Das beA-System verwendet ein hybrides Verschlüsselungsverfahren aus asymmetrischer und symmetrischer Verschlüsselung:

Die Nachricht wird vor ihrer Übermittlung auf dem Computer des Absenders mit einem zufällig erzeugten symmetrischen Nachrichtenschlüssel verschlüsselt. Der Nachrichtenschlüssel wird anschließend mit dem öffentlichen Schlüssel des Postfachs verschlüsselt, welcher in der SAFE-Domäne der BRAK hinterlegt ist. Verschlüsselte Nachricht und verschlüsselter Nachrichtenschlüssel werden an das Empfängerpostfach übertragen. Dieses Verfahren entspricht den OSCI-Vorgaben und liegt auch der EGVP-Kommunikation zugrunde.

Im Unterschied zum EGVP ermöglicht das beA einen Zugriff auf das Postfach für mehrere Leser mit unterschiedlichen Berechtigungen vor, um eine Kanzleiorganisation abzubilden. Hierfür kommt ein Hardware Security Module (HSM) zum Einsatz. Dabei handelt es sich um spezielle Hardwarekomponenten, die unter Einsatz kryptographischer Schlüssel bestimmte vordefinierte Funktionen ausführen. Sie sind dabei gegen jede Art von Manipulation geschützt.

Wenn eine Nachricht von einem berechtigten Nutzer gelesen werden soll, muss dieser sich zunächst mit dem öffentlichen Schlüssel seines Sicherheits-Tokens – beA-Karte oder ein anderes vom Nutzer hinterlegtes Sicherheits-Token – authentifiziert haben, so dass eine Session besteht. Das HSM schlüsselt nach Prüfung der Berechtigung des anfragenden öffentlichen Schlüssels im HSM den Nachrichtenschlüssel für den jeweiligen berechtigten Leser um.

Die verschlüsselte Nachricht und der für den Leser umgeschlüsselte Nachrichtenschlüssel werden an den Leser übertragen, dieser kann zunächst den Nachrichtenschlüssel und mit diesem die Nachricht selbst entschlüsseln.

Die Nachricht selbst liegt bei diesem Verfahren niemals unverschlüsselt vor. Der Nachrichtenschlüssel liegt außerhalb des HSM niemals unverschlüsselt vor.

Als asymmetrisches Verfahren zum Schlüsseltransport ist gemäß OSCI-Transport 1.2 RSA-Verschlüsselung vorgesehen. Die Größe der Schlüssel beträgt 2048 Bit. Als Nachrichtenschlüssel wird AES 256 verwendet, der ebenfalls in der OSCI 1.2 Spezifikation als zulässiger Verschlüsselungsalgorithmus definiert wird. Die Verschlüsselungsverfahren werden regelmäßig dem der technischen Weiterentwicklung angepasst.