Deployer-sleutels moeten volledig onbetrouwbaar zijn en als wegwerpartikelen worden behandeld. Zelfs voor een upgradebaar protocol moet een sleutel implementeren, configureren en vervolgens permanent de controle opgeven. Vervolgens kan het hoofdbeheer de nieuwe code verifiëren en accepteren.