Egyetértek nem kezdő szemszögéből. Viszont ha az infrastruktúrát feltörik, akkor mindegy, aláírják a privát kulccsal a patkolt verziót :)
Kezdő szemszögéből macerás a GPG. Eleve nem fogja érteni az asszimetrikus titkosítást. Egy sima SHA ellenőrzést még könnyen el tud végezni, jó lenne azért azt is megtámogatni HTTPS-el.