Ad 1. A gpg/pgp aláírósdi jó, meg szép, meg ilyesmi - de ha a címzett oldal nincs felkészítve az ellenőrzésére, akkor nagyjából olyan, mintha nem lenne.
Ad 2. Ha az aláíráshoz használt titkos kulcshoz harmadik fél is hozzáfér, akkor azt nem igazán tudom hitelesnek elfogadni, ugyanis ebben az esetben nem azt garantálod, hogy az adott üzenetet x.y írta alá, hanem azt, hogy az üzenet aláírásához egy x.y-nak tulajdonított kulcspárt használtak. És innentől kezdve ha x.y. vitatja, hogy azt a levelet ő írta alá, akkor marha nehéz lesz hitelesen bizonyítani, hogy nem az összelapátolt motyó rendszergazdája volt... Úgyhogy nem véletlenül nem találtál ilyen megoldást még...
A titkosítás más kérdés, azt lehet a túloldal publikus kulcsának ismeretében automatice csinálni, de ez is jellemzően kliens oldali feladat.