Minden állomás az installációs konvenciónak megfelelôen egy titkos kulccsal (PKSd) és annak nyilvános párjával (PKSe) rendelkezik. A hívható állomások nyilvános kulcsai bárki számára egy nyilvános "telefonkönyvbôl" elérhetôk.
A nyilvános kulcsra alapozó rejtjelezô algoritmusok biztosítják, hogy a kulcspár bármelyikével rejtjelezett üzenet csak a párjával legyen visszafejthetô. A rejtjelezés sorrendje elvileg független, viszont a szolgáltatások szempontjából különbözô lehetôségek adódnak.
Ha valaki a titkos kulcsával rejtjelezett üzenetet küld, azt mindenki megfejtheti, aki a nyilvános "telefonkönyvbôl" a kulcs párját képes megtalálni. Ha az üzenetet megfejtette, abszolút bizonyosságot nyer arról, hogy "ki" küldte az üzenetet (8. ábra).
Ha az üzenetet dedikáltan a nyilvános "telefonkönyvbôl" kivett nyilvános kulccsal rejtjelezi a küldô állomás, azt csak "egy" partner (még a küldô sem) tudja megfejteni, hiszen a kulcs titkos párját kizárólag a címzett állomás birtokolja. Az adott szituációban a küldô állomás rendelkezik abszolút bizonyossággal arról, hogy üzenetét csak a kiválasztott partner értheti meg (9. ábra).
A nyilvános kulcsú algoritmusok zöme a többszintû rejtjelezést is megengedi, így kialakítható olyan üzenetkapcsolat is, amely a küldô titkos kulcsával és a fogadó nyilvános kulcsával is rejtjelezve van. A fogadó oldalon a küldô nyilvános kulcsával és a fogadó saját titkos kulcsával történô megfejtés "elektronikus" úton olyan partnerazonosítási szintet biztosít, amely erôsebb a hagyományos bizonylati rendszereknél is. A nyilvános kulcsú eljárás többek között az elektronikus adatcsere hitelesítési funkciók teljesítésére alkalmazható.