Tot el mecanisme de criptografia asimètrica, o de clau pública, permet validar la identitat del firmant si i només si, la clau privada es manté en secret i només es coneguda per la persona a la qual identifica. Per tant, l’usuari ha de protegir la seva clau privada i fer el necessari perquè només ell hi tengui accés.
Quan s’instal•la un certificat de firma en l’ordinador, amb clau privada associada, podem adoptar dues estratègies per a la seva salvaguarda.

1. Mantenir la clau privada únicament en aquest ordinador i no exportar-la. En aquest cas, si tenim una avaria en l’ordinador i es perd el certificat o la clau privada, s’haurà de revocar el certificat perdut i demanar-ne un de nou. Aquesta és la opció recomanada.
2. Fer una còpia de seguretat del certificat i de la clau privada. D’aquesta forma, si és necessari, es pot instal·lar el certificat en un altre ordinador o si es té una avaria, es pot tornar a reinstal·lar en l’ordinador avariat a partir de la còpia. Però, hem de ser conscients que tenim més d’una còpia de la clau privada i tenir-ne cura.

En certificats importants, o amb el quals es firmen documents importants, possiblement convé emprar la primera estratègia; en altre cas, es pot emprar la segona, per comoditat.

Sempre que es pugui i independentment de l’estratègia triada, s’ha d’indicar al sistema operatiu, o al programari que sigui, que ens avisi quan es fa ús de la clau privada. D’aquesta forma ens asseguram de conèixer els moments en els quals es fa ús de la nostra clau privada i així minimitzar els possibles usos fraudulents per part de programes indesitjats.

Marcar la clau privada com a no exportable

Quan s’importa un certificat, en alguns casos es pot marcar la clau privada com a exportable. Si hem triat l’estratègia de no extreure la clau privada de l’ordinador, que és la recomanada, s’ha d’indicar aquest fet.

Còpies de seguretat de la clau privada

Si hem triat l’estratègia de fer còpies de seguretat hem de procedir com segueix. Si l’usuari ha indicat que la clau privada pot ser exportable, quan exportam el certificat, el programari ens demana una contrasenya amb la qual es xifra el fitxer contenidor.
Per assignar una contrasenya ens hem d’assegurar de que aquesta no és fàcilment descobrible, tant per persones com per mètodes automatitzats. Per això convé que no s’emprin paraules de diccionari, que sigui suficientment llarga i també, fàcilment recordable per l’usuari.

Avisar de l’ús de la clau privada

Quan s’importa un certificat, en alguns casos es pot indicar que el programari ens avisi quan s’usa. D’aquesta forma ens asseguram que tendrem coneixement de quan es signin electrònicament dades ambla nostra clau privada.

Custodia dels certificats i de les claus privades

Un certificat electrònic és un document públic, el mateix que la clau pública que conté. En canvi, la clau privada és el mecanisme que garanteix la fiabilitat del procés de signatura digital. Per tant, l’usuari ha de posar els mitjans necessaris per mantenir la seva clau privada en secret.

Si s’ha generat una còpia de seguretat d’un certificat i de la clau privada, l’usuari ha de custodiar aquest fitxer i assegurar-se que només ell hi té accés. A més aquest fitxer ha d’estar protegir amb una bona contrasenya i emmagatzemat en un lloc adequat.