"ezen certel aláirjon a nevedben bármit" - No akkor lépjünk hátrébb picit. NEM a certtel írsz alá, hanem a certben lévő publikus kulcs privát párjával. Leegyszerűsítve: fogod az aláírandó adathalmazt, csinálsz róla egy kellően biztonságos hash-t, a hash "bemegy" az aláíró eszközbe, ott a privát kulcs használatával titkosításra kerül, majd visszakapod. Ez a titkosított adathalmaz az aláírás, amit a kulcspár publikus felével lehet kibontani. A certificate egy, a CA által aláírt publikus kulcs, melyben a CA hitelesíti azt, hogy az adott publikus kulcsot tartalmazó kulcspár és a certben lévő identitás összetartozik.
Szóval nemcsak az államot, de bárkit "csak" az gátol meg abban, hogy "ezen certel aláirjon a nevedben bármit", hogy az aláíráshoz a privát kulcsra van szükség - az meg nem nyerhető ki az e-személyiből, azaz _azzal_ a kulcspárral, ami az _adott_ e-személyihez tartozik más nem tud elektronikus aláírást készíteni. És ahogy a papír alapú aláírásnál is, ha a papíron egy jóskapista aláírás szerepel, de jóskapista vitatja annak valódiságát, nem jóskapista feladata bizonyítani, hogy nem ő írta alá, hanem fordítva: aki azt állítja, hogy az ott jóskapista aláírása, annak kell ezt az állítást bizonyítania. És e-aláírásnál a láncolat "végén" valahol kell lenni egy papíron aláírt dokumentumnak, amin jóskapista az adott kulcspárt tartalmazó eszközt és hozzá a megadott certet átvette.