使用SSH和GPG签署提交有什么区别？

从功能上来说，这两种方法提供了相当的加密安全性。它们都使用强大的数字签名算法，只要保护好私钥，就被认为是有效防伪的。

SSH的优点在于更容易将密钥转发到另一台机器。例如，在以前的雇主处，所有开发工作都必须在虚拟机上进行，不允许在笔记本电脑或台式机上存储源代码。由于SSH代理转发，使用SSH比GPG更容易。

GPG也因其加密实现的质量而受到批评，对于指纹和某些加密算法使用SHA-1存在合理的批评，后者在此不相关。（SHA-1用于指纹的使用将在即将发布的OpenPGP标准修订中得到解决）。因此，有些人可能更喜欢使用OpenSSH，因为它通常具有更好的安全声誉，并且它通常已经在大多数系统上安装好了。

使用安全密钥时，使用OpenSSH也更容易，因为大多数安全密钥支持FIDO2，技术上只需要这个就够了。OpenPGP实现需要一些额外的支持，因此安全密钥上有OpenPGP的可用性较小。

然而，OpenPGP已经存在更长时间，并且得到Git更长时间的支持，因此在旧环境中使用它更容易。签署数据还需要使用更新版本的OpenSSH，这再次阻碍了其在旧环境中的使用。最后，OpenPGP和GnuPG使存储和验证任意密钥更加容易，包括在GnuPG中的首次使用信任，而OpenSSH需要维护手动指定的允许签名者列表。

另一个区别在于，您可以跨计算机使用（GPG/SSH）密钥安全地对提交进行签名，以便在所有平台上都能够识别您的身份。这意味着将密钥（GPG/SSH）存储在在线和同步的Vault中。
否则，在多台计算机上复制/重复使用相同的密钥是一种不好的做法。虽然可以手动导入/附加密钥到Vault中，但我所知道的仅有的用于签署Git提交的集成是GitHub与1Password和SSH密钥（而非GPG）。请参见Thomas Dohmke（GitHub首席执行官）tweet：

今天（2022年9月8日），我非常高兴地宣布我们与1Password的新集成以及我们对SSH提交验证的支持。

现在，开发人员可以轻松添加他们的SSH密钥来验证提交，并从浏览器生成和存储SSH密钥。

这里是关于1Password博客文章“使用1Password签署Git提交”的翻译，作者为Marc Mackenbac，1Password 8.9.4或更高版本将包括一个/Applications/1Password.app/Contents/MacOS/op-ssh-sign工具，以及编辑~/.gitconfig的能力，以便使用op-ssh-sign签署您的提交。

您的SSH密钥在您的在线保险库中管理（现在是1Password，其他可能会跟随）。