Si un ancien e-mail crypté ne peut plus être lu, parce-que la clé privée associée n'est plus stockées sur la carte à puce actuelle, l'utilisateur peut ouvrir un eTicket en ligne pour faire récupérer la clé, au moyen du KeyRecovery Wizard.
Si le gestionnaire a décidé qu'aucune autorisation supplémentaire n'est nécessaire pour une demande de récupération de clé, l'utilisateur reçoit immédiatement le numéro du eTicket électronique généré. Sinon, le e-Ticket passe par un KRO compétent soumis (Key Recovery Officer) pour l'approbation. Si la demande est approuvée, le numéro du eTicket est envoyé au titulaire du certificat.
Avec le numéro de billet électronique et sa carte à puce, le titulaire du certificat doit aller auprès de son LRAO compétente (Local Registration Agency Officer). Après qu'il a été identifié par l'agent de la LRA, cela démarre le KeyRecovery Wizard et entre le numéro de billet électronique. L'assistant montre tous les certificats de chiffrement du détenteur déjà délivré. Le titulaire du certificat sélectionne maintenant la clé qu'il veut rétablir.
Après que le titulaire du certificat ait entré son code NIP personnel, le wizard écrit la clé sélectionnée sur la carte à puce.