Die Ver- und Entschlüsselung findet bei PrivateBin vollständig im Browser statt – per 256-Bit-AES im Galois/Counter-Modus (GCM), einem authentifizierten Verfahren, das nachträgliche Manipulation am Chiffrat zuverlässig erkennt. Der Schlüssel wandert nie zum Server, sondern steckt im Fragment-Teil der URL nach dem #-Zeichen, den Browser standardmäßig nicht mitsenden.

Das Sicherheitsmodell steht und fällt allerdings mit HTTPS; das Projekt empfiehlt zusätzlich HSTS und DANE-gesicherte Zertifikate, um auch Angriffe auf Protokollebene auszuschließen. Wer einer fremden Instanz nicht vertraut, sollte außerdem bedenken, dass ein kompromittierter Server theoretisch Schadcode ausliefern könnte, der den Entschlüsselungsschlüssel abgreift.

Beim Anlegen eines Pastes stehen mehrere Optionen bereit: Passwortschutz, konfigurierbare Ablaufzeiten von wenigen Minuten bis "für immer" sowie "Burn after reading" – der Paste löscht sich nach dem ersten Abruf automatisch. Diskussionen lassen sich optional zuschalten, anonym oder mit Nicknames und IP-basierten Identicons. Syntax-Highlighting über prettify.js, Markdown-Unterstützung mit Vorschau, Datei-Upload und ein QR-Code für die Paste-URL runden den Funktionsumfang ab.

Für Administratoren, die PrivateBin selbst hosten, ergibt sich ein praktischer Nebeneffekt: Da der Server den Inhalt nicht kennt, entfällt die Haftungsfrage für problematische Inhalte – es lässt sich glaubhaft verneinen, davon gewusst zu haben, und einzelne Pastes auf Anfrage trotzdem entfernen. Ein Restrisiko bleibt bei den Zugriffsprotokollen: Sie können preisgeben, wer eine URL wann abgerufen hat. PrivateBin läuft als schlanke PHP-Anwendung und lässt sich ohne großen Aufwand selbst hosten.