Для режима защиты КС2 ПК от НСД создание ключевой пары и запроса на сертификат пользователя должны выполняться на компьютере с установленным ССДЗ (сертифицированное средство доверенной загрузки) (это может быть либо компьютер пользователя, либо администратора). В этом случае при создании ключевой пары будет использоваться не биологический ДСЧ, а аппаратный. Контейнер с секретным ключом может размещаться на файловую систему жесткого диска или внешнего ключевого носителя, например, eToken.
Особенности генерации ключевой пары для режима защиты КС2, если для ССДЗ не поддерживается функциональность ДСЧ описаны в соответствующем разделе в «Приложении А».