パスキーは、公開鍵暗号化と、電子署名とを組み合わせた認証形式で、
チャレンジコードと、電子署名が照合できた場合に、Webアクセスが許可される。
公開鍵と秘密鍵とは互いに、一方が暗号化したものを、他方が復号化できる関係にある。

1.
パスキー登録
パスキー登録の際に、サーバは、公開鍵を保有するとともに、
クライアントは、秘密鍵、すなわち、指紋認証・PIN認証等の情報を保有する。
公開鍵と秘密鍵とは互いに、
一方が暗号化したものを、他方が復号化できる関係にあるものとして、サーバに登録される。
またサーバは、クライアントの電子署名を登録する。

2.
パスキー認証(公開鍵暗号化)
クライアントが、Webサイトへアクセスする際に、
サーバは、クライアントに、
チャレンジコードを公開鍵で暗号化し、送信するとともに、
クライアントに、また別に、チャレンジコードのみを送信する。
クライアントは、暗号化されたチャレンジコードを、秘密鍵で復号化し、
その暗号化されていたチャレンジコードと、
チャレンジコードのみで送信された、チャレンジコードとを照合する。

3.
パスキー認証(電子署名)
2.にあるとおり、チャレンジコードの照合が成功した後、
クライアントは、サーバに、
電子署名を、チャレンジコードと、秘密鍵とを掛け合わせて暗号化し、送信する。
サーバは、暗号化された電子署名を、チャレンジコードと、公開鍵とを掛け合わせて復号化し、
そのクライアントが暗号化していた電子署名と、
サーバに登録してあった電子署名とを照合する。
この電子署名の照合が成功した後、
クライアントの、Webサイトへのアクセスが許可される。