O gpg falhou ao assinar os dados fatais: falha ao gravar o objeto de confirmação [Git 2.10.0]

Segui alguns artigos sobre os atributos bonitos na nota de lançamento do Git 2.10 . O processo de atualização do git para a 2.10.0 e as alterações para global .gitconfigresultaram da seguinte forma:

[filter "lfs"]
    clean = git-lfs clean %f
    smudge = git-lfs smudge %f
    required = true
[user]
    name = xyz
    email = abc.def@gmail.com
    signingkey = AAAAAAA
[core]
    excludesfile = /Users/xyz/.gitignore_global
    editor = 'subl' --wait
[difftool "sourcetree"]
    cmd = opendiff \"$LOCAL\" \"$REMOTE\"
    path = 
[mergetool "sourcetree"]
    cmd = /Applications/SourceTree.app/Contents/Resources/opendiff-w.sh \"$LOCAL\" \"$REMOTE\" -ancestor \"$BASE\" -merge \"$MERGED\"
    trustExitCode = true
[alias]
    lg = log --graph --pretty=format:'%Cred%h%Creset -%C(yellow)%d%Creset %s %Cgreen(%cr) %C(bold blue)<%an>%Creset' --abbrev-commit --date=relative
[color "diff"]
    old = red strike
    new = green italic

Mas agora que tento assinar meus commits usando

git commit -a -S -m "message"

Eu vejo o seguinte erro -

Você precisa de uma senha para desbloquear a chave secreta

usuário: "XYZ (assinado digitalmente)"

Chave RSA de 2048 bits, ID AAAAAAAA, criada 01/01/2016

erro: gpg não conseguiu assinar os dados fatal: falha ao gravar o objeto de confirmação

Nota - Ainda posso confirmar alterações usandogit commit -a -m "message"

Existe uma maneira de superar o mesmo? Ou alguma alteração necessária nas gpgconfigurações para se dar bem com a atualização do git?

Atualização 1

Também buscando mais utilidade, seguindo Existe uma maneira de "autossignar" confirmações no Git com uma chave GPG? . Eu já configurei a chave usando

git config --global user.signingkey ED5CDE14(with my key) 
git config --global commit.gpgsign true

e, obviamente, obtendo o mesmo erro de qualquer maneira.

Corri para esse problema com o OSX.

Resposta original:

Parece que uma atualização de gpg (da distribuição) foi alterada para o local de gpgpara gpg1, você pode alterar o binário em que o git consulta o gpg:

git config --global gpg.program gpg1

Se você não tem gpg1: brew install gpg1.

Resposta atualizada:

Parece que o gpg1 está sendo preterido / "suavemente eliminado" , então você provavelmente deve atualizar para o gpg2, infelizmente isso envolve mais algumas etapas / um pouco de tempo:

brew upgrade gnupg  # This has a make step which takes a while
brew link --overwrite gnupg
brew install pinentry-mac
echo "pinentry-program /usr/local/bin/pinentry-mac" >> ~/.gnupg/gpg-agent.conf
killall gpg-agent

A primeira parte instala o gpg2, e a última é um hack necessário para usá-lo . Para solucionar problemas, consulte esta resposta (embora seja sobre linux e não brew), ela sugere um bom teste:

echo "test" | gpg --clearsign  # on linux it's gpg2 but brew stays as gpg

Se este teste for bem-sucedido (nenhum erro / saída inclui assinatura PGP), você atualizou com êxito a versão mais recente do gpg.

Agora você deve poder usar a assinatura git novamente!
Vale a pena notar que você precisará ter:

git config --global gpg.program gpg  # perhaps you had this already? On linux maybe gpg2
git config --global commit.gpgsign true  # if you want to sign every commit

Nota: Depois de executar uma confirmação assinada, você pode verificar se está assinado com:

git log --show-signature -1

que incluirá informações de gpg para o último commit.

Se o gnupg2 e o gpg-agent 2.x forem utilizados, defina a variável de ambiente GPG_TTY.

export GPG_TTY=$(tty)

Consulte a documentação do GPG sobre problemas comuns .

Se tudo falhar, use GIT_TRACE=1para tentar ver o que o git está realmente fazendo:

$ GIT_TRACE=1 git commit -m "Add page that always requires a logged-in user"
20:52:58.902766 git.c:328               trace: built-in: git 'commit' '-vvv' '-m' 'Add page that always requires a logged-in user'
20:52:58.918467 run-command.c:626       trace: run_command: 'gpg' '--status-fd=2' '-bsau' '23810377252EF4C2'
error: gpg failed to sign the data
fatal: failed to write commit object

Agora execute o comando com falha manualmente:

$ gpg -bsau 23810377252EF4C2
gpg: skipped "23810377252EF4C2": Unusable secret key
gpg: signing failed: Unusable secret key

Acontece que minha chave expirou, gitnão era a culpa.

Eu FEITO -lo através deste curto e fácil receita:

Confirmação de assinatura automática no macOS (globalmente e com diferentes IDEs):

Obtenha seu signingkeyem desta forma .

brew install gnupg gnupg2 pinentry-mac
git config --global user.signingkey <YOUR_SIGNING_KEY>
git config --global commit.gpgsign true
git config --global gpg.program gpg

Coloque o seguinte no gpg.confarquivo (editar arquivo com o nano ~/.gnupg/gpg.confcomando):

no-tty

Coloque o seguinte no gpg-agent.confarquivo (editar arquivo com o nano ~/.gnupg/gpg-agent.confcomando):

pinentry-program /usr/local/bin/pinentry-mac

Atualização :

Pode ser necessário executar o killall gpg-agentcomando após editar o arquivo de configurações gpg.conf, de acordo com os comentários. Como o comando auto-explicativo diz, esse comando encerrará o agente GPG (Gnu Privacy Guard).

Pode ajudar a matar o processo gpg-agentque pode ficar com os dados antigos. Então, o novo gpg-agentiniciado pedia senha.

Siga o URL abaixo para configurar a confirmação assinada https://help.github.com/en/articles/telling-git-about-your-signing-key

se ainda conseguir o gpg falhar ao assinar os dados fatais: falha ao gravar o objeto de confirmação

isso não é problema com o git, isso é com o GPG, siga as etapas abaixo

1gpg --version

2. echo "test" | gpg --clearsign

se estiver mostrando:

gpg: signing failed: Inappropriate ioctl for device
gpg: [stdin]: clear-sign failed: Inappropriate ioctl for device

3. então use export GPG_TTY=$(tty)

4. tente novamente echo "test" | gpg --clearsign em qual assinatura PGP é obtida.

5. git config -l | grep gpg

gpg.program = gpg commit.gpgsign = true

6.apply git commit -S -m "commitMsz"

Para quem está enfrentando esse problema em máquinas MacOS , tente o seguinte:

1. brew uninstall gpg
2. brew install gpg2
3. brew install pinentry-mac (se necessário)
4. gpg --full-generate-key Crie uma chave usando um algoritmo.
5. Obtenha a chave gerada executando: gpg --list-keys
6. Coloque a chave aqui git config --global user.signingkey <Key from your list>
7. git config --global gpg.program /usr/local/bin/gpg
8. git config --global commit.gpgsign true
9. Se você deseja exportar sua chave para o GitHub, em seguida: gpg --armor --export <key> e adicione essa chave ao GitHub nas chaves GPG: https://github.com/settings/keys (com as linhas START e END incluídas)

Se o problema persistir:

test -r ~/.bash_profile && echo 'export GPG_TTY=$(tty)' >> ~/.bash_profile

echo 'export GPG_TTY=$(tty)' >> ~/.profile

Se o problema persistir:

Instale https://gpgtools.org e assine a tecla que você usou pressionando Sign na barra de menus: Key -> Sign

Se o problema persistir:

Ir para: o mundial .gitconfigde arquivo que no meu caso é em: /Users/gent/.gitconfig E modificar o .gitconfig arquivo (por favor, certifique-mail e nome são os mesmos com o que você criou ao gerar o Key) :

[user]
	email = gent@youremail.com
	name = Gent
	signingkey = <YOURKEY>
[gpg]
	program = /usr/local/bin/gpg
[commit]
	gpsign = true
	gpgsign = true
[filter "lfs"]
	process = git-lfs filter-process
	required = true
	clean = git-lfs clean -- %f
	smudge = git-lfs smudge -- %f
[credential]
	helper = osxkeychain

Meus dois centavos aqui:

Ao criar e adicionar uma chave ao gpg-agent, você define algo chamado passphrase. Agora que passphraseem algum momento expira, é gpgnecessário digitá-lo novamente para desbloquear sua chave, para que você possa começar a assinar novamente.

Quando você usa qualquer outro programa que interfaces com gpg, gpgé aviso para que você digite sua senha que não aparecem (basicamente gpg-agentquando daemon não pode mostrar-lhe o diálogo de entrada na stdin).

Uma das soluções é gpg --sign a_file.txtinserir a senha que você inseriu ao criar sua chave e tudo ficará bem ( gpg-agentdeve assinar automaticamente)

Veja esta resposta sobre como definir tempos limite mais longos para sua senha, para que você não precise fazer isso o tempo todo.

Ou você pode remover completamente a senha com ssh-keygen -p

Edit: Faça um man gpg-agentpara ler algumas coisas sobre como fazer com que o acima aconteça automaticamente e adicione as linhas:

GPG_TTY=$(tty)
export GPG_TTY

no seu .bashrc se você estiver usando o bash (esta é a resposta correta, mas eu também estou mantendo minha linha de pensamento acima)

Atualização em outubro de 2016: a edição 871 mencionou "A assinatura parou de funcionar no Git 2.9.3"

O Git para Windows 2.10.1, lançado há dois dias (4 de outubro de 2016), corrigiu a assinatura do GPG interativo de confirmações e tags.

a recente mudança do gpg-sign no git (que não apresenta problemas no Linux) expõe um problema na maneira como, no Windows, o não-MSYS2-git interage com o MSYS2-gpg.

Resposta original:

Lendo " 7.4 Git Tools - Signing Your Work ", presumo que você tenha " user.signingkey" sua configuração definida.

A última grande refatoração (anterior ao Git 2.10) em torno do gpg estava no commit 2f47eae2a , aqui a mensagem de erro foi movida paragpg-interface.c

Um log nesse arquivo revela a recente alteração no commit af2b21e (Git 2.10)

O gpg2 já usa o formato longo por padrão, mas a maioria das distribuições ainda parece ter "gpg" como a versão 1.x mais antiga devido a motivos de compatibilidade. E versões anteriores do gpg mostram apenas o ID curto de 32 bits, o que é bastante inseguro.

Isso realmente não importa para a verificação propriamente dita: se a verificação for aprovada, a assinatura pgp será válida.
Mas se você ainda não possui a chave e deseja buscá-la, ou deseja verificar exatamente qual chave foi usada para verificação e deseja verificar, devemos especificar a chave com mais precisão.

Portanto, verifique como você especificou sua user.signingkeyconfiguração e a versão do gpg que você está usando (gpg1 ou gpg2), para ver se isso afeta a mensagem de erro.

Também há confirmação 0581b54, que altera a condição da gpg failed to sign the datamensagem de erro (em complemento à confirmação 0d2b664 ):

Atualmente, não lemos do stderr. No entanto, vamos querer em um patch futuro, de modo que este também prepara-nos lá (e, nesse caso, gpg faz gravação antes de ler toda a entrada, embora novamente, é improvável que um uid chave vai encher-se um tampão de tubo).

A confirmação 4322353 mostra que o gpg agora usa um arquivo temporário, portanto, pode haver problemas corretos em torno disso.

Vamos converter para o uso de um objeto tempfile, que lida com os casos difíceis para nós, e adicionar a chamada de limpeza ausente.

O rastreamento git foi muito revelador para a minha situação ...

   GIT_TRACE=1 git commit -m "a commit message"

   13:45:39.940081 git.c:344               trace: built-in: git commit -m 'a commit message'
   13:45:39.977999 run-command.c:640       trace: run_command: gpg --status-fd=2 -bsau 'full name <your-email@domain.com>'
   error: gpg failed to sign the data
   fatal: failed to write commit object

Eu precisava gerar uma chave inicial de acordo com o formato gitverificado. É melhor copiar o valor passado -bsauacima nos logs como está e usar abaixo.

Então se torna,

   gpg --quick-generate-key "full name <your-email@domain.com>"

Então funcionou.

Espero que ajude.

Usando o cygwin, mudei recentemente para gpg2. Então tive o mesmo problema ao assinar com o git após a configuração git config gpg.program gpg2.

Tente echo "test" | gpg2 --clearsignver se o gpg2 está funcionando. Eu achei a solução mais fácil de definir git config gpg.program gpg, porque isso funciona. Mas você também terá um erro melhor dessa maneira - por exemplo, que você precisa instalar o pinentry.

No OS X, usando gnupg2via brew, eu apenas tinha que matar o agente gpg , às vezes acontece:

pkill -9 gpg-agent

E defina a envvariável, se necessário:

export GPG_TTY=$(tty)

Consulte também os problemas comuns de GPG e esta resposta aqui também.

Eu já vi respostas semelhantes, mas nada exatamente como o que funcionou para mim. No Linux, eu tive que matar e reiniciar o meu gpg-agentcom:

$ pkill gpg-agent
$ gpg-agent --daemon
$ git commit ...

Isso fez o truque para mim. Parece que você precisa ter user.signingkeydefinido sua chave privada também pelo que outros comentários estão dizendo.

$ git config --global user.signingkey [your_key_hash]

Pode ser um agente gpg pendurado.

Tente gpgconf --kill gpg-agent conforme discutido aqui

Eu recebi esse erro no Ubuntu 18.04 e minha chave expirou .

Para ver isso, executei isso e confirmou que minhas chaves expiraram:

gpg --list-keys

Para corrigir isso, executei (usando o ID exibido no comando anterior):

gpg --edit-key <ID>

A partir daí, eu estendi a expiração do key 0e key 1seguir as instruções que se resumia a digitação key 0em seguida, expiree seguir as instruções. Então repetindo para key 1.

Depois, para testar isso, executei:

echo test | gpg --clearsign

E antes da correção, falhava com o erro:

gpg: nenhuma chave secreta padrão: nenhuma chave secreta
gpg: [stdin]: falha na limpeza de sinal: nenhuma chave secreta

Mas após a correção, o mesmo comando assinou com êxito a mensagem, então eu sabia que as coisas estavam funcionando novamente!

Eu tive o mesmo problema. Fico feliz em informar que o problema não reside, git 2.10.0mas sim gnupg 1.4.21.

Desclassificar temporariamente o gnupg para 1.4.20 corrigiu o problema para mim.

Se você estiver usando o homebrew e atualizou seus pacotes como eu fiz, provavelmente poderá executar apenas brew switch gnupg 1.4.20para reverter.

Verifique se seu e-mail foi definido corretamente.

git config --global user.email "user@example.com"

Se o email associado ao uid da sua chave GPG for diferente do email que você está usando no git, você precisará adicionar outro ID de usuário à sua chave OU usar uma chave que corresponda exatamente.

Você pode adicionar outro UID usando:

$ gpg --edit-key

Veja para /superuser/293184/one-gnupg-pgp-key-pair-two-emails

Devo ter atualizado acidentalmente o gpg de alguma forma, porque o comprei depois de tentar testar se o gpg funciona:

gpg: WARNING: server 'gpg-agent' is older than us (2.1.21 < 2.2.10)
gpg: Note: Outdated servers may lack important security fixes.
gpg: Note: Use the command "gpgconf --kill all" to restart them.

Correndo gpgconf --kill allconsertou para mim.

Espero que isso ajude alguém.

Eu tive um problema semelhante com as fontes Git mais recentes (2.12.2) criadas juntamente com as fontes mais recentes de todas as suas dependências (Zlib, Bzip, cURL, PCRE, ReadLine, IDN2, iConv, Unistring, etc.).

Acontece que libreadlineestava dando problemas ao GnuPG:

$ gpg --version
gpg: symbol lookup error: /usr/local/lib/libreadline.so.7: undefined symbol: UP

E, é claro, tentar obter informações úteis do Git com -vvvfalha, então a falha foi um mistério.

Para resolver a falha do PGP devido ao ReadLine, siga as instruções em Não é possível atualizar ou usar o gerenciador de pacotes - erro de gpg :

No terminal:

ls /usr/local/lib

havia um monte de bibliotecas readline lá (libreadline.so.BLAH-BLAH), então eu:

su
mkdir temp
mv /usr/local/lib/libreadline* temp
ldconfig

As respostas acima são ótimas, mas elas não funcionaram para mim. O que resolveu meu problema foi exportar o público e o segredo chaves .

listar as chaves da máquina de onde estamos exportando

$ gpg --list-keys
/home/user/.gnupg/pubring.gpg
--------------------------------
pub 1024D/ABCDFE01 2008-04-13
uid firstname lastname (description) <email@example.com>
sub 2048g/DEFABC01 2008-04-13

exportar as chaves

$ gpg --output mygpgkey_pub.gpg --armor --export ABCDFE01
$ gpg --output mygpgkey_sec.gpg --armor --export-secret-key ABCDFE01

vá para a máquina que estamos importando e importando

$ gpg --import ~/mygpgkey_pub.gpg
$ gpg --allow-secret-key-import --import ~/mygpgkey_sec.gpg

bingo bongo, pronto!

referência: https://www.debuntu.org/how-to-importexport-gpg-key-pair/

ps. Minhas chaves foram originalmente criadas no bootcamp windows 7 e eu as exportei para o meu mac air (mesma máquina física, diferente virtualmente)

Estou no Ubuntu 18.04 e recebi o mesmo erro, fiquei preocupado por semanas também. Finalmente percebi que o gpg2 não está apontando para nada. Então simplesmente corra

git config --global gpg.program gpg

E tada, funciona como charme.

Seus commits agora terão a tag verificada com eles.

Eu me deparei com esse erro não por causa de qualquer problema de configuração, mas porque minha chave expirou. A maneira mais fácil de estender sua validade no OSX é abrir o aplicativo GPG Keychain (se você o tiver instalado) e solicitará automaticamente que você o estenda. Dois cliques e pronto. Espero que isso ajude outros Googlers :)

Isso começou a acontecer repentinamente para mim no Ubuntu, não tenho certeza se alguma atualização recente fez isso, mas nenhum dos problemas existentes era aplicável a mim (eu havia GPG_TTYdefinido, tentei matar o agente etc.). O gpgcomando independente estava falhando com este erro:

$ echo "test" | gpg --clearsign
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

test
gpg: signing failed: Operation cancelled
gpg: [stdin]: clear-sign failed: Operation cancelled

Eu tentei correr gpgcom a --debug-allopção e notei a saída abaixo:

gpg: DBG: chan_3 <- INQUIRE PINENTRY_LAUNCHED 27472 gnome3 1.1.0 /dev/pts/6 screen-256color -
gpg: DBG: chan_3 -> END
gpg: DBG: chan_3 <- ERR 83886179 Operation cancelled <Pinentry>
gpg: signing failed: Operation cancelled

O texto acima indica que há algum problema com o pinentryprograma. O Gpg normalmente é executado pinentry-cursespara mim, então eu mudei para pinentry-tty(eu tinha aptitude installprimeiro) e o erro foi embora (embora eu não consiga mais a entrada de senha em tela cheia, mas não gosto disso de qualquer maneira). Para fazer essa alteração, eu tive que adicionar a linha pinentry-program /usr/bin/pinentry-ttypara ~/.gnupg/gpg-agent.confmatar o agente com gpgconf --kill gpg-agent(ele é reiniciado na próxima vez).

Nenhuma das respostas acima parecia corresponder ao meu problema. Meu gpgbinário ( /usr/local/bin/gpg -> /usr/local/MacGPG2/bin/gpg2) foi instalado como parte do GPG Suite , e não pelo brew.

No entanto, senti que o conselho se resumia a: "use o gpgbinário que for o mais recente disponível no brew". Então eu tentei:

brew update
brew upgrade git
brew install gpg

# the following are suggestions from brew's Caveats, to make `/usr/local/bin/gpg`
# point to the brew binary:
rm '/usr/local/bin/gpg'
brew link --overwrite gnupg2

Eu verifiquei que eu tinha mudado corretamente o gpgsobre a minha $PATHpara apontar para o novo executável de bebida:

🍔 which gpg
/usr/local/bin/gpg
🍔 ls -l /usr/local/bin/gpg
lrwxr-xr-x  1 burger  admin  33 Feb 13 13:22 /usr/local/bin/gpg -> ../Cellar/gnupg2/2.0.30_3/bin/gpg

E eu também disse explicitamente ao git qual gpgbinário usar:

git config --global gpg.program gpg

Bem, talvez isso não seja completamente estanque, pois é sensível ao caminho. Na verdade, eu não cheguei a confirmar que o git havia mudado para invocar a bebidagpg .

De qualquer forma: nada disso foi suficiente para git commit assinar com êxito meus commits novamente.

O que funcionou para mim, em última análise, foi atualizar o GPG Suite . Eu estava executando a versão 2016.7 e descobri que a atualização para 2016.10 corrigia o problema para mim.

Abri GPG Keychain.appe cliquei em "Verificar atualizações ...". Com a nova versão: confirmações assinadas funcionaram corretamente novamente.

obtê-lo configurado simplesmente:

brew uninstall gpg 

brew install gpg2

Muito parecido com o @birchlabs, depois de muitas escavações / pesquisas, descobri que não era GPG, mas sim GPG Suite. Eu fiz cask reinstall gpg-suitee resolveu isso para mim.

Se isso aconteceu aleatoriamente e funcionou perfeitamente no passado, como é o meu caso, tente sair ( cmd+shift+q) e entrar novamente. Trabalhou para mim

No meu caso, nenhuma das soluções mencionadas em outra resposta funcionou. Descobri que o problema era específico de um repositório. A exclusão e a clonagem do repositório novamente resolveram o problema.

Um tipo estranho, mas verifique se o seu terminal é grande o suficiente! Você pode dizer se é muito pequeno executando echo test | gpg --clearsign- ele fornecerá uma mensagem de erro bastante óbvia para você saber. Se não for grande o suficiente, seu agente GPG não poderá exibir sua pequena caixa de ncurses.

Este não se aplicará se você usar um agente da GUI ou algo que não use ncurses.