Nel formato OpenPGP (che PGP implementa), un dato indirizzo email può essere crittografato per più destinatari con solo minuto per -carico di dimensioni precipue. Questo perché la crittografia e-mail utilizza effettivamente la crittografia ibrida :
- Viene generata una nuova chiave casuale simmetrica K per l'e-mail da crittografare.
- La maggior parte dell'email è crittografata con un algoritmo di crittografia simmetrica, utilizzando K come chiave.
- Il tasto K è crittografato asimmetricamente con la chiave pubblica RSA o ElGamal del destinatario.
Questo perché la crittografia asimmetrica (RSA, ElGamal) è molto limitata nelle dimensioni processabili ed è anche costosa dal punto di vista computazionale, mentre l'algoritmo di crittografia simmetrica non ha problemi nell'elaborazione di megabyte di dati.
In questa configurazione, se si invia la stessa email a due destinatari, la crittografia simmetrica con K viene eseguita una sola volta; ma la chiave K verrà crittografata due volte, una volta con la chiave pubblica del primo destinatario e una volta con la chiave pubblica del secondo destinatario. Ogni destinatario aggiunge quindi solo poche centinaia di byte all'e-mail crittografata. Questo è come un "Cc:" può funzionare. Nota che rivela a ciascun destinatario che ha ricevuto l'e-mail.
Questo meccanismo "Cc:" viene utilizzato anche quando c'è un solo destinatario apparente, poiché PGP si occupa di crittografare l'e-mail sia per il destinatario che per te stesso - in modo che tu possa in seguito rileggere le tue e-mail dalla tua cartella "Inviati". Quindi un email PGP di base ha già due destinatari.