Les clés de déploiement doivent être complètement non fiables et considérées comme jetables. Même pour un protocole évolutif, une clé doit déployer, configurer, puis renoncer définitivement au contrôle. Ensuite, la gouvernance principale peut alors vérifier et accepter le nouveau code.