in genere questi schemi funzionano così:

Uso di crittografia asimmetrica per l'autenticazione: scambio chiavi pubbliche (certificati) in chiaro. Questi servono solo per criptare non per decriptare. La decodifica avviene con le relative chiavi private che non vengono (ovviamente!!) spedite. Tramite questo schema ci si scambia una chiave di sessione usata per criptare/decriptare in modo simmetrico il vero traffico di dati.