USB ist nicht zwingend, aber Hardware-Token werden erzwungen,
weil es diese Certificate Authority Security Council Group (
CASC) das vorschreibt, oder so.
Das können auch andere Hardware Security Module sein, z.B. als Schaltschrank-Einschub mit LAN-Port, oder PCIe-Karte.
https://www.line-gate.com/News/852.html
Es kann aber auch eine "sichere" Cloud benutzt werden. 
Oder "Code Signing as Service", aber was der Unterschied zur Cloud ist ... k.A. (ist ja beides irgendwo im Internet auf einem Rechner)
https://www.ssl.com/de/leiten/Codesi...toc-heading-12