Le chiavi di distribuzione dovrebbero essere completamente non affidabili e trattate come usa e getta. Anche per un protocollo aggiornabile, una chiave dovrebbe distribuire, configurare e poi rinunciare permanentemente al controllo. Poi la governance principale può verificare e accettare il nuovo codice.