Die Grundidee: Es gibt jeweils einen privaten Key, der vertraulich ist, und einen öffentlichen Key, der in Schlüsselverzeichnissen enthalten ist. Wenn der Absender seine Daten mit dem öffentlichen Key des Empfängers verschlüsselt, kann der Empfänger diese mit dem nur ihm bekannten privaten Key entschlüsseln – und niemand sonst.

Das „Public Key Verfahren“ funktioniert mittels asymmetrischer kryptographischer Algorithmen und hat den Vorteil, dass die beiden kommunizierenden Parteien keinen gemeinsamen geheimen Key austauschen müssen. Denn dies würde die Datenkommunikation zwischen allen Krankenhäusern, Reha-Einrichtungen und Krankenkassen sehr unübersichtlich machen. Vielmehr kann jeder, der den öffentlichen Key des Empfängers, z.B. aus zentralen Listen, kennt, dessen digitale Signatur prüfen und ihm verschlüsselte Daten sicher schicken. Doch nur der richtige Empfänger kann diese Daten entschlüsseln, da nur er den privaten Key hat, der zu seinem öffentlichen Key passt.

Mehr Informationen finden sie auf der Seite Public Key Verfahren

Damit das System sicher funktioniert, müssen alle Teilnehmer eindeutig identifiziert sein und über Zertifikate verfügen. Die Teilnehmer an der § 301-Datenübermittlung werden von der Registrierungsstelle (der sogenannten „Port Authority“, kurz PCA) identifiziert. Das notwendige Zertifikat zum Schlüsselpaar (öffentlich/privat) liefert das TrustCenter der DKTIG, die sogenannte „Certification Authority“ (CA).

Die DKTIG überprüft, ob der öffentliche Schlüssel tatsächlich zum Empfänger gehört, und stellt dem Empfänger ein Zertifikat der Überprüfung aus. Der Empfänger kann den Absender der Nachricht durch das Zertifikat der Zertifizierungsstelle eindeutig identifizieren, da der Empfänger dem Zertifikat durch den mitgelieferten öffentlichen Schlüssel des TrustCenters vertraut.