Ta ključ šifrira z javnim ključem, pridobljenim v prvem koraku, in ga pošlje strežniku, ki poseduje ustrezen zasebni ključ za odšifriranje. Ko je (simetrični) ključ enkrat odšifriran, lahko steče varna komunikacija na podlagi simetričnega ključa, ustvarjenega za določeno sejo. V primeru overjanja uporabnika ta na začetku postopka s svojim zasebnim ključem podpiše niz znakov, na podlagi katerega se strežnik lahko prepriča o verodostojnosti identitete uporabnika.