EES提出之后,密钥托管密码体制受到了广泛关注。从逻辑上密钥托管密码体制可划成用户安全成分、密钥托管成分与数据恢复成分3个部分。USC拿密钥KS加密明文数据,且在传送密文时,也传数据恢复域DRF。DRC用在DRF里的信息和KEC的信息恢复明文。
用户安全成分是给出数据加/解密能力及支持密钥托管功能的硬件设备或软件程序。USC可进行通信与数据存储的密钥托管,通信情况包括电话通信、电子邮件及其他一些类型的通信,是法律实施部门通过法院通信的监听许可后,解密突发事件。数据的存储包括简单的数据文件和一般的存储内容,突发解密是在数据拥有者损坏或丢了密钥时执行,或通过法律实施部门在取得法院许可证书之后针对计算机文件实施。USC用的加密算法可为保密的、专用的,还可为公钥算法。
密钥托管成分负责存储全部的数据恢复密钥,经过向DRC给出需要的数据与服务来支持DRC。KEC能作密钥管理系统的一个部分,密钥管理系统能是单一的密钥管理系统,还能是公钥基础设施。如果为公钥基础设施,托管代理机构可做公钥证书机构。托管代理机构还叫可信赖的第三方,承担操作KEC,可能得在密钥托管中心注册。密钥托管中心负责协调托管代理机构或作为USC或DRC的联系点。
数据恢复成分是由KEC给出的密文与DRF中的信息得到明文的算法、协议和仪器。它只在进行特定的已授权的恢复数据的时候用。若要恢复数据,DRC肯定得得到数据加密密钥,但要获得数据加密密钥就须用与收发两方或一方联系的数据恢复密钥。若仅可获得发送方托管机构拥有的密钥,DRC还得取得向某特定用户传消息的每方的被托管数据,这个时候可能不能执行实时解密,特别是各方位在不一样的国家并用不一样的托管代理机构时。
若DRC仅可获得收方托管机构持有的密钥,那么对从某一指定用户发出的全部消息也可能无法实时解密。若可用托管代理机构拥有的密钥恢复数据,则DRC只要取得某一指定USC用的密钥,就能对这个USC发出的消息或发至该USC的消息进行实时解密。对两方同时通信的情况,如果会话两方拿一致的数据加密密钥,系统则可实时恢复加密数据。