Vuoden 2017 tilinpäätösasiakirjat on allekirjoitettu sähköisesti PGP-avaimia käyttäen. Allekirjoitusten oikeellisuudesta voi varmistua seuraavia vaiheita seuraten:

1. Asenna PGP-avaimia käyttävä ohjelma, esim. GPGTools (Mac OS) tai GPG4Win (Windows, ohjelma toimii nimellä Kleopatra)
2. Hae allekirjoittaneiden henkilöiden sähköiset .sig-päätteiset allekirjoitukset omalle koneellesi. Tallenna jokainen .sig-tiedosto omaan hakemistoonsa.
3. Hae allekirjoitettu dokumentti omalle koneellesi. Kopioi se jokaiseen vaiheessa 2 luotuun hakemistoon, niin että jokaisessa hakemistossa on kaksi tiedostoa: allekirjoitettu tiedosto ja sen allekirjoitus yhdeltä ihmiseltä.
4. Muuta hakemistoissa tiedostonimiä niin, että jos allekirjoitettu tiedosto on esim. nimeltään "tilinpaatos.zip", allekirjoitustiedosto on nimetty "tilinpaatos.zip.sig".
5. Hae jokaisen allekirjoittajan julkinen avain PGP-ohjelmaan (etu-sukunimi.asc). Esim. GPGToolsissa voit tehdä tämän käynnistämällä ohjelman GPG Keychain, ja valitsemalla Import. GPG4Win/Kleopatrassa valitse Import Certificates.  Kts. SIGCHIn hallituksen jäsenten PGP-avaimet
6. Varmista sertifikaattien aitous allekirjoittajalta.
   GPG4Win/Kleopatra: Imported Certificates välilehdeltä klikkaa oikealla hiiren painikkeella nimiriviä ja valitse Certify Certificate.
   GPGTools: Tarkista, että allekirjoituksia varmistaessasi näkemäsi avain-IDt (8-merkkinen numero- ja kirjainsarja) on sama kuin GPG Keychainissa näkemäsi ID. Kaksoisklikkaamalla avainriviä saat näkyviin avaimen ns. fingerprintin.
   Ota yhteyttä allekirjoittajiin ja varmista heiltä, että he ovat mielestään kirjoittaneet asiakirjan. Tarkista heiltä, mikä heidän avaimensa fingerprint on ja että se vastaa sertifikaatin fingerprint-numerosarjaa.
7. Tarkista allekirjoitukset.
   GPGTools: valitse allekirjoitetun tiedoston (esim. tilinpaatos.zip) ja hiiren oikean näppäimen valikosta valitse Services > OpenPGP:Validate.
   GPG4Win: valitse allekirjoitetun tiedoston (esim. tilinpaatos.zip) ja hiiren oikean näppäimen valikosta MoreGpgEx options > Verify. 
   Jos allekirjoitus on aito, näet allekirjoittajan sähköpostin ja/tai nimen tulosikkunassa.
8. Tämän jälkeen olet varmistanut, että .sig-tiedostollaan tiedoston allekirjoittaneet ihmiset ovat olleet juuri ne ihmiset, joihin olet ottanyt yhteyttä. Samalla kertaa olet varmistanut, että tiedostoa ei ole enää muutettu allekirjoittamisen jälkeen. Jos näin on tapahtunut, .sig-allekirjoitus ja tiedosto eivät vastaa enää toisiaan, ja PGP-ohjelma näyttää sinulle asiasta virheilmoituksen.

Lisäohjeita:

• https://gpgtools.tenderapp.com/kb/how-to/how-to-verify-the-downloaded-gpg-suite
• https://www.gpg4win.org/documentation.html
• http://xmodulo.com/verify-authenticity-integrity-downloaded-file.html
• http://www.pgpi.org/doc/pgpintro/#p12