, 1W, 1M, 1Y. Evita llaves que nunca expiran; renovar alrededor de un año es una práctica razonable. Asegúrate de que el correo coincida exactamente con el registrado en GitLab.

Expiración: 1, 1W, 1M, 1Y según necesidad.
Identidad: nombre, correo y comentario, por ejemplo: test Platzi DevOps GitLab.
Coincidencia de correo: debe hacer match con GitLab para autenticar commits.

¿Cómo proteger la contraseña de la llave?

Antes de crear la llave, define una contraseña de alta entropía. Usa un manejador de contraseñas y elige una clave larga, con símbolos y caracteres aleatorios. Puedes usar herramientas como Pine Entry Mac, o ingresar la contraseña desde la consola.

Contraseña robusta: larga, con símbolos y aleatoria.
Gestor de contraseñas: no la memorices, guárdala segura.

Para revisar tus llaves y obtener el ID largo asociado a tu correo:

List secret keys
# key ID format: long
# filtrar por correo: tu-correo

¿Cómo integrar la llave en GitLab y firmar commits en Git?

En GitLab, ve a Settings y abre GPG Keys para pegar tu llave pública. La pública puede ser conocida por cualquiera, incluso replicada por servidores especializados. La llave privada debes protegerla al máximo.

En Settings > GPG Keys, pega la llave pública.
Presiona Add key para registrarla.

Después, configura Git para firmar automáticamente con tu llave. Usa el ID largo obtenido y define el programa GPG que utilizarás (puede ser GPG 2.0 si corresponde a tu entorno):

git config --global user sign in key TU_ID_DE_LA_LLAVE
git config --global GPG Program GPG
# si usas otra versión: GPG 2.0

A partir de aquí, cada vez que hagas un commit, Git pedirá tu contraseña para firmarlo con tu llave privada. Al subirlo a GitLab, se validará con tu llave pública y aparecerá el badge de Verified.

Firma automática: Git solicita tu contraseña al commitear.
Validación en GitLab: verificación con tu llave pública.
Distintivo visible: estado Verified junto al commit.

¿Ya firmas tus commits con PGP en GitLab o tienes dudas puntuales del flujo? Comparte tu experiencia y preguntas en los comentarios.

Daniel Vaca

student•

En el minuto 7:45 al parecer en la edición se les olvidó colocar la parte donde se obtiene la llave pública, el comando es:

gpg --armor --export mail@gmail.com > key.pub```

Diego Esquivel Romero

student•

Correcto, aunque en el mismo gitlab lo comentan en caso de que se necesite una guia:

https://gitlab.com/help/user/project/repository/gpg_signed_commits/index.md

Daniel Vaca

student•

En esta clase faltó indicar que para que el commit sea firmado con el GPG es necesario agregar la opción "-S" en el commit, sino realiza un commit normal. Ej.:

git commit -S -am "Este es un commit firmado con GPG"```

Roger Reyes

student•

No es necesario por que usó: git config --global xxxx con esto queda configurado de manera global y no es necesario usar el -S

TeamQA

student•

Para obtener la llave publica : Pega el siguiente texto sustituyendo el ID de la llave GPG que deseas usar. En este ejemplo, el ID de la llave GPG es 3AA5C34371567BD2:

$ gpg --armor --export 3AA5C34371567BD2# Imprime la llave GPG, en formato ASCII armor

Carlos Alberto Gutiérrez Vasquez

student•

**Instalación de GPG en macOS **

-Isntalar el manejador de paquetes para Mac Homebrew

Abrir la terminal y ejecutar el siguiente comando: ** /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"**
Ahora Homebrew solo es una copia superficial para traer la historia completa ejecutamos el siguiente comando: git -C "$(brew --repo homebrew/core)" fetch --unshallow
Una ves actualizado nuestro manejador de paquetes instalamos gpg con el siguiente comando: brew install gpg
Para verificar que se ha instalado correctamente podemos ejecutar el siguiente comando: which gpg, y debería devolvernos la ruta del directorio donde fue instalada por ej: /usr/local/bin/gpg

Jose Almenarez

student•

Muchas gracias. Me funcionó!

Pablo Aquino

student•

Llaves de seguridad GPG nos permiten firmar los commit que realiza un dev. y es un capa adicional de identificación.
Con la firma de los commit evitamos los caballo de troya en el código, agregando un capa extra de seguridad.
Los commits firmados con llaves GPG tienen una etiqueta adicional de verified.

# para generar llave de seguridad.
gpg --full-gen-key
#mostar las llaves generadas
gpg --list-secret-key --keyid-format LONG <correo>
#exportar la llave pública
gpg --armor --export key_id
#configar la llave en git
git config --global user.signingkey key_id
git config --global gpg.program gpg

Normalmente las llaves gpg deben de expirar en un año.

El correo que se usa en la generación de llaves gpg debe ser el mismo que se usa en gitlab.
Para añadir las llaves GPG en Gitlab Setting/GPG keys.

Wilmer Ariel Moina Rivera

student•

Generating a GPG key Todos los pasos de esta clase: https://gitlab.com/help/user/project/repository/gpg_signed_commits/index.md

Sergio Alexander Florez Galeano

student•

Les comparto este tutorial que cree basado en está clase.

Francisco Garcia [C6]

student•

Buenas tardes, y para Windows tiene el tutorial?

Alexander Sánchez

student•

My summary:

# know if gpg is installed
which gpg

# install gpg with brew
brew install gpg

# installa pineentry mac (pgp handler)
brew install pinentry-mac

# generate key
gpg --full-gen-key
# 1. select algorith (RSA and RSA for default)
# 2. select keysize (the longer the better)
# 3. specify key time validation (1 year could be fine)
# 4. Fill out your personal data. Email must the same as your GitLab account mail

# list keys
# GPG key ID -> that starts with sec i.e. rsa4096/<GPG-key-ID>
gpg -k --keyid-format LONG
gpg --list-secret-key --keyid-format LONG
gpg --list-secret-key --keyid-format LONG <your-email>

# export the public key and add to GitLab (User Settings > GPG Keys)
gpg --armor --export <GPG-key-ID> | pbcopy

# configure git to use the public key to sign commits
git config --global user.signingkey <GPG-key-ID>
git config --global gpg.program gpg

# commit with -S flag to sign
git commit -S -m "My signed commit"

# or tell Git to sign your commits automatically
git config --global commit.gpgsign true


# DELETE GPG KEYS

# first delete private key
gpg --delete-secret-key key-ID

# then delete public key
gpg --delete-key key-ID

Franco Colmenarez

student•

Recuerden pasar el parámetro -S a los commits para que tengan la firma digital

git commit -S -m "Esto es un commit"

David Behar

student•

O cambiar tu configuración para que no sea necesario

git config --global commit.gpgsign true

Martin DAVILA

student•

Para aquellos que quieran instalar pinentry mac:

brew install pinentry-mac``` 

Recuerden que primero tinen que instalar brew

Nicolás José Vela Hidalgo

student•

Por favor pongan su correo... jajaja...

Nicolás José Vela Hidalgo

student•

full feeling profe... con mi vida defenderé mi llave... me gustó full el curso... me aclaro muchas cosas... y me divierte... jajaja

Sergio Alexander Florez Galeano

student•

Si llegan a el siguiente problema generando las llaves gpg:

Es un problema de permisos, se soluciona cambiando el usuario y grupo de la carpeta ~/.gnupg:

sudo chown -R myuser:myuser ~/.gnupg

Francisco Garcia [C6]

student•

Buenas tardes, tiene alguien quien facilite para su uso en Windows?

Victor bustos sazo

student•

instalando Git tienes Git bash, con eso se puede en windows, curso de Git enseña a usarlo.

Jared Bustamante Quiñonez

student•

Buenos dias, tardes noches a todos.. alguien sabe si es posible firmar los commits y push desde el visual studio code? Hice un commit asi normalito para checar si funcionaba la llave gpg, entonces revisé el commit en gitlab y encontré que no tenia la etiqueta de verificado.. pero al hacer otro commit desde la consola con el git -commit -S -a -m " este commit si se firmó"

Saludos a todos

Manuel Roberto Serrano Torres

student•

En visual está el "control de código fuente" desde ahí puedes hacer casi todo lo que haces desde la terminal, incluido firmar comits, es bátante intuitiva la pestaña.

RONALD VICENTE QUICHIMBO GUAMAN

student•

Yo utilizo github actions algunas recomendaciones porfavor..??

Nicolas David Pastran Zamora

student•

En mi empresa usamos llaves gpg para encriptar los archivos los secretos de ambientes bajos y los subimos a gitlab y no se puede ver estos archivos. Alguien sabe como hacer esta configuración ?

Jesus David Posada Escobar

student•

Como administrador de GitaLab CE puedo listar aquello commits que no esten firmados?

Julio Gutierrez

company_admin•

Que diferencia existe entre ssh y ggp en términos de suplantación de identidad?

Johny Jiménez

student•

Aqui un resument en medium que encontre por ahi... https://medium.com/@jma/setup-gpg-for-git-on-macos-4ad69e8d3733

Marcelo Javier Pedernera

student•

Para generar las claves si o si tenemos que usar GPG de linux? o hay un GPG para windows.