2016年10月更新:第871期提到“Git 2.9.3中签名停止工作”

Git for Windows 2.10.1于两天前(2016年10月4日)发布，修复了提交和标记的交互式GPG签名。

git中最近的gpg-sign更改(在Linux上没有问题)暴露了一个问题，即在Windows上，非msys2 -git与MSYS2-gpg交互的方式。

最初的回答:

阅读“7.4 Git工具-签名你的工作”，我假设你有你的“用户”。Signingkey”配置集。

最后一次围绕gpg的大重构(在Git 2.10之前)是在提交2f47eae2a，在这里错误消息被移动到gpg-interface.c

该文件的日志显示了提交af2b21e (Git 2.10)中最近的更改

gpg2 already uses the long format by default, but most distributions seem to still have "gpg" be the older 1.x version due to compatibility reasons. And older versions of gpg only show the 32-bit short ID, which is quite insecure. This doesn't actually matter for the verification itself: if the verification passes, the pgp signature is good. But if you don't actually have the key yet, and want to fetch it, or you want to check exactly which key was used for verification and want to check it, we should specify the key with more precision.

因此，请检查您如何指定用户。签名密钥配置和正在使用的GPG版本(gpg1或gpg2)，以查看它们是否对错误消息有任何影响。

还有提交0581b54，它改变了gpg未能签署数据错误消息的条件(作为提交0d2b664的补充):

我们目前根本不从stderr读取。然而，在未来的补丁中，我们会想要这样做，所以这也为我们做好了准备(在这种情况下，gpg确实会在读取所有输入之前写入，尽管同样，键uid不太可能填满管道缓冲区)。

提交4322353显示gpg现在使用临时文件，因此可能存在正确的问题。

让我们转换为使用tempfile对象，该对象处理 对我们来说困难的案子，再加上失踪的清理电话。

我也遇到了同样的问题。我很高兴地报告，问题不在于git 2.10.0，而在于gnupg 1.4.21。

暂时将gnupg降级到1.4.20为我解决了这个问题。

如果你正在使用自制程序，并且像我一样升级了你的包，你可能只需要运行brew开关gnupg 1.4.20来恢复。

我在OSX上遇到了这个问题。

最初的回答:

这似乎是一个gpg更新(brew)改变了gpg的位置到gpg1，你可以改变二进制的git查找gpg:

git config --global gpg.program gpg1

如果没有gpg1: brew，请安装gpg1。

答:更新

看起来gpg1被弃用了/“慢慢地退出使用”，所以你可能真的应该更新到gpg2，不幸的是这涉及到相当多的步骤/一点时间:

brew upgrade gnupg  # This has a make step which takes a while
brew link --overwrite gnupg
brew install pinentry-mac

在老的自制啤酒上:

echo "pinentry-program /usr/local/bin/pinentry-mac" >> ~/.gnupg/gpg-agent.conf
killall gpg-agent

在M1 mac等较新的系统上:

echo "pinentry-program /opt/homebrew/bin/pinentry-mac" >> ~/.gnupg/gpg-agent.conf 
killall gpg-agent

第一部分安装gpg2，后一部分是使用它所需的hack。关于故障排除，请参阅这个答案(虽然这是关于linux而不是brew)，它建议一个很好的测试:

echo "test" | gpg --clearsign  # on linux it's gpg2 but brew stays as gpg

如果此测试成功(没有包含PGP签名的错误/输出)，则您已经成功更新到最新的gpg版本。

现在您应该可以再次使用git签名了! 值得注意的是，你需要:

git config --global gpg.program gpg  # perhaps you had this already? On linux maybe gpg2
git config --global commit.gpgsign true  # if you want to sign every commit

注意:在你运行了一个有签名的提交之后，你可以验证它的签名:

git log --show-signature -1

其中将包括最后一次提交的GPG信息。

如果gnupg2和gpg-agent 2。如果使用了x，请务必设置环境变量GPG_TTY。

export GPG_TTY=$(tty)

有关常见问题，请参阅GPG的文档。

确保你的邮箱设置正确。

git config --global user.email "user@example.com"

我在构建最新的Git源代码(2.12.2)时遇到了类似的问题，同时还构建了所有依赖项的最新源代码(Zlib、Bzip、cURL、PCRE、ReadLine、IDN2、iConv、Unistring等)。

结果libreadline给GnuPG带来了问题:

$ gpg --version
gpg: symbol lookup error: /usr/local/lib/libreadline.so.7: undefined symbol: UP

当然，尝试用-vvv从Git中获取有用的信息失败了，所以失败是一个谜。

要解决由于ReadLine导致的PGP失败，请遵循不能更新或使用包管理器—gpg错误的说明:

在终端: ls /usr/local/lib 这里有很多readline lib (libreadline。so。blah - blah) 所以我: 苏 mkdir临时 Mv /usr/local/lib/libreadline* temp ldconfig

如果这只是随机发生的，并且在过去一直工作得很好，就像我的情况一样，尝试注销(cmd+shift+q)并重新登录。为我工作

可能有助于杀死进程gpg-agent可能卡住旧数据。因此，新启动的gpg-agent将要求输入密码。

如果与GPG密钥的uid相关联的电子邮件与您在git中使用的电子邮件不同，则需要向密钥添加另一个用户id，或者使用与电子邮件完全匹配的密钥。

您可以通过以下方式添加另一个UID:

$ GPG—编辑键

见莫https://superuser.com/questions/293184/one-gnupg-pgp-key-pair-two-emails

我用这个简单的食谱来做:

在macOS上自动签名提交(全局和不同的ide):

用这种方法获取签名密钥。

brew install gnupg gnupg2 pinentry-mac
git config --global user.signingkey <YOUR_SIGNING_KEY>
git config --global commit.gpgsign true
git config --global gpg.program gpg

将以下内容放入gpg.conf文件(使用nano ~/.gnupg/gpg.conf命令编辑文件):

no-tty

将以下内容放入gpg-agent.conf文件中(使用nano ~/.gnupg/gpg-agent.conf命令编辑文件):

pinentry-program /usr/local/bin/pinentry-mac

更新:

根据评论中的建议，您可能需要在编辑配置文件gpg.conf后执行killall gpg-agent命令。不用说，这个命令将终止GPG (Gnu Privacy Guard)代理。

在使用cygwin时，我最近改用了gpg2。然后，在设置git config gpg后，我也遇到了同样的问题。程序gpg2。

尝试echo "test" | gpg2——clearsign查看gpg2是否正常工作。我发现这是最简单的解决方案，只是设置git配置gpg。编写gpg，因为这是可行的。但你也会得到一个更好的错误这种方式-例如，你需要安装pinentry。

GIT_TRACE=1显示了git实际在做什么:

$ GIT_TRACE=1 git commit -m "example commit message"
20:52:58.902766 git.c:328               trace: built-in: git 'commit' '-vvv' '-m' 'example commit message'
20:52:58.918467 run-command.c:626       trace: run_command: 'gpg' '--status-fd=2' '-bsau' '23810377252EF4C2'
error: gpg failed to sign the data
fatal: failed to write commit object

现在手动运行失败命令:

$ echo "dummy" | gpg -bsau 23810377252EF4C2
gpg: skipped "23810377252EF4C2": Unusable secret key
gpg: signing failed: Unusable secret key

原来我的钥匙过期了，这不是我的错。

上面的答案很好，但对我来说并不管用。解决我的问题的方法是同时导出公钥和密钥。

列出要导出的机器上的键

$ gpg --list-keys
/home/user/.gnupg/pubring.gpg
--------------------------------
pub 1024D/ABCDFE01 2008-04-13
uid firstname lastname (description) <email@example.com>
sub 2048g/DEFABC01 2008-04-13

导出密钥

$ gpg --output mygpgkey_pub.gpg --armor --export ABCDFE01
$ gpg --output mygpgkey_sec.gpg --armor --export-secret-key ABCDFE01

去机器，我们正在导入和导入

$ gpg --import ~/mygpgkey_pub.gpg
$ gpg --allow-secret-key-import --import ~/mygpgkey_sec.gpg

宾果邦戈，你完蛋了!

参考:https://www.debuntu.org/how-to-importexport-gpg-key-pair/

ps.我的钥匙最初是在bootcamp windows 7上制作的，我把它们导出到我的mac air上(相同的物理机器，虚拟不同)

简单地通过:

brew uninstall gpg 

brew install gpg2

使用以下命令检查gpg是否启用

git config -l | grep gpg

如果它返回true，运行以下命令禁用它

git config --global --unset commit.gpgsign

成功运行上述命令后，应该可以运行git commit命令。

在我的例子中，其他答案中提到的解决方案都不起作用。我发现这个问题特定于一个存储库。删除和克隆回购再次解决了这个问题。

我的观点是:

当您创建并向gpg-agent添加密钥时，您定义了称为passphrase的东西。现在这个密码短语在某个时候到期了，gpg需要您再次输入它来解锁密钥，以便您可以再次开始签名。

当您使用任何其他与gpg接口的程序时，gpg提示您输入您的密码短语不会出现(基本上gpg-agent在守护时不可能在stdin中显示输入对话框)。

其中一个解决方案是gpg——sign a_file.txt，然后输入您在创建密钥时输入的密码，然后一切都应该正常(gpg-agent应该自动签名)

关于如何为密码短语设置更长的超时，以便您不必一直这样做，请参阅此答案。

或者您可以使用ssh-keygen -p完全删除密码短语

编辑:做一个man gpg-agent来阅读一些关于如何自动发生上述情况的内容，并添加以下行:

GPG_TTY=$(tty)
export GPG_TTY

如果你正在使用bash(这是正确的答案，但我也保持我的思路)，然后来源你的.bashrc文件或重新登录。

很像@birchlabs，经过大量的挖掘/搜索，我发现它不是GPG，而是GPG套件。我重新安装了gpg-suite，它为我解决了这个问题。

git的痕迹非常暴露了我的情况……

   GIT_TRACE=1 git commit -m "a commit message"

   13:45:39.940081 git.c:344               trace: built-in: git commit -m 'a commit message'
   13:45:39.977999 run-command.c:640       trace: run_command: gpg --status-fd=2 -bsau 'full name <your-email@domain.com>'
   error: gpg failed to sign the data
   fatal: failed to write commit object

我需要根据git检查的格式生成一个初始密钥。最好在日志中复制上面传递给-bsau的值，然后在下面使用。

所以它变成了，

   gpg --quick-generate-key "full name <your-email@domain.com>"

然后就成功了。

我一定是不小心更新了gpg，因为我在尝试测试gpg是否工作后得到了这个:

gpg: WARNING: server 'gpg-agent' is older than us (2.1.21 < 2.2.10)
gpg: Note: Outdated servers may lack important security fixes.
gpg: Note: Use the command "gpgconf --kill all" to restart them.

运行gpgconf—kill all为我解决了这个问题。

可能是一个挂着的gpg-agent。

尝试gpgconf——kill gpg-agent

对于在MacOS机器上遇到此问题的任何人，请尝试以下方法:

brew uninstall gpg brew install gpg2 brew install pinentry-mac (if needed) gpg --full-generate-key Create a key by using an algorithm. Get generated key by executing: gpg --list-keys Set the key here git config --global user.signingkey <Key from your list> git config --global gpg.program /usr/local/bin/gpg git config --global commit.gpgsign true If you want to export your Key to GitHub then: gpg --armor --export <key> and add this key to GitHub at GPG keys: https://github.com/settings/keys (with START and END line included)

如果问题仍然存在:

Test -r ~/。bash_profile && echo 'export GPG_TTY=$(tty)' >> ~/.bash_profile

echo 'export GPG_TTY=$(tty)' >> ~/.profile

如果问题仍然存在:

安装https://gpgtools.org并通过从菜单栏按下sign来签署您使用的密钥:key -> sign

如果问题仍然存在:

转到:⁨你的全局。gitconfig文件，在我的例子中是:⁨/Users/gent/.gitconfig 并修改.gitconfig文件(请确保Email和Name与您在生成Key时创建的相同):

(用户) 邮箱= gent@youremail.com name = Gent signingkey = <YOURKEY> (gpg) 程序= /usr/local/bin/gpg (提交) Gpsign = true Gpgsign = true (过滤“lfs”) Process = git-lfs filter-process Required = true 清洁= git-lfs清洁——%f 涂抹= git-lfs涂抹——%f (证书) Helper = osxkeychain

按照下面的url设置签名提交 https://help.github.com/en/articles/telling-git-about-your-signing-key

如果还在 GPG签署数据失败致命: 日志含义写提交对象失败

这不是git的问题，而是GPG的问题 遵循以下步骤

gpg——版本 回显"test" | GPG—clearsign

如果显示:

gpg: signing failed: Inappropriate ioctl for device
gpg: [stdin]: clear-sign failed: Inappropriate ioctl for device

然后使用export GPG_TTY=$(tty) 然后再次尝试echo“test”| GPG—clearsign 得到PGP签名。 Git config -l | grep GPG

gpg.program=gpg
commit.gpgsign=true

应用git commit -m "commitMsz"

我在Ubuntu 18.04上得到了同样的错误，也担心了几个星期。 最后意识到gpg2没有指向任何东西。 所以简单地运行

git config --global gpg.program gpg

然后，它就像魅力一样。

您的提交现在将带有验证标记。

我偶然发现这个错误不是因为任何配置问题，而是因为我的密钥过期了。在OSX上延长其有效性的最简单的方法是打开GPG钥匙链应用程序(如果你安装了它)，它会自动提示你延长它。点击两下，就完成了。

我在Ubuntu 18.04上得到这个错误，原来我的密钥过期了。

为了看到这个，我运行了这个，它确认我的密钥过期了:

gpg --list-keys

为了纠正这个错误，我运行(使用之前命令中显示的ID):

gpg --edit-key <ID>

从那里，我延长了键0和键1的过期时间，遵循这些指令，最后输入键0，然后过期，并按照提示进行操作。然后重复键1。

之后，为了测试这一点，我运行:

echo test | gpg --clearsign

在修复之前，它失败了，错误如下:

gpg: no default secret key:无默认密钥 gpg: [stdin]: clear-sign failed: No secret key

但是在修复之后，相同的命令成功地对消息进行了签名，所以我知道事情又开始工作了!

我也见过类似的答案，但没有一个完全适合我。在Linux上，我必须杀死并重新启动我的gpg-agent:

$ pkill gpg-agent
$ gpg-agent --daemon
$ git commit ...

这招对我很管用。看起来你确实需要用户。Signingkey设置为您的私钥，以及从其他一些评论说。

$ git config --global user.signingkey [your_key_hash]

有点奇怪，但要确保你的终端足够大!你可以通过运行echo test | gpg—clearsign来判断它是否太小，它会给你一个非常明显的错误消息，让你知道。如果它不够大，您的GPG代理就不能显示它的小ncurses框。

如果您使用GUI代理或不使用ncurses的东西，这一点将不适用。

我在Ubuntu上突然开始出现这种情况，不确定是不是最近的一些更新做到了，但没有一个现有的问题适用于我(我设置了GPG_TTY，尝试杀死代理等)。独立的gpg命令失败，错误如下:

$ echo "test" | gpg --clearsign
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

test
gpg: signing failed: Operation cancelled
gpg: [stdin]: clear-sign failed: Operation cancelled

我试着用——debug-all选项运行gpg，注意到下面的输出:

gpg: DBG: chan_3 <- INQUIRE PINENTRY_LAUNCHED 27472 gnome3 1.1.0 /dev/pts/6 screen-256color -
gpg: DBG: chan_3 -> END
gpg: DBG: chan_3 <- ERR 83886179 Operation cancelled <Pinentry>
gpg: signing failed: Operation cancelled

以上说明pinentry程序存在一些问题。Gpg通常会为我运行pinentry-curses，所以我把它改成了pinentry-tty(我必须先安装它)，错误就消失了(尽管我不再得到全屏密码输入，但我不喜欢这样)。为了做出这个改变，我必须在~/.gnupg/gpg-agent.conf中添加一行pinentry-program /usr/bin/pinentry-tty，并使用gpgconf——kill gpg-agent来杀死代理(它会在下次重新启动)。

在OS X上，通过brew使用gnupg2，我只需要杀死gpg代理，有时会发生:

pkill -9 gpg-agent

如果需要，设置env变量:

export GPG_TTY=$(tty)

参见常见的GPG问题和答案。

对我来说，brew已经更新了gnupg或gpg，所以我所要做的就是解决这个问题。

brew link --overwrite gnupg

这将gpg链接到正确的位置，因为我可以确认通过哪个gpg和之后的一切工作。

在prezto的另一个zsh变体中遇到了这个。那里的问题是我的git回购是新的，没有node_modules添加到.gitignore。当我将node_modules添加到.gitignore时，问题就没有了。所以我的假设是git-info由于这些大的node_module而花费时间。

如果你不想处理brew来安装gpg，这似乎时不时会遇到问题，只需从gpg tools下载gpg工具。

在执行向导时，单击customize install并取消选择邮件插件(除非您想使用它)。这些工具似乎没有遇到任何问题，而且它会在你第一次签署提交后记住你的密码。不需要额外的配置，除了告诉git使用哪个键。

至少这是我的经验。

在我的例子中，没有一个解决方案是有效的，因为我没有手动进入~/。我创建的新密钥不再是旧的X.509密钥，因此我删除了以下密钥，然后我的新密钥开始工作。

[gpg]
    program = gpg
    format = x509
[gpg "x509"]
    program = smimesign

以上都不适合我，我通常使用我的IDE终端。

我时不时地得到这个错误，在大多数情况下，它工作得很好。 我在跑步后发现了这个问题

 echo "test" | gpg --clearsign

gpg: signing failed: Screen or window too small
gpg: [stdin]: clear-sign failed: Screen or window too small

解决方案:增加终端窗口大小。

如果在没有Rosetta的M1芯片上使用自制程序，则需要为pin - entry程序二进制文件指定不同的位置，因为它安装在不同的位置。

Andy Hayden的更新答案需要修改如下:

brew upgrade gnupg  # This has a make step which takes a while
arch -arm64 brew link --overwrite gnupg
arch -arm64 brew install pinentry-mac
echo "pinentry-program /opt/homebrew/bin/pinentry-mac" >> ~/.gnupg/gpg-agent.conf
killall gpg-agent

如果你像我一样将WSL与IDE一起使用，你可能会遇到这个问题，因为使用IDE的提交接口提交时，密码“窗口”从未显示(WSL还不支持GUI应用程序)。

修复方法是简单地使用命令行git，因为它有自己的cli窗口供您输入密码。你还需要确保终端的“大”足以弹出(令人惊讶的是我知道)

我得到这个错误，每次登出，然后再次登录我的macOS。解决方案只是一个简单的命令:

killall gpg-agent

我认为这只是gpg代理的一个错误，杀死它，然后重新工作。

如果你的问题是Visual Studio Code不允许提交，但你已经设置了你的GPG签名，用bash的一行答案是:

git config --global gpg.program `which gpg2`

如果你在PATH中有gpg，但没有gpg2，那么就用它来代替。

除了没有使用git正确设置gpg密钥外，另一个可能的问题是: 试图通过X转发在ssh会话中提交。 在这种情况下，它可以尝试调用一个GUI，如果没有设置env var DISPLAY，将会失败。

通过编辑~/.gnupg/gpg-agent.conf，可以强制gpg-agent使用ty-only工具:

pinentry-program /usr/bin/pinentry-tty

然后重新加载conf:

gpg-connect-agent reloadagent /bye

(当然先安装pinentry-tty)

在我的例子中，问题在于~/.gitconfig中gpg的相对名称。我把它改成这样，问题就消失了(蒙特雷，Macbook M1):

[gpg]
    program = /opt/homebrew/bin/gpg

解释很简单:当git试图运行gpg时，它在一个新的shell中运行，而不运行~/。我为自制程序配置PATH的配置文件。所以，它根本找不到gpg。

经过大量搜索，我发现gpg密钥是我的情况下的问题。

要检查gpg键是否为您的问题，首先检查以下输出:

GIT_TRACE=1 git commit -m 'message'

如果出现问题，你会看到如下内容:

10:37:22.346480 run-command.c:637       trace: run_command: gpg --status-fd=2 -bsau <your GPG key>

它显示我的名字和电子邮件在GPG密钥这里，但这应该有密钥。您可以尝试运行gpg——status-fd=2 -bsau <您的gpg密钥>

要更新正确的密钥，请执行以下操作: 检查密钥使用:GPG——list-secret-keys——keyid-format=long

它应该有以下输出:

/Users/hubot/.gnupg/secring.gpg
------------------------------------
sec   4096R/3AA5C34371567BD2 2016-03-10 [expires: 2017-03-10]
uid                          Hubot 
ssb   4096R/42B317FD4BA89E7A 2016-03-10

然后更新密钥使用:

git config --global user.signingkey 3AA5C34371567BD2

现在再次检查提交，如果关键字是问题，它应该成功。您需要设置密码短语来更新密钥，您可以使用GitHub文档进行更新。

更多详情见:https://gist.github.com/paolocarrasco/18ca8fe6e63490ae1be23e84a7039374

我使用M1 Mac，在那里我尝试了上面最常见的解决方案，但没有工作，我的问题是GPG二进制缺失在这里=> usr/local/bin

最初，我通过brew安装了GPG，我尝试重新安装它，但找不到它存储的二进制文件，后来我从这里安装了GPG Suite GUI => GPG Suite Tools，它工作了。

最后，我可以在Github上登录提交并获得验证徽章。

这几个命令似乎对我有用，因为我个人在升级到Mac OS 12.4后也有同样的问题

brew upgrade gnupg
brew install pinentry-mac 
echo "pinentry-program /usr/local/bin/pinentry-mac" >> ~/.gnupg/gpg-agent.conf 
killall gpg-agent && gpg-agent --daemon
git config --global gpg.program gpg
git config --global commit.gpgsign true

使用OSX终端而不是集成的VS Code终端对我来说很有效。VS Code集成终端已经允许我签署这个相同的回购直到今天。以前当我有这个错误时，我通过更新VS Code来修复它，但这次更新不起作用。

我有同样的错误，在VSCode更新后。虽然我的安全提交工作正常，更新VSCode后，我得到了这个错误:

error: gpg failed to sign the data
fatal: failed to write commit object

唯一恢复功能的是这个命令:

echo "test" | gpg --clearsign

命令返回错误如下:

gpg: signing failed: Screen or window too small
gpg: [stdin]: clear-sign failed: Screen or window too small

增加终端后，我能够键入我的通行证短语。非常奇怪的情况。

我发现检查git commit在底层做什么非常有用。使用GIT_TRACE=1运行以下提交:

GIT_TRACE=1 git commit -S -m "MESSAGE"

这将显示git在提交时使用的用户名、电子邮件和签名密钥。

在我的例子中，我发现git为签名提交选择了错误的用户和关键细节。我主要打算使用repo的本地配置，而不是全局配置，并将以下内容添加到本地git配置(位于“REPO_PATH/.git/config”)，让提交在终端和VSCode中都可以工作

[user]
    name = USER NAME
    email = USER EMAIL
    signingKey = SIGNING KEY

也可以设置如下:

git config --local user.name "USER NAME"
git config --local user.email "USER EMAIL"
git config --local user.signingkey "USIGNING KEY"

我的解决方案是:

首先，我试图了解为什么这是行不通的细节。在终端上按cmd命令尝试

   $ echo "Hello" > test.txt
   $ gpg --sign --default-key <your-email-id> test.txt

观察到详细信息错误:gpg: signing failed: No pinentry

gpg-agent[59045]: can't connect to the PIN entry module '/usr/local/bin/pinentry': IPC connect call failed .日志含义 gpg-agent[59045]: failed to unprotect the secret key: No pinentry .日志含义

从终端我点击下面的cmd:

    cat ~/.gnupg/gpg-agent.conf

检查以下陈述是否存在。如果gpg-agent.conf中没有，需要添加

pinentry-program /usr/local/MacGPG2/libexec/pinentry-mac.app /内容/ MacOS / pinentry-mac

添加pinentry路径后，运行

    $ gpgconf --kill gpg-agent
    $ gpg --sign --default-key <your-email-id> test.txt

查看输出:

 gpg: using <your-email-id> as default secret key for signing