The latest articles on DEV Community by Onofre Antonio Juvencio Junior (@onofrej). https://dev.to/onofrej https://media2.dev.to/dynamic/image/width=90,height=90,fit=cover,gravity=auto,format=auto/https:%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Fuser%2Fprofile_image%2F193144%2F6b130ee6-c1a0-4215-8e50-927facb285db.jpg https://dev.to/onofrej en Onofre Antonio Juvencio Junior Tue, 28 Jan 2025 12:08:56 +0000 https://dev.to/onofrej/como-criar-uma-chave-gpg-e-contribuir-de-maneira-segura-para-projetos-open-source-49n9 https://dev.to/onofrej/como-criar-uma-chave-gpg-e-contribuir-de-maneira-segura-para-projetos-open-source-49n9 <p>Acredito que muitos de nós têm vontade de participar de projetos open-source. Porém, para contribuir para projetos open-source de maneira segura, é essencial seguir boas práticas, especialmente em repositórios que exigem que os commits sejam verificados. Isso garante a autenticidade e integridade do código enviado. Veja um exemplo de commit verificado:</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fke9fm4eecqbm0s1tsm7c.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fke9fm4eecqbm0s1tsm7c.png" alt="Image description" width="698" height="418"></a></p> <p>Para que seus commits sejam assinados e verificados, você precisará usar uma chave GPG.</p> <h2> O que é uma chave GPG? </h2> <p>Uma chave GPG (GNU Privacy Guard) é uma ferramenta de criptografia baseada no padrão OpenPGP, usada para:</p> <ul> <li> <strong>Criptografar dados</strong> para protegê-los.</li> <li> <strong>Assinar digitalmente</strong> mensagens ou arquivos, garantindo sua autenticidade.</li> <li> <strong>Autenticar identidades</strong> em comunicações seguras.</li> </ul> <p>No contexto de projetos open-source, a chave GPG é usada para assinar commits e tags, permitindo que outras pessoas confirmem que você é realmente o autor.</p> <h2> Passo 1: Instalar o utilitário GPG </h2> <p>Antes de criar sua chave GPG, você precisa instalar uma ferramenta para gerenciá-la. A ferramenta mais comum é o <strong>GnuPG</strong>. Você pode baixá-la para o seu sistema operacional no <a href="https://www.gnupg.org/download/" rel="noopener noreferrer">site oficial do GnuPG</a>.</p> <p>Após instalar, verifique a instalação com o comando:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>gpg <span class="nt">--version</span> </code></pre> </div> <p>O resultado será semelhante ao seguinte:</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F6ku5mt2k1rqcs8c93itx.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F6ku5mt2k1rqcs8c93itx.png" alt="Saída do comando gpg --version" width="666" height="283"></a></p> <p>Isso confirma que o GPG foi instalado corretamente.</p> <h2> Passo 2: Gerar uma nova chave GPG </h2> <p>Agora que você instalou o GPG, pode criar uma nova chave. Use o comando abaixo para iniciar o processo de geração:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>gpg <span class="nt">--full-generate-key</span> </code></pre> </div> <p>Durante o processo, você será solicitado a:</p> <ol> <li>Escolher o tipo de chave (recomenda-se a opção padrão: RSA and RSA).</li> <li>Definir o tamanho da chave (4096 bits é o ideal para maior segurança).</li> <li>Configurar a validade da chave (opcional, mas "0" define que a chave não expira).</li> <li>Inserir seu nome, e-mail e um comentário (opcional). Vale lembrar que o nome e o e-mail devem ser os mesmos retornados pelas opções <code>git config --global user.email</code> e <code>git config --global user.name</code>.</li> <li>Criar uma senha segura para proteger sua chave privada.</li> </ol> <p>Você verá uma tela parecida com esta, solicitando uma senha para a sua chave:</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F1vmuvjnfqrtm74pwt5iu.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F1vmuvjnfqrtm74pwt5iu.png" alt="Image description" width="800" height="310"></a></p> <p>Ao final, sua chave será gerada e estará pronta para uso. Para confirmar que a chave foi criada, use o comando abaixo:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>gpg <span class="nt">--list-secret-keys</span> <span class="nt">--keyid-format</span><span class="o">=</span>long </code></pre> </div> <p>Então você verá sua chave criada - algo parecido com isso:</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fuqdya6qavjdzm4rd8taq.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fuqdya6qavjdzm4rd8taq.png" alt="Image description" width="708" height="155"></a></p> <p>Anote o ID da chave (após <code>sec rsa4096/</code>). Note que o ID da chave exibida no exemplo acima é <code>A7716F4C1DB8579B</code>.</p> <h2> Passo 3: Exportar sua chave pública </h2> <p>Para que outras pessoas possam verificar seus commits, você precisa compartilhar sua chave pública. Para exportá-la, use:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>gpg <span class="nt">--armor</span> <span class="nt">--export</span> ID DA SUA CHAVE </code></pre> </div> <p>Você pode enviar o conteúdo da sua chave para quem precisa verificar sua identidade, ou publique-o em um servidor de chaves públicas como o <a href="https://keyserver.ubuntu.com/" rel="noopener noreferrer">keyserver.ubuntu.com</a>.</p> <p>Mas o mais comum é enviar o conteúdo de sua chave para o GitHub. Para fazer isso, no seu perfil de usuário, entre em <em>settings</em>. Dentro de settings, localize a opção abaixo:</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ffluurhrv9depbj8b59u7.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ffluurhrv9depbj8b59u7.png" alt="Image description" width="800" height="109"></a></p> <p>Ao clicar, você verá uma tela parecida com esta:</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fdwfz7a0z6hifxkz35o68.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fdwfz7a0z6hifxkz35o68.png" alt="Image description" width="800" height="353"></a></p> <p>Dê um título para a sua chave. Depois, copie o conteúdo da sua chave GPG, começando com <code>-----BEGIN PGP PUBLIC KEY BLOCK-----</code> e terminando com <code>-----END PGP PUBLIC KEY BLOCK-----</code>.</p> <h2> Passo 4: Configurar o GPG no Git </h2> <p>Para usar sua chave GPG no Git, primeiro descubra o ID da sua chave com o comando:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>gpg <span class="nt">--list-secret-keys</span> <span class="nt">--keyid-format</span><span class="o">=</span>long </code></pre> </div> <p>Anote o ID da chave (após <code>sec rsa4096/</code>). Em seguida, configure o Git para usar essa chave:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>git config <span class="nt">--global</span> user.signingkey SEU_ID_DA_CHAVE </code></pre> </div> <p>Ative a assinatura automática de commits com:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>git config <span class="nt">--global</span> commit.gpgsign <span class="nb">true</span> </code></pre> </div> <h2> Passo 5: Assinar seus commits </h2> <p>Agora, ao fazer um commit, ele será automaticamente assinado. Você pode verificar isso com:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>git log <span class="nt">--show-signature</span> </code></pre> </div> <p>Se o commit estiver assinado corretamente, verá algo como "Good signature" no log. Você poderá ver também que no repositório, seu commit aparecerá da seguinte forma:</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fmfzt8ox63o22rd5qipyw.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fmfzt8ox63o22rd5qipyw.png" alt="Image description" width="472" height="97"></a></p> <p>Com isso, seus commits estão devidamente assinados e verificados, garantindo segurança e confiabilidade em suas contribuições open-source.</p> <p>Forte abraço!</p> git github gpg security