我们正在使用 git/github,并且我们必须能够证明在特定时间之前完成了特定的提交/标签,我们希望为此使用可信时间戳,因为它们似乎是实现这一目标的最简单方法。
另一种选择是 DOI,但存储库是私有的(由于在内部项目中的使用而被禁止(,并且仅在稍后阶段公开,但时间戳应该是初始提交/标签的时间。
据我了解,时间戳是根据文件生成的,并创建了一个哈希,以后可以验证并证明它是在特定日期和时间创建的。
但是我正在努力如何在 git/github 中使用这些?
我是否创建了 git 创建的哈希的可信时间戳并将其包含在标签中,即在我要标记的提交后请求可信时间戳?
我是否将时间戳作为文件添加到提交中,即在提交之前请求它?但是我用什么来创建可信时间戳呢?
Git 不支持任何开箱即用的功能,但快速扫描您的链接(我没有深入研究 RFC,也没有深入研究 ANSI X9.95 标准(表明,执行此操作的方法是自己进行提交,然后将原始提交数据(您可以通过git cat-file -phash获得(提供给生成时间戳的时间戳机构 (TSA(, 并将它生成的任何数据放入带注释的标签中,标记该提交。 很容易证明您已将 TSA 的数据存储在带注释的标签中,因为当您打印标签的内容时会显示该数据,然后 TSA 将显示您向他们提供了提交数据。
。但是我正在努力如何在 git/github 中使用这些?
您可以在任何地方进行提交,但您需要本地克隆来获取原始提交文本。 提交文本本身如下所示:
$ git cat-file -p HEAD | sed 's/@/ /'
tree 191f960868564ef1f0978328589aa191219f1ab8
parent 96f29521a3908eb80b9552f11f2b75ca34475686
author Junio C Hamano <gitster pobox.com> 1525762230 +0900
committer Junio C Hamano <gitster pobox.com> 1525762789 +0900
The fifth batch for 2.18
Signed-off-by: Junio C Hamano <gitster pobox.com>
这确实是您在这里保护的tree哈希。 由于它是您要保护的树形哈希,因此理论上可以将TSA的数据直接插入到提交文本中,但这部分将比使用带注释的标签要棘手得多。 要使用带注释的标签,您只需将完整的提交文本传递给 TSA;他们以任何形式为您提供哈希值,然后将其转换为适当的文本形式以存储在注释标签中,就像 Git 使用 GPG 签名一样。
然后,像往常一样git tag -a运行(本地,在您的存储库中(,将文本化的 TSA 数据粘贴到您的标签中,现在您有一个存储 TSA 数据的带注释的标签。 要将此数据发送到 GitHub,您只需git push标签:
git push origin refs/tags/<tagname>
任何克隆存储库的人都会获得带注释的标记,git showtagname(或git cat-file -p refs/tags/tagname(提取注释,其中包含文本化的 TSA 数据。 比较,例如:
$ git show v2.17.0 | sed 's/@/ /'
tag v2.17.0
Tagger: Junio C Hamano <gitster@pobox.com>
Date: Mon Apr 2 10:14:24 2018 -0700
Git 2.17
-----BEGIN PGP SIGNATURE-----
iQIzBAABCAAdFiEE4fA2sf7nIh/HeOzvsLXohpav5ssFAlrCZPAACgkQsLXohpav
5suOTg/+I+qxQFmQyi3Ms1VAzM3wefJ9Ut4qBV5TKCu+wY21c4ZvTk9kvmJN+qYK
MDi6smYlCyj7YD1JqbPEyEoUgb/7TjylA9dBVwrCk8HoyAyLQpwixgkZxLLJEEzE
9EpzAg65fHST//DYMr0pZMee9POKL0KU4ekAJKsrfgRF4rA29OwvkrKvNw9DzAQf
gfIBQktNGzGaKhyjS9AdFR7K7N8vy1hGWPWwAWkxRWRwa2vsENdPuqLMstJqUzmP
3OEqA5OFZ7RDr9WrrNORbCN1iIyAQQ7GzZEMwT1mXhHB+b91F0SO766REnkgfwa1
bMgjpqfzAjoSzeafg5t1jAqm+MvgXQNP4KCWsk6ZtstWj7xfgyuhZ2osTdPUNaeT
tqRdhmrShQ+lMY5uuhJHr7kqUvqt3INpE9KD19nmlPvgPbYP5mDpW8oZfEGTM+iw
vCQqE5AZ5SivhEkkSTDgNdFJemvX2QbtRBiG8RyhWTLpRUGp9q1lgD1KJZlxjrdX
ovqGRNhkRowaGVpfoFeFs5256cxB9FkttE5MEj5FoSB8G4/FdUhkm4qTWXP5fZKt
d89PyWvTXn7x8rKFs/XLMscDnc9kCgnyt0ugYZZxjb4Mqs59A6epE+ylX/j9DDFW
6ZfTteMqLRtDtaEntJFQS9CatSoMpdlXUluKvoWcD9uy57WTayQ=
=JgMH
-----END PGP SIGNATURE-----
commit 468165c1d8a442994a825f3684528361727cd8c0 (tag: v2.17.0, origin/maint)
Author: Junio C Hamano <gitster@pobox.com>
[snip rest]
我现在正在使用OriginStamp,它与github很好地集成,正如这里所描述的那样,在这个网站上专门针对github。
如果我理解正确,它会根据从 git 生成的哈希值给出一个可信时间戳,并将其存入比特币区块链中。