1976年，美国学者Diffie和Hellman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。

与对称加密算法不同之处在于，非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

如前所述，数字证书包含公钥、私钥对，只有公钥与私钥之间互相配合才能完成数据加密和数字签名的操作。以下是工作原理图：

主要实现过程如下：

（1）A、B均为证书拥有者，即双方都有自己的私钥，和公开给他人使用的公钥；

（2）A将自己的原文采用单向Hash函数算出一个128位的原文数字摘要，然后采用自己的私钥对该摘要进行签名；

（3）签名与原文作为一个整体，用B的公钥进行加密，形成密文并发送给B；

（4）B接到密文后，用B的私钥来解密，最终得到原文以及A当初签过名的原文数字摘要；

（5）为了判断该文件是否真的是由A发送的，B再采用A的公钥对原文进行如步骤（2）一样的数字摘要计算，计算出来的值和步骤（4）中解密出来的数字摘要进行比对，只要两者相同，即可认为是A发送的了。

由于B收到的资料含有A用私钥处理过的文件，A无法否认传送的事实，同时CA具有举证的义务，当信息交互纠纷发生时，其必须提供相关证据资料，以协助仲裁单位处理纠纷。如此一来，也就达到了信息交互时所需的保密性、身份可认证性、信息完整性、操作的不可否认性四大需求。