<div dir="ltr"><div class="gmail_quote"><div dir="ltr">Hi,<div><br></div><div><br></div><div>If you use password store on a non-trusted git service (you wouldnt even need encryption if it were trusted), you may not notice if the .gpg-id file is tampered. You may encrypt a new password for someone you didn't want.</div><div><br></div><div>Find attached a patch that implents signature and verification of gpg-id files. The solution is NOT complete, because the signed data doesn't mention the purpose of the signature, nor the target. You could freely copy a signed gpg-id file from an other repository used by the signer. The same is the case with subpaths.</div><div><br></div><div>I have some ideas of fixing this, but not sura about which is the best:</div><div><br></div><div>  <br></div><div>A snapshot should be held about .gpg-id files' content, and a diff shown to the user if it changes?</div><div>An other environment variable should contain the name/uuid of the repository, which is appended to the signed data?</div><div><br></div><div>Or breaking generality, git-specificly:</div><div><div>Git annotated tags should be used on the init -- or even all -- commits? Or the signature should contain the commit id of the last change of the gpg-id?</div></div><div><br></div></div></div></div>