Nicht zwingend. Zum Beispiel könnte es einen "Generalschlüssel" geben. Der eigentliche Schlüssel wird mit einem öffentlichem Key verschlüsselt, den Privaten hat der Hersteller.

Unauffälliger wäre es natürlich, ein Verfahren zu wählen, das die Verschlüsselung gerade so weit schwächt, das es der Dienst mit seiner Rechenpower und exklusivem Wissen knacken kann, es für alle anderen Organisationen aber so gut wie unmöglich macht.