Digamos que mi clave de firma se ha comprometido y tengo que revocarla.
¿Qué sucede con los conjuntos de cambios y las etiquetas ya firmados? ¿Debería reescribirlos con la nueva clave de firma?
¿Qué sucede con los conjuntos de cambios y las etiquetas ya firmados?
No les va a pasar nada: permanecen firmados, pero con la clave revocada. Las claves revocadas permanecen en los servidores de claves (y en los discos de las personas, si tienen una copia local), por lo que la firma aún puede verificarse.
¿Debería reescribirlos con la nueva clave de firma?
Eso depende de lo que quieras lograr, pero probablemente sí. El objetivo de firmar etiquetas es certificar que "yo (más bien: la respuesta de la clave privada) realmente creé esta etiqueta".
Al revocar su clave, está diciendo efectivamente: "No confíe en ninguna firma con esta clave, pueden estar falsificadas". Por lo tanto, si desea dar a los usuarios de su repositorio una forma de verificar la autenticidad de las etiquetas, debe volver a firmarlas.
Nota técnica:
No puede volver a firmar una etiqueta en Git, porque la firma es una parte integral de la etiqueta (firmada). Para obtener más información, consulte, por ejemplo, ¿Puedo firmar una etiqueta git después de fue creado? en stackoverflow.com.
Tendrá que crear una nueva etiqueta y firmarla con su nueva clave. También tenga en cuenta las advertencias generales sobre el cambio / reemplazo de etiquetas: tendrá que crear la etiqueta con un nombre nuevo o reemplazar la etiqueta existente. Si hace esto último, las personas que previamente obtuvieron las etiquetas antiguas tendrán que eliminarlas manualmente, de lo contrario no obtendrán las nuevas etiquetas.