Ziel ist es, die Echtheit eines Schlüssels dadurch zu bestätigen, dass ich öffentlich unterschreibe, dass der Key zu dieser Mailadresse gehört. Daraus können später Dritte (die mir vertrauen) schlussfolgern, dass sie diesen Key sicher verwenden können.

Ich gehe davon aus, dass ihr im voraus die Key-ID und den Fingerprint ausgetauscht habt. Dies sollte am besten persönlich passieren oder aber über einen sicheren zweiten Kanal.

gpg --recv-key $keyid

gpg --sign-key $keyid

erzeugt einen Output wie z.B.

pub  4096R/D97806C1  created: 2012-06-08  expires: 2014-06-08  usage: SCEA
                     trust: unknown       validity: full
sub  4096R/62581589  created: 2012-06-08  expires: 2014-06-08  usage: SEA 
[  full  ] (1). systemli adminteam <admin@systemli.org>


pub  4096R/D97806C1  created: 2012-06-08  expires: 2014-06-08  usage: SCEA
                     trust: unknown       validity: full
 Primary key fingerprint: F76A 41F3 9289 09A9 740E  780D 5BBC A3A6 D978 06C1

     systemli adminteam <admin@systemli.org>

This key is due to expire on 2014-06-08.
Are you sure that you want to sign this key with your
key "anon <anon@systemli.org>" (12345678)

Really sign? (y/N)

Falls der Fingerprint mit dem übereinstimmt, was ihr vorher ausgetauscht habt, → mit y bestätigen.

Das ist nötig, damit andere später eure Unterschriften sehen können.

gpg --send-key $keyid

Alle hier beschriebenen Kommandos verwenden den Keyserver, den ihr festgelegt habt. Standardmäßig ist es z.B. pgp.mit.edu, aber es empfiehlt sich die Server linker Kollektive zu verwenden wie z.B. keys.mayfirst.org oder keys.indymedia.org.