Como qualquer pessoa pode gerar pares de chaves com praticamente qualquer conteúdo, outro componente é necessário para finalmente garantir a identidade do proprietário da chave. Para o efeito, a chave pública do utilizador é assinada por uma autoridade certificadora (CA – Certificate Authority). Antes de assinar, a Autoridade de Registro (RA) associada verifica a identidade do usuário , por exemplo, usando seu cartão de identificação. A assinatura digital da CA transforma a chave pública em um certificado assinado.
A assinatura da CA pode ser verificada da mesma forma utilizando a chave pública da CA. A autenticidade da própria CA é novamente garantida por uma assinatura da autoridade de certificação superior seguinte. Isso continua até que você alcance o chamado certificado raiz na parte superior. Se você confiar no provedor do certificado raiz e na cadeia de certificados, poderá identificar claramente uma pessoa, mesmo que não a conheça pessoalmente. A cadeia de certificados criada desta forma também é chamada de “cadeia de confiança”. O ponto principal restante é que o próprio certificado raiz já está presente e é confiável na maioria dos programas de e-mail e navegadores da web no momento da instalação. Isto significa que a cadeia de certificados pode ser verificada sem qualquer intervenção dos parceiros de comunicação envolvidos.
Se alguém obtiver sua chave privada, poderá escrever e-mails em seu nome ou fazer login em sua conta em portais e servidores. Portanto, é crucial que você proteja a parte privada da sua chave da melhor forma possível.