Ardi non ottiene la sua chiave privata dal PKI. Il PKI ottiene la chiave pubblica di Ardi da Ardi.
Ardi possiede una coppia di chiavi pubblica / privata : una chiave pubblica e una chiave privata che "ballano insieme" (sono due matematici sfaccettature di un singolo oggetto). La chiave pubblica è destinata a essere pubblica. Il compito del PKI è quello di pubblicare la chiave pubblica, e offre alcune garanzie verificabili che una determinata chiave pubblica è effettivamente la chiave pubblica di Ardi - cioè che la chiave privata corrispondente è sotto il controllo esclusivo di Ardi. In tutto questo, la chiave privata di Ardi non lascia mai il computer di Ardi.
(Per essere completo, ci sono modelli PKI in cui la CA insiste a generare la coppia di chiavi pubblica / privata e trasmette la chiave privata ad Ardi attraverso un canale protetto una tantum. Questo è un modello valido per chiavi intese per la crittografia , perché consente alla PKI di eseguire un backup delle chiavi private per evitare rischi di perdita di dati nel caso in cui il computer di Ardi dovesse bruciarsi.Tuttavia, il modello PKI "normale" è che la coppia di chiavi è generata dal proprietario della chiave, la chiave privata mai essere visti dalla CA o da chiunque altro.)