Unter Verschlüsselung versteht man das systematische Unkenntlichmachen von Informatio-nen. Entscheidendes Glied in der Sicherheitskette ist das Verschlüsselungsverfahren für die transferierten Daten – sowohl beim Händler als auch beim Kunden. Die Kreditkartendaten werden verschlüsselt, d.h. der Datentransfer im Internet kann von Dritten nicht eingesehen werden. Werden die Daten in einem nicht gesicherten Kanal an den Geschäftspartner ver-sandt, so sind sie vor Missbrauch durch Dritte nicht ausreichend geschützt. SET arbeitet mit einem besonders effizienten Verschlüsselungsverfahren, mit welchem unabhängig vom jewei-ligen Browser eine angemessene Verschlüsselung gewährleistet werden kann.

Um die Vertraulichkeit der Transaktionen zu sichern, verwendet SET sowohl asymmetrische als auch symmetrische Verschlüsselungen. Die Daten werden aus Effizienzgründen zunächst symmetrisch mit einem so genannten Sessionkey verschlüsselt, weiters wird dieser mit dem öffentlichen (asymmetrischen) Schlüssel des Empfängers verschlüsselt. Beim Erhalt der Nachricht kann der Empfänger mit seinem privaten Schlüssel den Sessionkey entschlüsseln und dann per symmetrischer Dekodierung die Daten im Klartext erhalten. Für diesen Zweck besitzt jeder Set-Teilnehmer (Banken, Händler, Kunde) ein asymmetrisches Schlüsselpaar:

Die symmetrische Secret-Key-Verschlüsselung, bei der lediglich ein geheimer Schlüssel zur Kodierung (chiffrieren) und Dekodierung (dechiffrieren) der Nachricht verwendet wird. Diese Variante setzten häufig Programme ein, die Daten verschlüsseln, welche beim Anwen-der bleiben. Soll die codierte Datei jedoch weitergegeben werden, muss dem Empfänger das Passwort auf einem sicheren Übertragungsweg mitgeteilt werden. Da es neben dem Gespräch unter vier Augen keine wirklich sichere Methode gibt, wird dies zum Problem. Die asymmet-rische Public-Key-Methode umgeht dies:

Die asymmetrische Public-Key-Verschlüsselung, bei der zwei Schlüssel, und zwar ein öf-fentlicher und ein privater/geheimer Schlüssel, verwendet werden. Der öffentliche Schlüssel ist jedem zugänglich, der geheime ausschließlich dem Teilnehmer. Außerdem können mit dem öffentlichen Schlüssel die Nachrichten kodiert und nur mit dem geheimen dekodiert werden: der Sender codiert seine Nachricht mit dem öffentlichen Schlüssel des Empfängers; eine so verschlüsselte Nachricht lässt sich dann nur mit dem privaten Schlüssel des Empfän-gers wieder entschlüsseln.