Deployer-sleutels moeten volledig onbetrouwbaar zijn en als wegwerpartikelen worden behandeld. Zelfs voor een protocol dat kan worden geüpgraded, moet een sleutel worden geïmplementeerd, geconfigureerd en vervolgens permanent de controle opgeven. Dan kan de hoofddirectie de nieuwe code verifiëren en accepteren.