Gebruiker A publiceert zijn publike sleutel Ka op een website met de mededeling dat dit de publieke sleutel van  B is. C raadpleegt de website en neemt aan dat Ka inderdaad de publieke sleutel van B is. Welk veiligheidsrisico loopt C nu?

Als C een e-mail naar B verstuurt, zal B de e-mail niet kunne ontcijferen. Immers, C zal de publieke sleutel van A gebruiken om de e-mail te vercijferen en alleen A kan de e-mail met zijn privesleutel ontcijferen. Al A de e-mail in handen krijgt, kan hij dus wel de e-mail ontcijferen.Ook kan A zich nu voordoen aan C als B. A gebruikt zijn privesleutel om een digitale handtekenening te plaatsen. Hij vercijfert de e-mail met de publieke sleutel van C en stuurt de e-mail naar C waarbij hij zich voordoet als B.C zal de e-mail ontcijferen met zijn privesleutel. Om de digitale handtekening te ontcijferen, past C nu Ka toe. De ontcijfering lukt en C denkt dus onterecht dat de e-mail van B afkomstig is.