1

我们正在使用 git / github,并且我们必须能够证明在特定时间之前完成了特定的提交/标记,我们希望为此使用Trusted Timestamp,因为它们似乎是实现这一目标的最简单方法。

另一种选择是 DOI,但 repo 是私有的(由于在内部项目中使用而被禁运)并且只会在稍后阶段公开,但时间戳应该是初始提交/标记的时间。

据我了解,时间戳是根据文件生成的,并创建了一个哈希,以后可以验证并证明它是在某个日期和时间创建的。

但我正在努力解决如何在 git / github 中使用这些?

我是否创建由 git 创建的哈希的可信时间戳并将其包含在标签中,即在我想要标记的提交之后请求可信时间戳?

我是否将时间戳作为文件添加到提交中,即在提交之前请求它?但是我用什么来创建 Trusted Timestamp 呢?

4

2 回答 2

2

Git 不支持任何开箱即用的功能,但快速扫描您的链接(我没有深入研究 RFC,也没有深入研究 ANSI X9.95 标准)表明这样做的方法是自行提交,然后将原始提交数据(您可以通过它获取)提供给生成时间戳的时间戳管理局 (TSA),并将其生成的任何数据放入带注释的标签中,标记该提交。很容易证明您已将 TSA 的数据存储在带注释的标签中,因为当您打印标签的内容时会显示该数据,然后 TSA 会显示您向他们提供了提交数据。git cat-file -p hash

...但是我正在努力解决如何在 git / github 中使用这些?

您可以在任何地方进行提交,但您需要一个本地克隆来获取原始提交文本。提交文本本身如下所示:

$ git cat-file -p HEAD | sed 's/@/ /'
tree 191f960868564ef1f0978328589aa191219f1ab8
parent 96f29521a3908eb80b9552f11f2b75ca34475686
author Junio C Hamano <gitster pobox.com> 1525762230 +0900
committer Junio C Hamano <gitster pobox.com> 1525762789 +0900

The fifth batch for 2.18

Signed-off-by: Junio C Hamano <gitster pobox.com>

它确实tree是您将在此处保护的哈希值。由于它是您要保护的树哈希,理论上可以将 TSA 的数据直接插入到提交文本中,但这部分会比使用带注释的标签要复杂得多。要使用带注释的标签,您只需将完整的提交文本交付给 TSA;他们以任何形式为您提供哈希,然后您将其转换为适合文本的内容以存储在带注释的标签中,就像 Git 使用 GPG 签名一样。

然后像往常一样运行(在本地,在您的存储库中)git tag -a,将文本化的 TSA 数据粘贴到您的标签中,现在您有一个带注释的标签来存储 TSA 数据。要将这些数据发送到 GitHub,您只需git push标记:

git push origin refs/tags/<tagname>

任何克隆存储库的人都会获得带注释的标签,并且(或)提取包含您的文本化 TSA 数据的注释。比较,例如:git show tagnamegit cat-file -p refs/tags/tagname

$ git show v2.17.0 | sed 's/@/ /'
tag v2.17.0
Tagger: Junio C Hamano <gitster@pobox.com>
Date:   Mon Apr 2 10:14:24 2018 -0700

Git 2.17
-----BEGIN PGP SIGNATURE-----
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=JgMH
-----END PGP SIGNATURE-----

commit 468165c1d8a442994a825f3684528361727cd8c0 (tag: v2.17.0, origin/maint)
Author: Junio C Hamano <gitster@pobox.com>
[snip rest]
于 2018-05-14T14:55:23.360 回答
1

我现在正在使用OriginStamp,它与 github 很好地集成,如这里一般描述的,并且在这个站点上专门针对 github。

如果我理解正确,它会根据 git 生成的哈希值提供一个可信时间戳,并将其存放在比特币区块链中。

于 2018-05-16T15:20:51.057 回答