Du må ha mottakers public key for å kunne kryptere innholdet. De dekrypterer meldingen med sin private key. Du kan signere meldingen med din private key, og de kan bekrefte din signatur ved hjelp av din public key. Det er sånn ca. nå du begynner å skjønne at problemet alltid ligger i hvordan du gjør key exchange på en sikker måte.

Stort sett løses det ved bruk av web of trust, hvor man signerer hverandres public key når man er face-to-face og distribuerer dette via key servers. Kort fortalt så går et "key signing party" ut på at vi møtes og signerer hverandres nøkler. Dette skalerer åpenbart ikke veldig bra, men hvis du stoler på meg og vi har gjort en key exchange så kan du vurdere om det er godt nok at jeg sier at personen er den de sier de er. Du kan sjekke det kryptografisk, siden du allerede har min public key.

Husk at sikkerheten ligger helt og holdent hos mottaker. Foruten key exchange så er key management minst et like stort problem. Det er ingen måte du kan inspisere det. Tenk deg derfor om to ganger før du sender en hemmelighet et sted hvor du ikke kan fjerne det senere, som epost.