W odróżnieniu od kart Java, wgrywanie aplikacji może odbywać się w dowolnym połączeniu, nie musi być ono zaufane, gdyż to procesor karty dokonuje kontroli kluczy szyfrujących i zezwala (lub nie) na instalację właściwej aplikacji na karcie.

Ponadto implementację standardu Multos można przeprowadzić w taki sposób, by odbiorca dysponował całym łańcuchem cyfrowego uwierzytelnienia, mając dowolny wybór między dostawcami kart tego standardu.

Własne centrum certyfikacji

W kartach Multos istnieje centrum root CA (KMA), które odpowiada za bezpieczeństwo wszystkich wydanych kart. Globalne KMA wydaje klucze transportowe, dane aktywacyjne, certyfikaty dodawania i usuwania aplikacji oraz podpisuje paczki aplikacji. Dla projektów rządowych tworzy się całkowicie autonomiczne root CA (czyli iKMA), zarządzane lokalnie przez podmiot, który jest operatorem tych kart - w Polsce taki iKMA mogłoby utworzyć na przykład Ministerstwo Spraw Wewnętrznych i Administracji. Centrum iKMA wydaje ten sam typ certyfikatów co globalne KMA, ale dotyczą one jedynie konkretnych kart, dzięki czemu aplikacja identyfikacji może być wgrana tylko do kart związanych z dowodami osobistymi, ponadto nie ma możliwości podmiany czy usunięcia aplikacji z dowodu przez stronę trzecią. Z kolei podmiot, który chciałby umieścić swoją aplikację w dowodzie osobistym (na przykład ZUS, karta miejska), certyfikowałby ją w centrum MSWiA, a następnie umieszczał na stronie WWW, lub mógł samodzielnie wgrywać w dowolnym centrum obsługi klienta, gdyż do bezpiecznego umieszczenia certyfikowanej aplikacji na karcie nie jest niezbędne bezpieczne połączenie. Jednocześnie taka operacja nie narusza już wgranych aplikacji, nie umożliwia żadnych modyfikacji, gdyż dane są chronione przez system na karcie.

Od strony formalnej do utworzenia iKMA wystarczy zakup licencji, której koszt zależy od funkcji, jakie chce spełniać lokalne KMA. Koszt ten nie zależy bezpośrednio od liczby podpisanych aplikacji, zatem wdrożenie nowej funkcji do kart obsługiwanych przez własne iKMA nie obejmuje opłat na rzecz producenta czy dostawcy, gdyż nie bierze on udziału w certyfikacji aplikacji - iKMA jest całkowicie autonomiczne.

Własne centrum iKMA utworzono jak dotąd w Japonii, Hongkongu oraz Arabii Saudyjskiej na potrzeby dowodów osobistych i paszportów, a także w Turcji, by uruchomić inteligentne karty NATO. Z kart Multos do uwierzytelnienia obywateli korzysta już Norwegia, przy czym karta ta jest wydana przez Pocztę Norweską i Totalizator, obsługując PKI oraz elektroniczną portmonetkę.

Wielu dostawców - jeden standard

Cechą szczególną kart Multos jest niezależność od dostawcy - w ramach tego samego projektu można wykorzystać karty i platformy różnych firm bez żadnej zmiany już skompilowanej aplikacji. Zatem część kart może być wyprodukowana przez firmę Samsung, następna partia byłaby dostarczona przez Multos International (z mikroprocesorem Infineona), inna partia może działać z kartami DNP na platformie Hitachi (chip Renesas), a jeszcze inna partia pochodziłaby od Ubnics z platformą NXP (na mikroprocesorach ST). W każdym z tych przypadków byłaby wgrywana ta sama aplikacja w formie ALU (Application Load Unit), podpisana i zabezpieczona za pomocą narzędzi kryptograficznych w centrum certyfikacji (publicznym KMA lub własnym iKMA).

Porównanie standardów kart inteligentnych