diff --git a/README.md b/README.md
index 68d5eac..cbec5f8 100644
--- a/README.md
+++ b/README.md
@@ -29,14 +29,6 @@ Wir, ein kleiner Kreis von Menschen die das Netzwerk im Zentralwerk betreuen, ha
   * [WiFi-Provisionierung](doc/wifi-provisioning.md) und Erstellung von Privatnetzen
 * `flake.nix` und Unterverzeichnis [nix/](nix): Konfigurationsskripte
 
-### Nixification Roadmap
-
-- [x] Einlesen der Salt-Daten in Nix
-- [x] Containererstellung
-- [x] Migration der Container
-- [x] device-scripts auf Site Config umstellen
-- [x] Site Config ohne Entschlüsselung dumpen, Salt-Daten löschen
-
 ### Development Setup
 
 Get Nix with Flakes first:
@@ -77,8 +69,8 @@ auch `/etc/nixos` so dass `nixos-rebuild switch` problemlos
 klappt. Ausserdem ist dieser lokale Checkout in der `nix registry`
 eingetragen, was von bspw. von `build-container` verwendet wird.
 
-Ausserdem wurden dort `nix run .#switch-to-production` und immer
-wieder `.#decrypt-secrets` ausgeführt.
+Ausserdem werden dort immer wieder `nix run .#switch-to-production`
+ausgeführt.
 
 ### LXC-Containers auf Server
 
@@ -119,6 +111,15 @@ Systemkonfigurationen für alle Hosts mit der `role` `"server"` oder
 
 Alle NixOS-Einstellungen
 
+#### Secrets
+
+```bash
+nix run .#decrypt-secrets
+$EDITOR config/secrets-production.nix
+nix run .#encrypt-secrets
+```
+
+
 ### server1 als Cold Standby
 
 Was ein Server kann, kann ein anderer auch. Er sollte gelegentlich
diff --git a/doc/encryption.md b/doc/encryption.md
deleted file mode 100644
index 0fc3d6b..000000000
--- a/doc/encryption.md
+++ /dev/null
@@ -1,5 +0,0 @@
-# Encrypting salt-pillar/ values
-
-```shell
-echo -n $SECRET | gpg --armor --batch --trust-model always --encrypt -r 1F0F221A7483B5EF5D103D8B32EBADE870BAF886
-```