Подпись Git коммитов GPG-ключом

Мне GPG ключ для подписи скопировать на каждое устройство или на каждом устройстве сгенерировать по уникальному ключу?

С концептуальной точки зрения - не важно. В любом случае вам нужно по каналам коммуникации с вашей аудиторией сообщить, какие ключи являются действительными. Практически это проще сделать с единственным ключом.

Должен ли я придерживаться этой конфигурации с подключами или лучше сгенерировать отдельный master key для подписывания?

Похоже, что тут каждый подписывает, как он хочет.

Обязательно ли должен быть у ключа для подписывания пароль или без него можно обойтись?

Можно обойтись. В gnupg 2.x сломали экспортирование ключей без пассфразы, но можно экспортировать-имортировать с пассфразой, после чего пассфразу снять через команды редактирования ключа.

Я эти коммиты создаю с 3 различных устройств постоянно и возможно еще изредка с 4-го. Мне GPG ключ для подписи скопировать на каждое устройство или на каждом устройстве сгенерировать по уникальному ключу?

Можно и так и так, в принципе. Если ключ с паролем, то можно особо не бояться копировать его. Больше ключей -> немного больше действий для их подключения, но сильных за/против я не знаю.

Обязательно ли должен быть у ключа для подписывания пароль или без него можно обойтись?

С паролем понадобится агент для его временного запоминания, а без пароля ключ уводится простым копированием с носителя. Лучше, наверное, с паролем.

Я эти коммиты создаю с 3 различных устройств постоянно и возможно еще изредка с 4-го. Мне GPG ключ для подписи скопировать на каждое устройство или на каждом устройстве сгенерировать по уникальному ключу?

По идеи можно сделать четыре разных ключа с одним и тем же e-mail. Ну или четыре разных ключа с разными действительными e-mail. По вкусу еще можно каждый ключ тремя другими подписать.

Мастер ключ в оффлайне. Подключи на каждом устройстве свои. Есть смысл почитать в интернетах всевозможные gnupg best practice.

Сделал на 3 устройствах ключи с подключами для подписей. Скормил публичные части подключей гитхабу. Все работает, коммиты теперь подписываются.
Есть еще один вопрос. Во всех руководствах, которые я читал, отмечается крайняя желательность создания сертификата для отзыва ключа. Я не могу понять, для чего мне это нужно. Ведь если мой ключ будет скомпрометирован, я просто удалю его публичную часть из настроек своего аккаунта на гитхабе, и тогда им воспользоваться там будет нельзя. Или это для тех случаев, когда требуется подписывать что-нибудь другое, а не коммиты на гитхабе?

На github после этого отображаться не будет, но сами коммиты ведь будут подписаны всё равно. Отзыв сертификата отделит всё что было до компрометации от того, что после. И если кто-то захочет им, например, письмо зашифровать (вытащив по ID из публичной базы), то gpg должен будет сказать, что сертификат уже не действителен. Т.е. ключ полностью выходит из использования после какой-то даты и этот факт публикуется для всех потенциальных пользователей, некий аналог его «удаления».

Имея секретный ключ, вы всегда можете создать и опубликовать сертификат отзыва. Поэтому лично я этим запариваться не стал. Бэкап секретных ключей всё равно нужен, вот из него я и буду генерить серты отзыва, если нужно будет.

Гитхаб к GPG-ключам вообще не должен иметь отношения, обращайте внимание на PGP-keyservers, для них и нужен этот сертификат отзыва.