La firma e la crittografia basate su PKI funzionano in questo modo (nell'email e in qualsiasi altra applicazione):
- Quando firma dati, devi accedere alla chiave privata
- Quando convalida dati firmati, devi accedere alla chiave pubblica
- Quando crittografa i dati, hai bisogno della chiave pubblica
- Quando decrittografia dati, devi accedere alla chiave privata .
Ora, un certificato (X509) è un insieme di dati che contiene (principalmente):
- Informazioni sull'identità
- Informazioni sulla limitazione dell'utilizzo
- Dati della chiave pubblica
- Firma digitale di tutto quanto sopra da un'autorità di certificazione (per consentire a terze parti di decidere se fidarsi o meno di queste informazioni).
- Per crittografare i dati è sufficiente la chiave pubblica che corrisponde alla chiave privata che verrà utilizzata per la decrittografia. Nel caso dell'e-mail, significa accesso al certificato del destinatario (una not chiave privata stessa).
- Per decodificare i dati è sempre necessario accedere alla metà privata della chiave utilizzata per crittografarla. Nel caso dell'e-mail, significa che è necessario accedere alla chiave privata collegata alla chiave pubblica contenuta nel certificato del destinatario.
Nel caso della crittografia, non è necessario e non è mai necessario accedere a qualsiasi parte delle chiavi appartenenti alla parte mittente. Di fatto, non è necessario avere un proprio certificato o una coppia di chiavi per eseguire la crittografia e-mail.
Un certificato personale è richiesto solo quando si intende firmare dati o consentire ad altri di inviarti dati crittografati.