密鑰託管一般是將加密數據及數據恢復密鑰相關起來,數據恢復密鑰沒有必要是直接解密的密鑰,不過顺利获得它能獲取解密密鑰。按理數據恢復密鑰被可託付的委託人擁有。一個密鑰也可能在數個委託人中被拆分為多個分量,分別顺利获得多個委託人持有。授權组织(如調查或情報组织)可由恰當的程序(如取得法院的許可),從多個委託人手裏恢復密鑰。

從技術實現角度,可以將密碼託管定義為:密鑰託管指用戶對CA申請數據加密證書前,須將密鑰分為t份交給信任的t個託管人。任一個託管人均不能由存儲的部分用戶密鑰得到完整的密碼。只有此人存儲的密鑰合起來才可取得用戶的整個密鑰。因此,密鑰託管有以下重要功能。

①防止抵賴。在商務活動里,利用數字簽名就能驗證自己的身份以防抵賴。但當用戶變了密碼,其就能抵賴沒有實施過這個商務活動。為了防止此抵賴,有如下幾種辦法:一種是用戶改密碼的時候須對CA進行說明,不可以私自改變;另一種是密鑰託管,當用戶抵賴時,這t個託管人則可以展示他們存儲的密鑰合成用戶的密鑰,讓用戶不能抵賴。

②政府監聽。政府、法律有關部門或合法的第三者為追蹤、獲取犯罪嫌疑人的通信,需取得通信雙方的密鑰。此時合法的監聽者可由用戶的委託人收集密鑰片之後獲取用戶密鑰,從而監聽。

③用戶密鑰恢復。用戶忘了密鑰想恢復時,可在委託人那收集密鑰片進行密鑰的恢復。