アプリケーション発行者は、公開鍵と秘密鍵のペアを生成し、秘密鍵はそれ自体で保持され、公開鍵は公開されます。
アプリケーションを公開するときは、最初にアプリケーションをダイジェストし、次に秘密鍵でダイジェストを暗号化します。
アプリケーションを公開するときは、「暗号化されたダイジェスト」をアプリケーションとともに公開します。
ユーザーがアプリケーションの有効性を確認したとき。
ユーザーはアプリケーションをダイジェストしてダイジェスト1を取得し、次にパブリッシャーが公開した公開鍵を使用して「暗号化されたダイジェスト」を復号化してダイジェスト2を取得します。ダイジェスト1とダイジェスト2を比較します。両者が同じであれば、アプリケーションが実際に公開鍵は発行者によって発行され、改ざんされていません。