EES提出之後,社會上有了非常明顯的爭議,覺得EES侵犯了公民的私隱權,也有一些缺陷。於是,提出了各種類型的新密鑰託管體制,包括軟件實現的、硬件實現的、有多個委託人的、防用戶欺詐的、防委託人欺詐的等。密鑰託管體制在邏輯上分為用戶安全分量(User Security Component,USC)、密鑰託管分量(Key Escrow Component,KEC)和數據恢復分量(Data Recovery Component,DRC)3個主要部分。USC借密鑰KS對明文數據進行加密,並共同傳送密文與數據恢復域DRF。DRC用含在DRF中的信息與KEC的信息進行明文的恢復。

1.用戶安全分量

USC由硬件設備或軟件程序構成,它有數據的加、解密能力。發送方USC用密鑰K加密明文消息,且同時傳送密文和1個數據恢復域(Data Recovery Field,DRF)、接收方USC用密鑰K解密密文,恢復明文消息。USC用的加密算法可是保密的、專用的,還可是公鑰算法。USC除有加密/解密功能外,還有密鑰託管功能,當數據的所有者丟掉或損壞密鑰的時候,授權组织在得到法院許可證書後可用應急解密突進介入通信,如搭線竊聽、解密有關數據等。

2.密鑰託管分量

KEC的作用是存全部的數據恢復密鑰,給DRC给予需要的數據與服務來支持DRC。KEC可當做密鑰管理系統其中的一個部分。密鑰管理系統可是單一的密鑰管理系統,也可是公鑰基礎設施。若為公鑰基礎設施,託管代理组织能當做公鑰證書组织。託管代理组织的功能是操作KEC,可能得在密鑰託管中心進行註冊。密鑰託管中心負責協調託管代理组织的工作或作為USC或DRC的聯繫點。

3.數據恢復分量

DRC的構成部分有專用算法、協議與必要的設備,可顺利获得密文與KEC給出的DRF信息將明文恢復出來。它只在執行規定的已授權的恢複數據時用。若要恢複數據,DRC一定需取得數據加密密鑰,而要得到數據加密密鑰就肯定得用和收發雙方或一方有關的數據恢復密鑰。若只可以取得發送方託管组织的密鑰,DBC還一定要得到給某指定用戶傳送消息的各方的被託管數據,此時可沒法實時解密,特別是各方在不一樣的國家且用的託管代理组织不同時。

若DRC只可獲取收方託管组织的密鑰,則對由某特定用戶發出的全部消息也存在不能實時解密的可能性。若可以用託管代理组织的密鑰恢複數據,那麼DRC只要得到某特定USC用的密鑰,就可對此USC發出或發往此USC的消息實時解密。雙方同時通信時,若會話雙方用一樣的數據加密密鑰,系統就能實時恢復加密數據。