Ein Schlüsselpaar wird üblicherweise innerhalb des Browsers in Software erzeugt, der öffentliche Teil wird in den Zertifikatsrequest eingebaut und dieser wird mit dem geheimen Teil signiert, um die Authentizität des öffentlichen Schlüssels nachzuweisen. Der Secret Key wird anschließend passwortgeschützt im Rechner abgelegt (meist innerhalb eines PKCS#12-Containers).
Der TeleSec NetKey / IDKey hingegen bringt Schlüsselpaare mit, die innerhalb des Trust Centers der T-Systems in einem hochsicheren Schlüsselgenerator entstanden sind. Dieser Schlüsselgenerator kann diese Schlüssel nur in geeignete TCOS-Chips exportieren. Dieser Export erfolgt kryptografisch derart gesichert, dass ein Mitlesen der Schlüssel ausgeschlossen ist. Somit können keine Schlüsselkopien existieren.
Eine Middleware integriert den NetKey / IDKey so in die Betriebssystemplattform, dass beim Anfordern eines Schlüsselpaares durch eine Anwendung das öffentliche Schlüsselmaterial der TCOS-Chipkarte benutzt wird.

 

Nach Fertigstellung eines NetKey / IDKey können die geheimen Schlüssel nur noch innerhalb des TCOS-Chips für Kryptooperationen heran gezogen werden. Die Nutzung der geheimen Schlüssel ist PIN-gesichert, d. h., nur berechtigte Benutzer können geheime Schlüssel anwenden.

 

Der Schlüsselgenerator im TeleSec Trust Center speichert keine Schlüssel, die Übertragung der Schlüssel an die Chipkarte erfolgt über verschlüsselte Leitungen innerhalb des sicherheits-zertifizierten Trustcenters der T-Systems. Somit ist die Existenz von Doppeln völlig ausgeschlossen, der geheime Schlüssel liegt somit ausschließlich im TCOS-Chip.