Både trafik og metadata signerer WAYF digitalt med privatnøgler som opbevares i et hardwaresikkerhedsmodul (HSM). Nøglerne er dannet inde i HSM'en og vil aldrig kunne forlade maskinen. Det er derfor fysisk umuligt at hacke WAYFs privatnøgler. Og derfor kan man have særdeles stor tillid til at digitale signaturer svarende til WAYFs offentlige nøgle rent faktisk er udstedt af WAYF — og til at indhold som krypteres med WAYFs offentlige nøgle, rent faktisk kun kan læses af WAYF.
WAYFs driftssetup omfatter to HSM'er, opstillet hos i2 og NORDUnet A/S med 20 km mellem hver maskine. De aflaster hinanden i belastningssituationer (load balancing) og dækker hinanden ind hvis en af dem skulle sætte ud (fail-over). Hver maskines kapacitet er 10.000 signeringer i sekundet, med 2K-nøgler.
WAYFs HSM'er af typen Luna fra SafeNet/Thales.