@sitnik_ru @evilmartians в постах об этом нет (в Х я тоже чекнул, хех), а стоит упомянуть — архитектура gpg/pgp позволяет свой web-of-trust построить в том числе для git репозитория, потому что публичные ключи могут быть добавлены и им выставлено доверие.

С ssh ключами эта часть похуже работает — локально нет механизма проверять подписи коммитов, так как нет сервиса типа ключницы gpg, где можно проверить доверенность подписи.