Uma assinatura digital é um processo matemático que permite demonstrar a autenticidade de uma mensagem ou documento digital. Uma assinatura digital válida permite ao destinatário determinar qual o remetente da mensagem, de tal modo que, o emissor não pode negar ter enviado a mesma. É ainda possível verificar se a mensagem não foi alterada durante o transporte.

A assinatura digital é baseada na criptografia de chave pública, também conhecida como criptografia assimétrica. Esta refere-se a um algoritmo de criptografia que requer duas chaves distintas, uma das quais é secreta (ou privada) e a outra pública. Embora diferentes, as duas partes deste par de chaves são matematicamente relacionadas. A chave pública é usada para criptografar texto simples ou para verificar uma assinatura digital enquanto que, a chave privada é usada para descriptografar o texto cifrado ou para criar uma assinatura digital.

Os algoritmos de chave pública são baseados em problemas matemáticos que não admitem atualmente nenhuma solução eficiente. É computacionalmente fácil para um utilizador gerar o seu próprio par de chaves pública e privada e usá-los para criptografar e descriptografar. A força reside no facto de que é computacionalmente inviável em tempo útil determinar a chave privada a partir da sua chave pública correspondente. Assim, a chave pública pode ser difundida, sem comprometer a segurança, enquanto que a chave privada não será revelada a ninguém não autorizado.

A autenticação de mensagens envolve o processamento de uma mensagem com uma chave privada para produzir uma assinatura digital. Usando a assinatura digital é possível a qualquer pessoa verificar a assinatura utilizando a chave pública do signatário. Caso haja confirmação pode-se dizer por quem a mensagem foi assinada e pode ainda verificar-se se a mensagem não foi modificada após o processo de assinatura. Normalmente, apenas um hash ou sumário da mensagem é criptografado como a assinatura de uma mensagem. De notar que o hash tem um tamanho fixo e pode ser gerado de uma mensagem de tamanho variável, uniformizando o processo.

No caso do cartão do cidadão, a chave privada encontra-se guardada no chip do cartão e esta não está acessivel a ninguém, nem mesmo ao dono do cartão, pelo que, nem mesmo este tem a possibilidade de saber a sua própria chave privada. Desta forma, para se proceder a uma assinatura, a mensagem a assinar é enviada para o chip. Este, após confirmação do Pin correcto, efectuará o cáculo matemático com a chave privada e retornará o resultado, ou a assinatura, mantendo-se assim a chave privada dentro do chip do cartão.