Hier eine kleine (teilweise vereinfachte) Erklärung (weil ich das Konzept ziemlich cool finde):
Threema nutzt NaCl (https://nacl.cr.yp.to/). Jeder User hat ein Schlüsselpaar, bestehend aus dem öffentlichen Schlüssel und dem privaten Schlüssel.
Der öffentliche Schlüssel wird auf den Threema Directory-Server hochgeladen und ist untrennbar mit deiner Threema-ID verknüpft. Der private Schlüssel bleibt auf deinem Gerät.
Wenn Heidi eine Nachricht für Peter verschlüsselt (um bei gutschweizerischen Vergleichen zu bleiben), lädt sie sich den öffentlichen Schlüssel von Peter vom Directory Server. Dann wird mit dem eigenen privaten Schlüssel und mit dem öffentlichen Schlüssel von Peter ein gemeinsames "Geheimnis" generiert. Die Nachricht wird dann mit diesem gemeinsamen Geheimnis symmetrisch verschlüsselt (d.h. man muss das selbe Geheimnis kennen, um sie wieder zu entschlüsseln). Das Verfahren zum finden eines gemeinsamen Geheimnisses basiert auf dem (recht genialen) Algorithmus von Diffie und Hellman, siehe https://www.youtube.com/watch?v=NmM9HA2MQGI.
Peter kriegt nun diese verschlüsselte Nachricht. Er lädt sich den öffentlichen Schlüssel von Heidi vom Directory Server. Mit diesem öffentlichen Schlüssel und dem eigenen privaten Schlüssel generiert er nun ebenfalls ein gemeinsames Geheimnis.
Das Coole daran ist: PrivatA + ÖffentlichB ergiebt das selbe Geheimnis wie PrivatB + ÖffentlichA. Das heisst, Peter kann die Nachricht von Heidi entschlüsseln, ohne ihren privaten Schlüssel zu kennen. Er braucht dazu den öffentlichen Schlüssel von Heidi, und den eigenen privaten Schlüssel.
Das bedeutet aber auch, dass Peter eine falsche Nachricht generieren kann, die aussieht, als ob sie von Heidi kommt. Er kann nämlich den öffentlichen Schlüssel von Heidi nehmen und seinen eigenen privaten Schlüssel, und damit eine Nachricht verschlüsseln die gleich aussieht wie wenn Heidi ihren privaten Schlüssel mit dem öffentlichen Schlüssel von Peter kombiniert hätte. Das heisst, dass Peter niemandem beweisen kann, dass eine Nachricht wirklich von Heidi stammt. Heidi kann also glaubhaft abstreiten, eine Nachricht geschrieben zu haben, denn Peter hätte das Beweismaterial fälschen können.
Peter kann sich jedoch trotzdem sicher sein, dass eine empfangene Nachricht von Heidi stammt, denn nur Heidi und Peter können eine solche Nachricht erstellen. Und Peter weiss ja, dass er diese selbst nicht gefälscht hat, also muss sie von Heidi kommen.
Das Modell erlaubt es also, sicher und authentisiert miteinander zu kommunizieren, ohne dass gegenüber Dritten bewiesen werden kann, dass man etwas bestimmtes geschrieben hat. Das ist diese glaubhafte Abstreitbarkeit, auch bekannt als repudiability.
Als Gegenbeispiel: Wenn ich eine mit PGP signierte E-Mail verschicke, kann ich nicht abstreiten, dass diese von mir stammt, weil jeder mit meinem öffentlichen Schlüssel beweisen kann, dass diese Nachricht von mir stammen muss. Sie könnte also als kryptografisch sicheres Beweismaterial eingesetzt werden. Das nennt sich non-repudiation, oder "Nichtabstreitbarkeit", und ist z.B. im Vertragsrecht wichtig. https://en.wikipedia.org/wiki/Non-repudiation