Der Anbieter sendet so parallel zu den Nutzdaten noch gesonderte Datenpakete namens ECMs (ECM = Entitlement Control Message). Mittels dieser ECM kann ein entsprechend autorisierter Empfänger das zu dieser Zeit gültige Kontrollwort errechnen und an den CSA-Dekoder übermitteln. Dieser nimmt dann das endgültige Entschlüsseln des Datenstroms vor. Auf Empfängerseite wird ein CA-System üblicherweise durch eine an den Kunden gebundene Smartcard und ein kundenanonymes Conditional Access Module abgebildet. Das Modul filtert dabei die ECM-Pakete aus dem Datenstrom und errechnet mittels der gegebenen Information in Verbindung mit der Smartcard das entsprechende Kontrollwort. Die Logik des CA-Systems verteilt sich hier zum einen auf das Modul und zum anderen auf die Smartcard. Üblich ist es hierbei kundenspezifische Daten auf der Smartcard vorzuhalten und diese nicht auslesbar durch Dritte zu machen.
Da sich unabhängig vom verwendeten CA-System immer ein eindeutiges Kontrollwort zum Entschlüsseln ergeben muss, können hierbei auch mehrere CA-Systeme parallel für einen einzelnen Datenstrom eingesetzt werden (Simulcrypt). Der Anbieter muss hierbei für jedes eingesetzte CA-System entsprechend eigene ECMs mitschicken.
Zusätzlich zur Information, die sich schon auf der Karte des Kunden befindet, und den ECMs senden all diese Verfahren noch Steuercodes über den eingehenden Datenstrom. Diese sogenannten Entitlement Management Messages (kurz EMMs) dienen dem gezielten Aktivieren oder Deaktivieren der Kundenkarten. Es besteht hierbei auch die Möglichkeit, dem Kunden mehr oder weniger Rechte bezüglich einzelner Angebotspakete einzuräumen, ohne dass der Kunde die Smartcard tauschen muss.