Unterzeichnens eines anderen Schluessels: 1.) Pruefen, ob ich die Identitaet des angeblichen Schluesselbesitzers auch validiert habe (Ausweis, ...) und der Name auch mit dem aus dem Schluessel uebereinstimmt. 2.) Beschaffen des oeffentlichen Schluessels a) vom Server holen (gpg --recv-keys ) oder b) Schluesseldatei zB von Diskette oder Homepage besorgen und importieren (gpg --import .gpg.asc) ad : Die exakte EMailadresse, die zum Schluessel dazugehoert und nicht eine, die im zB Mailclient als Absender angegeben ist! 3.) gpg --edit-key 4.) |-> fpr (zur Sicherheit nochmal pruefen!) 5.) |-> uid (UID von waehlen) 6.) |-> sign (mit korrekter Identitaet unterschreiben) 7.) |-> trust (lokales Vertrauen in Schluessel definieren) 8.) '-> save (in lokalen Schluesselbund speichern) -> bisher alles nur lokal wirksam -> KEIN Export zum Schluesselserver, da noch die Zusicherung fehlt, dass die email-Adresse der UID stimmt. 9.) Signierter Key aus loaklem Schluesselbung in eine (human-readable) Datei exportieren: gpg --armor --export > .gpg.asc 10.) Schluessel wieder aus dem lokalen Schluesselbund loeschen: gpg --delete-key Da hier die Zusicherung des Adressenbesitzes noch nicht sichergestellt ist und so ein versehentliches Vertrauen vermieden wird. 11.) EMail verschluesselt und signiert mit der .gpg.asc an die versenden mutt -a .gpg.asc 12.) Wenn Antwort auf Mail kommt den Schluessel (.gpg.asc) wieder importieren oder ihn spaeter von einem Keyserver holen: gpg --import .gpg.asc Nach Empfang eines EMails mit meinem unterzeichneten Schluessel von einer anderen Person: 1.) sofern EMail von kommt, deren inkludierten Schluessel von mir zB in .gpg.asc speichern 2.) Anschauen was da alles unterschrieben wurde und notfalls beschweren :-) gpg -v .gpg.asc 3.) Schluessel in lokalen Schluesselbund aufnehmen gpg --import .gpg.asc fertig. Karl Voit