В колониях считается что только владелец компьютера может окончательно решать, чьим подписям доверять, а чьим нет в плане допуска кода к выполнению на своем компьютере.

Поэтому все сертификаты подписи увязываются в единое дерево, корнем которого является мастер-ключ владельца компьютера.

Этот секретная половинка мастер-ключа обязательно хранится на специальном внешнем носителе, содержащем минимальную инсталляцию ОС Onyx, и подписать или переподписать какие-либо сертификаты этим ключом можно только загрузившись с этого носителя. Сертификат этого ключа, используемый загрузчиком ядром системы при проверке подписей, может быть изменен только после установки специальной аппаратной перемички, место установки которой пломбируется.

Сертификат поставщика дистрибутива операционной системы, которым подписаны ядро и загрузчик, переподписанный ключом владельца, также помещается в спеиальную микросхему, запись на которую уже не требует аппаратных перемычек, но требует перезагрузки с вышеописанного носителя.

Все прочие сертификаты хранятся на диске. При переподписании можно задать уровень доверия - системная программа или программа работающая в определенном сэндбоксе.

Обычно, если владелец компьютера умеет программировать, он использует минимум два ключа подписи программ - один для отлаженных версий, равноправный с ключом поставщика системы, второй - для отладки, что гарантирует что отлаживаемой программе не позволят испортить ценные данные - только специально помещенные в отладочный контейнер копии.