Ein Schlüsselpaar wird üblicherweise innerhalb des Browsers in Software erzeugt, der öffentliche Teil wird in den Zertifikatsrequest eingebaut und dieser wird mit dem geheimen Teil signiert, um die Authentizität des öffentlichen Schlüssels nachzuweisen. Der Secret Key wird anschließend passwortgeschützt im Rechner abgelegt (meist innerhalb eines PKCS#12-Containers).
Der TeleSec NetKey / IDKey hingegen bringt Schlüsselpaare mit, die innerhalb des Trust Centers der T-Systems in einem hochsicheren Schlüsselgenerator entstanden sind. Dieser Schlüsselgenerator kann diese Schlüssel nur in geeignete TCOS-Chips exportieren. Dieser Export erfolgt kryptografisch derart gesichert, dass ein Mitlesen der Schlüssel ausgeschlossen ist. Somit können keine Schlüsselkopien existieren.
Eine Middleware integriert den NetKey / IDKey so in die Betriebssystemplattform, dass beim Anfordern eines Schlüsselpaares durch eine Anwendung das öffentliche Schlüsselmaterial der TCOS-Chipkarte benutzt wird.