Начинаю подписывать Git тэги SSH-ключами

Плавно и неспешно начинаю двигаться в сторону использования OpenSSH
ключей для подписи, вместо OpenPGP. Не раз писал в блоге что не горю
поддержкой всяких наездов на OpenPGP, но простота minisign/signify и
OpenSSH ключей подкупает, особенно когда достаточно OpenPGP использовать
например только для установки доверия, а дальше уже context-specific
per-application дешёвые простые подписи более простыми ключами.

Почти во все свои проекты добавил OpenSSH публичные ключи в документацию
по установке, предоставляю .sig файлы для подписи, включаю их внутрь
Metalink файлов. Подписываю параллельно с OpenPGP.

Теперь вот и в tofuproxy появился Git тэг подписанный. Делается это
действительно легко (d6e5458329cc1eb3a61082b64115bfdecea8a90a), прямо в
директории tofuproxy проекта:

    git config gpg.format ssh
    git config user.signingKey `realpath ~/.ssh/sign/tofuproxy@stargrave.org`
    git config gpg.ssh.allowedSignersFile `realpath PUBKEY-SSH.pub`

signify/minisign я считаю не имеет смысла использовать, если только на
какой-то совершенно минималистичной standalone системе, так как OpenSSH
из коробки вроде бы есть в любом дистрибутиве -- значит поддержка его
ключей шире. В Git оно уже интегрировано. Плюс сам по себе формат его
ключей вполне себе минималистичный, чай не попытка просто распарить
OpenPGP пакеты.

Кстати, по умолчанию генерируемые OpenSSH ключи шифруются aes256-ctr.
Можно форсировать "-Z chacha20-poly1305@openssh.com", тоже доступный в
OpenSSH сборке без OpenSSL.