Kluczem do bezpieczeństwa systemu jest AuC (od strony systemu stacji bazowych) i karta SIM (od strony abonenta). W tych dwóch miejscach zapisany jest bowiem 128-bitowy klucz Ki. Jest to tajny klucz, przypisany każdej karcie SIM, który w centrum autoryzacji jest powiązany z konkretnym numerem IMSI, a zatem z konkretnym abonentem. Ki nigdy nie opuszcza ani AuC, ani karty SIM i nie ma, a przynajmniej nie powinno być, możliwości odczytania go. Niestety w starszych wersjach kart SIM (stosujących wersję COMP128-1 algorytmu, o czym szerzej w punkcie 1.3.2) taka możliwość istnieje (szerzej o tym w punkcie 1.3.2.4).
Klucz Ki jest wykorzystywany przez algorytmy A3 i A8 odpowiedzialne za uwierzytelnienie abonenta i wygenerowanie klucza sesyjnego, wykorzystywanego przez algorytm szyfrujący A5. Same kody algorytmów A3 i A8 są również przechowywane wewnątrz AuC i karty SIM. Kod algorytmu A5 jest natomiast zaimplementowany w telefonie komórkowym. Samo szyfrowanie odbywa się zatem poza kartą SIM, natomiast generowanie klucza w jej wnętrzu. Od strony sieci algoiytm A5 działa natomiast w BTSie, który klucz sesyjny do tego algorytmu otrzymuje od VLRa (poprzez BSC). Dalej, wewnątrz szkieletu sieci, dane nie są szyfrowane.
W specyfikacji GSM dopuszczono co prawda możliwość przechowywania klucza Ki i algorytmów A3/A8 w rejestrach HLR lub VLR ([11]), jednak wydaje się to w większości przypadków mało praktyczne. W przypadku sieci ogólnokrajowych bowiem rejestry HLR i VLR znajdują się z reguły przy każdej MSC, których jest klika lub nawet kilkanaście. Należałoby zatem zapewnić maksymalne możliwe bezpieczeństwo wszystkim tym rejestrom. Wydaje się, że bezpieczniej jest jednak przechowywać tak wrażliwe dane w jednym miejscu -w AuC. Rozwiązanie polegające na przechowywaniu kluczy Ki i algorytmów A3/A8 w rejestrze HLR jest uzasadnione jedynie w przypadku małych sieci, posiadających tylko jeden rejestr HLR. Wtedy nie ma sensu rozdzielać obu tych baz danych, a ich połączenie pozwala zmniejszyć ruch wewnątrz sieci bez pogorszenia parametrów bezpieczeństwa.
Wewnątrz karty SIM, rejestru AuC oraz rejestrów HLR i VLR zawarty jest również numer IMSI. Jest to unikalny w skali międzynarodowej numer, który identyfikuje danego abonenta. Jego posiadanie w połączeniu z kluczem Ki pozwala stworzyć kopię karty SIM. Ponieważ numer ten da się odczytać z karty SIM (czasami nawet jest on wysyłany kanałem
10