Bên nhận sau khi nhận được thông điệp sẽ băm nội dung thông điệp gốc bằng hàm băm như bên gửi đã dùng để tạo ra giá trị băm (hash value) sau đó giá trị băm này sẽ được kết hợp với public key để kiểm tra nó tương ứng với private key hay không và giá trị băm mới này là bằng với giá trị băm bên gửi thì bên nhận sẽ xác nhận tài liệu được kiểm tra thành công nếu thỏa mãn hai trường hợp sau:
1- Private key đã được sử dụng trong việc ký tài liệu, điều này được biết trong trường hợp public key của bên ký được sử dụng để kiểm tra chữ ký vì public key của bên gửi đã được tạo với private key của bên gửi.
2- Tài liệu trong quá trình gửi không bị thay thế nếu giá trị băm bên gửi và bên nhận là giống nhau.
Nếu cặp public key và private key được kết hợp với nhận dạng người ký thì chữ ký không thể bị giả mạo trừ khi người ký bị mất private key, do đó private key nên được lưu trữ trên các thiết bị trung gian.
Chữ ký điện tử không thực sự xác định ai là người ký vào tài liệu, chúng chỉ thiết lập một private key cụ thể được sử dụng để ký vào tài liệu, chữ ký thực sự chỉ phụ thuộc vào private key, tài liệu chuẩn bị ký và thuật toán được sử dụng để ký. Nếu tài liệu có bất cứ thay đổi nào thì chữ ký cũng thay đổi. Bất cứ ai có public key tương ứng với private key được dùng để ký vào tài liệu đều có thể kiểm tra chữ ký.
Tuy nhiên kiểm tra chữ ký bên nhận phải có quyền truy cập vào public key của bên gửi và phải đảm bảm rằng nó tương xứng với private key của bên gửi. Nhưng public key, private key lại không thuộc quyền sở hữu của bất kì cá nhân nào, nó chỉ đơn giản là cặp số bình thường do đó cần có một tổ chức đảm bảo sự tin tưởng của cặp số này. Một người có thể thông báo public key của mình trên website, và người khác cần sử dụng public key của mình có thể vào website để lấy public key này, hoặc ai cần public key của mình có thể viết email trực tiếp để lấy public key, nhưng cách này không an toàn và rất phức tạp và có thể bị giả mạo. Giải pháp đó là sử dụng một bên tin tưởng thứ ba (trusted third parties) để nhận ra public key của bên gửi. Trung tâm này có thể được sử dụng tương tự như các hệ thống điện thoại để thông báo cho mọi người về public key, và được cập nhật thường xuyên. Bên thứ ba này thường gọi là CA (Certification Authority). Mỗi một người dùng có thể lựa chọng cặp public/private key, sau đó người dùng sẽ giữ bí mật private key của mình và insert public key vào một thư mục ở bên thứ ba này, trung tâm có thể quảng bá thư mục chứa public key này tới tất cả người dùng, đồng thởi trung tâm cũng có thể đáp ứng bất cứ yêu cầu nào của người dùng về public key. Tuy nhiên cách tiếp cận này có điểm không hợp lý nếu tại một thời điểm có nhiều yêu cầu tới trung tâm có thể làm cho trung tâm quá tải trong việc sử lý yêu cầu public key, một cách thay thế cách này đó là sử dụng tạo chứng chỉ public key(public –key certificates). Người sử dụng chứng chỉ public-key cần có hai yêu cầu.
- Mọi người đều biết public key của mình. - Không một ai có thể giả mạo được public-key.
Do đó người sử dụng sẽ phải yêu cầu CA cấp phát cho mình một cerfiticate và để chống giả mạo public key CA sẽ ký vào cefiticate này với private key của CA, và bất cứ một ai muốn sử dụng public key có thể download cerfiticates này và trích ra public key cần sử dụng.
Để kết hợp cặp khóa với bên gửi CA sẽ phát ra một chứng chỉ số (digital cerfiticate)