Podpisane, zapieczętowane, dostarczone

Jednak podstawowym składnikiem PKI jest organ certyfikujący, który autoryzuje podpis, odpowiada za ważność certyfikatu i przeprowadza procedurę rejestracji, aktywacji oraz weryfikacji danych podpisów. Certyfikat zawiera nazwę wystawcy (np. Chase Manhattan), numer seryjny, algorytm identyfikacyjny, datę ważności, klucz publiczny, a także indywidualne kody identyfikacji i odczytu zarówno dla wystawcy tego rachunku, jak i kupującego. Certyfikaty wystawia trzecia strona, np. Entrust Technologies. Chase przekazuje Entrustowi opłaty licencyjne za certyfikaty, które następnie są zbierane i przechowywane na serwerach firmy.

Także Joseph Calaceto nie chce zdradzić, ile zainwestował w infrastrukturę klucza publicznego. Przyznał jednak, iż koszty drastycznie wzrosły, odkąd w 1996 r. bank zajął się zabezpieczeniem cyfrowym podpisu. W roku 1998 Aberdeen podała, że Entrust jest jedną z najdroższych firm, wystawiających certyfikaty bezpieczeństwa w porównaniu z VeriSign i Netscape. Analitycy tej firmy badawczej wyliczyli, iż całkowity koszt utrzymania ponad 5 tysięcy użytkowników w ciągu 3 lat osiągnął niemal 1 mln USD, czyli blisko 198 USD na jednego użytkownika. Według najnowszych danych Entrust, obecnie kwota ta wynosi 7 USD na użytkownika.

Nie odzwierciedla ona jednak wszystkich kosztów, na przykład zarządzania danymi i obsługi organu certyfikującego. A to zwykle pochłania największe kwoty w przypadku korzystania z PKI. Joseph Calaceto stwierdził, nazywając zresztą zespół ds. infrastruktury klucza publicznego w swojej firmie "nieco uciążliwym", że część wydatków Chase powstaje wówczas, gdy są wystawiane własne certyfikaty klientom.

Zanim bowiem bank wyda certyfikat konkretnego podpisu, musi przesłać klientowi dokument, w którym przekazuje mu indywidualizowaną informację, by użyć jej do aktywowania kodu.

Tak naprawdę bezpieczeństwo podpisów cyfrowych zależy od sposobu zabezpieczenia przez jego wystawcę cyfrowej tożsamości klienta. Banki, z racji prowadzonej działalności, są przyzwyczajone do obostrzeń związanych z bezpieczeństwem transakcji.

Ich klienci - zarówno indywidualni, jak i korporacje - zakładają, że bank jest instytucją finansową godną zaufania. To zaufanie natomiast przekłada się również na kwestię certyfikatów cyfrowych. Stanowi jednocześnie bazę, którą firmy tworzące własną interpretację tak nieścisłej ustawy, jaką jest e-podpis, mają lub jej nie mają. Jak stwierdził analityk Aberdeen Jim Hurley:

"Osoba korzystająca z podpisu elektronicznego chce jedynie wiedzieć, czy na tej podstawie otrzyma pieniądze".