Las claves de despliegue deben ser completamente no confiables y tratadas como desechables. Incluso para un protocolo actualizable, una clave debe desplegar, configurar y luego renunciar permanentemente al control. Luego, la gobernanza principal puede verificar y aceptar el nuevo código.