Firmar commits con GPG verifica la identidad del autor. GitHub/GitLab muestran una insignia “Verified” en los commits firmados.
Configuración
Genera una clave GPG: gpg --full-generate-key. Configura git config --global user.signingkey <KEY>. Firma commits con -S.
Firma automática
git config --global commit.gpgsign true firma todos los commits. git config --global tag.gpgsign true para etiquetas.
Registro en GitHub
Añade la clave GPG pública en GitHub Settings → SSH and GPG keys. Verifica que los commits muestren “Verified”.
Seguridad
Protege tu clave GPG con una contraseña fuerte. Usa gpg-agent para cachear la frase de paso. Revoca claves comprometidas inmediatamente.

