<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 25, 2014 at 11:37 AM, Jan Rusnacko <span dir="ltr"><<a href="mailto:jrusnack@redhat.com" target="_blank">jrusnack@redhat.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
* this seems to be enabled globally in git config, so what about users who do not wish to sign their work (e.g. don`t have personal GPG key), but do what password files signed ?<br></blockquote><div><br></div><div>From the man page: </div><div><br></div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">If the git config key pass.signcommits is set to true, then all commits will be signed using <b>user.signingkey</b> or the default git signing key. This config key may be turned on  using:  `pass git config --bool --add pass.signcommits true`</blockquote></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
* if it exists, is the git signature checked (automatically) before the password is retrieved ? I believe not.<br></blockquote><div><br></div><div>You can verify the git repo any time you like using the ordinary git commands. Consult the git documentation for best practices and ways of hooking this.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div class=""><div class="h5"><br>
--<br>
Jan Rusnacko, Red Hat Product Security<br>
</div></div></blockquote></div><div><br></div></div></div>