<p dir="ltr">master bminton.is-a-geek.net:~/src/linux$ git tag -v v4.5-rc1<br>
object 92e963f50fc74041b5e9e744c330dca48e04f08d<br>
type commit<br>
tag v4.5-rc1<br>
tagger Linus Torvalds <<a href="mailto:torvalds@linux-foundation.org">torvalds@linux-foundation.org</a>> 1453669617 -0800</p>
<p dir="ltr">Linux 4.5-rc1<br>
gpg: Signature made Sun 24 Jan 2016 04:06:57 PM EST<br>
gpg:                using RSA key 79BE3E4300411886<br>
gpg: Good signature from "Linus Torvalds <<a href="mailto:torvalds@linux-foundation.org">torvalds@linux-foundation.org</a>>"<br>
gpg: WARNING: This key is not certified with a trusted signature!<br>
gpg:          There is no indication that the signature belongs to the owner.<br>
Primary key fingerprint: ABAF 11C6 5A29 70B1 30AB  E3C4 79BE 3E43 0041 1886<br>
 master bminton.is-a-geek.net:~/src/linux$</p>
<br><div class="gmail_quote"><div dir="ltr">On Tue, Feb 23, 2016, 9:20 AM Brian Minton <<a href="mailto:brian@minton.name">brian@minton.name</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">No, but releases, aka tags, are.</p>
<br><div class="gmail_quote"><div dir="ltr">On Tue, Feb 23, 2016, 9:06 AM Jason A. Donenfeld <<a href="mailto:Jason@zx2c4.com" target="_blank">Jason@zx2c4.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Feb 23, 2016 at 2:53 PM, Brian Minton <<a href="mailto:brian@minton.name" target="_blank">brian@minton.name</a>> wrote:<br>
> Certainly got can sign individual tags with an OpenPGP key. Each commit is<br>
> also hashed and the hashes are known. If you sign every commit, or at least<br>
> every release, the code can't be tampered with. This is the workflow of, for<br>
> instance, the Linux kernel.<br>
<br>
False. Commits in Linux development are not routinely signed.<br>
</blockquote></div></blockquote></div>